Passwortloses Anmelden dank FIDO2

Passwortloses Anmelden dank FIDO2

Praxis & Tipps | Praxis

Es ist bereits möglich, sich sicher und komplett ohne Passwort bei Internet-Diensten anzumelden. Der Internet-Standard FIDO2 verspricht, Passwörter überflüssig zu machen.

FIDO2 macht endlich den Traum vom sicheren, aber passwortlosen Anmelden wahr. Im Normalfall genügt eine einfache Geste, also das Antippen eines leuchtenden Buttons, das Auflegen des Fingers oder ein Blick in die Kamera, um zu bestätigen: „Ja, ich will mich dort anmelden“ – den Rest erledigen kleine Helfer hinter den Kulissen.

Passwörter sind eine Pest. Jeder hasst sie und das zu Recht. Sie sind lästiger, unsicherer Ballast aus dem letzten Jahrtausend. Trotzdem konnte sich keiner der vorherigen Versuche, Passwörter zu ersetzen, wirklich durchsetzen. Am nächsten kamen dem noch Googles und Facebooks Bemühungen, das „Anmelden mit …“ einzuführen.

Dabei bestätigt dann etwa Google dem gerade entdeckten Whiskey-Shop, dass ich der User „ju123“ mit der MailAdresse „ju123@gmail.com“ bin und liefert bei Bedarf auch gleich die Postanschrift und die Bezahloption – und das alles ohne zusätzliches Passwort. Doch diese sogenannte Single-Sign-on-Technik bedeutet eine neue Dimension der Abhängigkeit, die man sich unbedingt ersparen sollte. Mehr dazu erklärt der Kasten „Teufelszeug".

Am einfachsten geht FIDO2 mit einem kleinen Token für den Schlüsselbund. Das rote von Solo ist sogar komplett Open Source.

Besser löst das die FIDO-Allianz. Das Kürzel steht für Fast IDentity Online. Unter diesem Dach arbeiten unter anderem Google, Microsoft, Facebook, Amazon, Paypal, Visa und Mastercard zusammen am Passwort-Nachfolger. Seit März 2019 ist es beschlossene Sache: Gemeinsam mit dem World Wide Web Consortium (W3C) verkündete man „einen WebStandard für sichere, passwortlose Logins“. Gemeint war FIDO2 mit seiner Internet-Komponente WebAuthn.

Bei Android bestätigt man den Anmeldevorgang nur mit seinem Fingerabdruck.

Das kann man jetzt schon ausprobieren und teilweise sogar praktisch nutzen (mehr dazu im Beitrag Was schon heute mit dem Passwort-Killer FIDO2 geht). Konkret macht man das derzeit am besten mit einem sogenannten Token, das man an den Schlüsselbund hängt und überall zur Online-Anmeldung nutzen kann. Man kann diesen persönlichen Sicherheitsschlüssel zur Internet-Identität via USB, NFC oder Bluetooth mit dem PC oder Smartphone verbinden und auch an mehreren Geräten nutzen. Solche Token gibt es ab circa 10 Euro.

Viele Anwender kommen aber auch schon ganz ohne zusätzliche Hardware in den Genuss von FIDO2. Denn Windows 10 und Android können ebenfalls als FIDO2-Sicherheitsschlüssel agieren. Sie nutzen dazu in allen halbwegs modernen Geräten ohnehin eingebaute SecurityHardware in Form eines TPM oder Secure Element, um einen virtuellen Sicherheitsschlüssel anzubieten. Mit dem können dann alle Apps und insbesondere der Browser auf diesem Gerät eine FIDO2- Anmeldung durchführen.

FIDO2 vereint drei überaus wünschenswerte Eigenschaften einer Anmeldung. Erstens: Es ist sehr komfortabel. Besser als das Antippen eines Buttons oder ein Blick in die Kamera wird es nicht mehr. Zweitens: Es ist sehr sicher. Mit den Passwörtern verschwinden auch all die damit verbundenen Probleme. MillionenfacherIdentitätsdiebstahl durch Servereinbrüche oder Trojaner und auch Phishing gehören mit FIDO2/U2F der Vergangenheit an. Das alles wird nicht nur viel schwieriger, sondern konzeptbedingt komplett unmöglich – abgehakt. Wie FIDO dieses Kunststück vollbringt, erklärt der c't-Beitrag So funktioniert der passwortlose Login mit FIDO2.

Passwortloses Anmelden mit FIDO2

Und schließlich Drittens: Anders als beim Konzept eines Online Indentity Providers wie Google oder Facebook bleibt der Anwender sein eigener Herr. Nicht nur irgendwie theoretisch, sondern ganz real und physisch. PC respektive Smartphone oder das Token enthalten bei diesem Konzept ein Geheimnis, ohne das kein Anmeldevorgang möglich ist. Dieses Geheimnis lässt sich konstruktionsbedingt auch nicht auslesen.

