Anmelden ohne Passwort mit FIDO2
Passwörter sind bisher der wichtigste Schutz für unsere Online-Identität. Doch die neuen Sicherheitsschlüssel der FIDO-Allianz sind besser und komfortabler.
Ja – das Anmelden mit FIDO2 ist äußerst komfortabel. Und ja – das Anmelden mit FIDO2 ist auch sehr sicher. Da kommen ausnahmsweise zwei Eigenschaften zusammen, bei denen Fortschritte der einen typischerweise zu Lasten der jeweils anderen gehen: hochsicher, aber im Alltag quasi unbenutzbar, oder superbequem, aber nicht mal bei wohlwollender Betrachtung sicher.
Der seltene Glücksfall resultiert aus der Entscheidung der FIDO-Allianz, nicht das althergebrachte Konzept der Passwörter aufzubohren, wie es etwa Passwort-Safes und klassische Zweifaktor-Authentifizierung tun. FIDO2 und der Vorgänger U2F (Universal Second Factor) setzen bei der Authentifizierung auf einen Sicherheitsschlüssel, der den Zugang zur digitalen Identität beschützt – ähnlich wie der Wohnungsschlüssel zum realen Zuhause. Für den Anwender völlig unsichtbar kommen dabei Krypto-Verfahren zum Einsatz, die in anderen Bereichen der IT schon seit vielen Jahren Stand der Technik sind.
Beim Anmelden mit Passwörtern weise ich meine Identität ("ich bin wirklich ju") dadurch nach, dass ich ein Geheimnis, das einzig und allein ich kennen darf, übers Internet an einen Dritten schicke, und dann hoffe. Also hoffe, dass ich das Geheimnis nicht vergesse. Dass ich es nicht aus Versehen mal an den Falschen schicke. Dass es unterwegs auf dem Weg durchs Internet nicht irgendwer abgreift. Und schließlich, dass der Dienstbetreiber auf mein identitätsstiftendes Geheimnis gut aufpassen wird. Ganz schön viel Hoffnung – und sehr wenig Sicherheit.
Das war die Leseprobe unseres heise-Plus-Artikels "Anmelden ohne Passwort mit FIDO2". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.