c't 18/2019
S. 16
Praxis
Passwortloses Anmelden
Aufmacherbild

Abschied vom Passwort

Passwortloses Anmelden dank FIDO2

Es ist keine Zukunftsmusik, sondern bereits ganz real möglich, sich sicher und komplett ohne Passwort bei Internet-Diensten anzumelden. Der noch recht junge Internet-Standard FIDO2 nimmt zügig Fahrt auf und verspricht, Passwörter bald überflüssig zu machen.

FIDO2 macht endlich den Traum vom sicheren, aber passwortlosen Anmelden wahr. Im Normalfall genügt eine einfache Geste, also das Antippen eines leuchtenden Buttons, das Auflegen des Fingers oder ein Blick in die Kamera, um zu bestätigen: „Ja, ich will mich dort anmelden“ – den Rest erledigen kleine Helfer hinter den Kulissen.

Video: Nachgehakt

Passwörter sind eine Pest. Jeder hasst sie und das zu Recht. Sie sind lästiger, unsicherer Ballast aus dem letzten Jahrtausend. Trotzdem konnte sich keiner der vorherigen Versuche, Passwörter zu ersetzen, wirklich durchsetzen. Am nächsten kamen dem noch Googles und Facebooks Bemühungen, das „Anmelden mit …“ einzuführen.

Dabei bestätigt dann etwa Google dem gerade entdeckten Whiskey-Shop, dass ich der User „ju123“ mit der Mail-Adresse „ju123@gmail.com“ bin und liefert bei Bedarf auch gleich die Postanschrift und die Bezahloption – und das alles ohne zusätzliches Passwort. Doch diese sogenannte Single-Sign-on-Technik bedeutet eine neue Dimension der Abhängigkeit, die man sich unbedingt ersparen sollte. Mehr dazu erklärt der Kasten „Teufelszeug“.

Besser löst das die FIDO-Allianz. Das Kürzel steht für Fast IDentity Online. Unter diesem Dach arbeiten unter anderem Google, Microsoft, Facebook, Amazon, Paypal, Visa und Mastercard zusammen am Passwort-Nachfolger. Seit März 2019 ist es beschlossene Sache: Gemeinsam mit dem World Wide Web Consortium (W3C) verkündete man „einen Web-Standard für sichere, passwortlose Logins“. Gemeint war FIDO2 mit seiner Internet-Komponente WebAuthn.

Das kann man jetzt schon ausprobieren und teilweise sogar praktisch nutzen (was schon alles geht, erklärt der folgende Artikel auf S. 20). Konkret macht man das derzeit am besten mit einem sogenannten Token, das man an den Schlüsselbund hängt und überall zur Online-Anmeldung nutzen kann. Man kann diesen persönlichen Sicherheitsschlüssel zur Internet-Identität via USB, NFC oder Bluetooth mit dem PC oder Smartphone verbinden und auch an mehreren Geräten nutzen. Solche Token gibt es ab circa 10 Euro.

Am einfachsten geht FIDO2 mit einem kleinen Token für den Schlüsselbund. Das rote von Solo ist sogar komplett Open Source.
Bei Android bestätigt man den Anmeldevorgang nur mit seinem Fingerabdruck.

Viele Anwender kommen aber auch schon ganz ohne zusätzliche Hardware in den Genuss von FIDO2. Denn Windows 10 und Android können ebenfalls als FIDO2-Sicherheitsschlüssel agieren. Sie nutzen dazu in allen halbwegs modernen Geräten ohnehin eingebaute Security-Hardware in Form eines TPM oder Secure Element, um einen virtuellen Sicherheitsschlüssel anzubieten. Mit dem können dann alle Apps und insbesondere der Browser auf diesem Gerät eine FIDO2-Anmeldung durchführen.

Bequem, sicher und meins

FIDO2 vereint drei überaus wünschenswerte Eigenschaften einer Anmeldung. Erstens: Es ist sehr komfortabel. Besser als das Antippen eines Buttons oder ein Blick in die Kamera wird es nicht mehr. Zweitens: Es ist sehr sicher. Mit den Passwörtern verschwinden auch all die damit verbundenen Probleme. Millionenfacher-Identitätsdiebstahl durch Servereinbrüche oder Trojaner und auch Phishing gehören mit FIDO2/U2F der Vergangenheit an. Das alles wird nicht nur viel schwieriger, sondern konzeptbedingt komplett unmöglich – abgehakt. Wie FIDO dieses Kunststück vollbringt, erklärt der Artikel zur Funktionsweise von FIDO2/U2F auf Seite 30.

Und schließlich Drittens: Anders als beim Konzept eines Online Indentity Providers wie Google oder Facebook bleibt der Anwender sein eigener Herr. Nicht nur irgendwie theoretisch, sondern ganz real und physisch. PC respektive Smartphone oder das Token enthalten bei diesem Konzept ein Geheimnis, ohne das kein Anmeldevorgang möglich ist. Dieses Geheimnis lässt sich konstruktionsbedingt auch nicht auslesen.

Passwortloses Anmelden mit FIDO2

Wer sich als Inhaber einer FIDO2-Identität ausweisen will, braucht also den Zugang zu diesem Stück Hardware, also Token, Smartphone oder PC. Wer das nicht an Dritte weitergibt, bleibt sein eigener Herr. Daran kann auch kein richterlicher Erlass oder National Security Letter etwas ändern. Wer meine Online-Identität will, muss zu mir kommen und mir meinen Sicherheitsschlüssel abnehmen.

Die nahe Zukunft

Es bleibt nur zur hoffen, dass möglichst bald alle Internet-Dienste zumindest optional auch eine FIDO2-Anmeldung ermöglichen. Die müssen dazu für Registrierung und Login das vom W3C standardisierte Verfahren WebAuthn umsetzen. Leider haben noch nicht sonderlich viele Sites FIDO2 eingeführt. Wie man das macht, erklärt ein eigener Artikel für Web-Entwickler auf Seite 26.

Auf der Anwenderseite sieht es bereits recht gut aus. Mit Windows, Android, Chrome, Edge, Firefox unterstützen fast alle wichtigen Komponenten die erforderlichen Standards. Die wichtigsten Ausnahmen sind alles Apple-Produkte. Weder Safari noch macOS oder iOS spricht derzeit mit FIDO2-Diensten.

Zum Kasten: Teufelszeug

Apple hat offenbar andere Prioritäten: Erst im Juni stellte Apples CEO Tim Cook noch mit großen Worten „Login mit Apple“ als Lösung des Passwort-Problems vor; die Web-Standards FIDO2 oder WebAuthn hingegen erwähnte er nicht einmal (siehe auch den Kommentar Teufelszeug) Doch auch Apple wird hoffentlich diesen FIDO-Boykott nicht lange durchhalten. In den aktuellen Entwickler-Previews finden sich jedenfalls bereits erste Hinweise auf FIDO2-Unterstützung. (ju@ct.de)

Kommentare lesen (8 Beiträge)