Wer sich als Inhaber einer FIDO2- Identität ausweisen will, braucht also den Zugang zu diesem Stück Hardware, also Token, Smartphone oder PC. Wer das nicht an Dritte weitergibt, bleibt sein eigener Herr. Daran kann auch kein richterlicher Erlass oder National Security Letter etwas ändern. Wer meine OnlineIdentität will, muss zu mir kommen und mir meinen Sicherheitsschlüssel abnehmen.

Es bleibt nur zu hoffen, dass möglichst bald alle Internet-Dienste zumindest optional auch eine FIDO2-Anmeldung ermöglichen. Die müssen dazu für Registrierung und Login das vom W3C standardisierte Verfahren WebAuthn umsetzen. Leider haben noch nicht sonderlich viele Sites FIDO2 eingeführt. Der c't-Beitrag Logins für Websites mit WebAuthn erklärt Webentwicklern, wie man das macht.

Auf der Anwenderseite sieht es bereits recht gut aus. Mit Windows, Android, Chrome, Edge, Firefox unterstützen fast alle wichtigen Komponenten die erforderlichen Standards. Die wichtigsten Ausnahmen sind alles Apple-Produkte. Weder Safari noch macOS oder iOS spricht derzeit mit FIDO2-Diensten.

Apple hat offenbar andere Prioritäten: Erst im Juni stellte Apples CEO Tim Cook noch mit großen Worten „Login mit Apple“ als Lösung des Passwort-Problems vor; die Web-Standards FIDO2 oder Web-Authn hingegen erwähnte er nicht einmal (siehe auch den Kommentar Teufelszeug). Doch auch Apple wird hoffentlich diesen FIDO-Boykott nicht lange durchhalten. In den aktuellen Entwickler-Previews finden sich jedenfalls bereits erste Hinweise auf FIDO2-Unterstützung. (ju)

Teufelszeug

Bei Smartphone-Apps, aber auch bei Diensten im Social-Media-Umfeld sieht man immer öfter die Option „Anmelden mit Google“ oder „Anmelden mit Facebook“. Und jüngst hat auch Apple das ganz groß als tolle, neue und angeblich sogar Privacy-freundliche Funktion angekündigt. Diese Lüge könnte kaum dreister sein.

Die Idee dieser Single-Sign-On-Konzepte ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu quasi beliebigen weiteren Diensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem: ohne weiteres Passwort. Das ist komfortabel und dank der Technik im Hintergrund (bei Google etwa OAuth 2.0) auf den ersten Blick recht sicher – also zumindest wenn Sie Ihr Google-, Facebook- oder Apple-Konto sicher halten.

Natürlich bekommt dabei dann etwa Google auch ganz genau mit, welche Dienste Sie wie oft nutzen. Man kann einwenden, dass die das ohnehin sehen, über die eingebettete Werbung, Analysedienste oder die Anmeldebestätigung ans Google-Mail-Konto. Das eigentlich neue an diesem Konzept ist jedoch, dass im Internet nicht mehr ich nachweise, wer ich bin, sondern ein Dritter mir das bestätigt – mein „Identity Provider“.

Schon der Name macht klar, dass es sich dabei um eine neue Dimension von Macht handelt. Es geht hier nicht nur um irgendeinen weiteren kostenlosen Dienst; Sie lassen sich dabei von Google oder Facebook Ihre Identität im Internet bestätigen. Für ein bisschen Bequemlichkeit verkaufen Sie hier nicht nur Ihre Seele, sondern Ihre komplette virtuelle Existenz an einen internationalen Mega-Konzern.

Nahezu jedes Unternehmen mit wertvollen Daten – so auch Google – hatte bereits Elite-Hacker im eigenen Netz. Dann sind da noch die National Security Letter und Begehrlichkeiten von FBI, BKA & Co. Die Erfahrungen der jüngeren Vergangenheit lassen nur einen Schluss zu: Es ist praktisch unmöglich, einen so eminent wichtigen Datenbestand auf Dauer vor allen Zugriffen Dritter abzuschotten.

Doch auch ganz ohne Missbrauch durch Dritte stinkt das Konzept: Für einen solchen Konzern ist nicht Ihr persönliches Wohlergehen das Maß aller Dinge, sondern das Geldverdienen. Facebook, Google und natürlich auch Apple wollen bei möglichst vielen Geschäften im Internet Provision kassieren. Und das geht viel besser, wenn man die Identität der Anwender kontrolliert. Und wenn der Konzern Sie aus irgendwelchen Gründen nicht (mehr?) mag, dann sind Sie plötzlich nichts, nada, ein Niemand.

So viel Macht will man nicht an einen Konzern abgeben – nicht als Individuum und schon gar nicht als Gesellschaft. Zentrale Identity Provider im Internet sind Teufelszeug und man sollte davon die Finger lassen. Dann doch lieber Passwörter – oder eben FIDO2.

Kommentare