MindestenssechszeichenFIDO, sitz! Pass! Gib auth! (2)
6. Juli 2022 von Yhoko
Im ersten Teil dieses Beitrag wurde aufgezeigt, in welchen Situationen Passwörter keine gute Figur machen. Aber wie schafft es FIDO2, all diese Probleme zu umschiffen? Und was ist das nun überhaupt? Zuerst ein Überblick.
FIDO2 ist eine Technologie, die schon in vielen Geräten drinsteckt, aber auch dazugekauft werden kann (z.B. in Form eines USB-Sticks). Zusätzlich muss die Software mitspielen, genauer gesagt Browser und Betriebssystem. Naturgemäss verbessert sich die Softwaresituation mit der Zeit; einige alte Geräte sind hiermit aber schlichtweg raus (beispielsweise WindowsXP). Ob FIDO2 bei dir schon klappt, lässt sich hier ganz einfach und ungefährlich testen (ein paar Zeichen als Benutzernamen eingeben und auf Register klicken):
Je nach Gerät, Software oder USB-Stick läuft das etwas anders ab, denn FIDO2 ist keine starre Vorgabe für die Art des Logins. Besitzer eines günstigen Yubikeys oder Google Titans müssen etwa nur kurz den USB-Stick berühren, bei der integrierten Anmeldung von Windows (Hello) oder Apple (Passport) ist vielleicht ein Fingerabdruck oder eine Gesichtserkennung erforderlich. Abgesicherte FIDO2-Sticks können ihrerseits selbst einen Fingerabdruck, einen PIN-Code oder ein Passwort verlangen, um sicherzustellen, dass der Besitzer sie bedient. Und der Betreiber des Onlinedienstes kann im Gegenzug festlegen, welche dieser Geräte und Methoden er akzeptiert. Für einfache Websites und Spiele reicht es in aller Regel, wenn irgend jemand den richtigen Stick kurz antippt.
Wie steht FIDO2 nun im Vergleich zum Passwort da? Vergleichen wir konkret die vier Kritikpunkte aus dem ersten Teil, in umgekehrter Reihenfolge:
4) Kopieren: Fällt faktisch weg. Die kryptografischen Daten liegen in einem sicheren Bereich auf einem Chip (also direkt im USB-Stick, auf dem Mainboard oder im Smartphone), da kommt man nicht ran. Ein Passwort lässt sich leicht abschauen/kopieren, ein Chip hingegen nicht.
4a) Die Möglichkeiten zum Keyloggen und Passwort-Eingabe-beobachten fallen prinzipbedingt weg. Der Nutzer berührt nur einen Stick oder aktiviert den Chip biometrisch.
4b) Diebstahl: Ein physischer Angreifer kann den USB-Stick oder das Gerät natürlich stehlen. Während das Passwort dem hilflos ausgeliefert ist, kann man ein Smartphone oder einen FIDO2-Stick mit PIN-Code oder Fingerabdruck-Scanner nicht einfach nutzen.
4c) Dasselbe FIDO2-Gerät kann bei beliebig vielen Websites registriert werden. Wird eine davon gehackt oder die Datenbank geleakt, hat das keinen Einfluss auf die anderen und ein Hacker kann auch nichts mit den Logindaten anfangen. Damit fällt auch Phishing komplett flach.
4d) Ein Virus auf dem Computer kann die Daten zwar mitschneiden, das bringt dem Angreifer aber nichts. Weder kann man dieselben Logindaten noch einmal senden, noch helfen sie, wie eben erklärt, bei Logins auf anderen Seiten.
4e) Social Engineering wird schwierig bis unmöglich. Da man die FIDO2-Daten nicht abgreifen kann (bzw. es nichts bringt), müsste man schon auf die Rücksetzungs-Funktion zielen ("Ihr Konto wurde gesperrt, ich helfe Ihnen nun bei der Freischaltung. Bitte nennen Sie mir Ihre E-Mail Zugangsdaten..."). Spätestens wenn diese ebenfalls mittels FIDO2 abläuft (z.B. ein Notfall-Stick der bei einem Freund oder Notar liegt), haben die Angreifer jede digitale Möglichkeit verloren. Es bleibt dann nur noch die physische Entwendung des FIDO2-Geräts (in der Hoffnung, dass es nicht biometrisch geschützt ist; siehe 4b) Diebstahl).
3) Erraten: Faktisch unmöglich. Man müsste schon zufällig genau den richtigen Schlüssel aus 10^38 Stück erwischen, um sich einmalig damit einloggen zu können. Auch ältere Daten zu sammeln bringt nichts, da der Schlüssel bei jedem Login ein völlig anderer ist. Anders als beim Passwort sind auch keine lesbaren Wörter wie "Microsoft" mehr integriert; bei den Schlüsseln handelt es sich quasi um zufällig aneinandergereihte Buchstaben – jedes Mal aufs Neue.
2) Vergessen: Fällt grösstenteils weg. Weder kann man den Chip im Gerät vergessen, noch den eigenen Fingerabdruck oder die Gesichtsbiometrie. Höchstens eine allfällige PIN, die den FIDO2-Stick schützt. Hier hat man als Nutzer jedoch die Wahl, ob und welche Absicherungsart man wünscht (bei den Sticks ist es tatsächlich auch eine Preisfrage; die günstigen Modelle unterstützen schlichtweg keine PIN-Absicherung).
2b) Verlust: Anders als mit einem vergessenen Passwort, das einem vielleicht irgendwann doch wieder einfällt (also eines, das ohnehin nicht die komplizierten Anforderungen moderner Websites erfüllt), ist man mit einem verlorenen oder defekten USB-Stick oder Smartphone erstmal aufgeschmissen. Hier ist also weiterhin eine Rücksetzungs-Funktion notwendig – idealerweise hat man aber mehrere FIDO2-Geräte mit dem Konto verknüpft und kann einfach das Nächste verwenden, um sich einzuloggen.
1) Vertippen: Fällt ebenfalls weg, ausser bei der eventuellen PIN-Eingabe.
Ich würde sagen, Sieg auf der ganzen Linie für FIDO2. Und etwas kommt sogar noch dazu, wenngleich vorerst nur spärlich: Der Login ohne Benutzernamen.
FIDO2-Geräte unterstützen sogenannte "Resident-Keys", damit wird grob gesagt intern eine ID erzeugt und auf dem Gerät selbst gespeichert. Diese ist an die Domain gekoppelt und wird beim Login automatisch an den Server geschickt. Im Idealfall läuft das also folgendermassen ab:
Während PCs und Smartphones allerdings Speicherplatz im Überfluss besitzen, ist die Zahl der Resident-Keys auf den kleinen USB-Sticks stark begrenzt (derzeit sind 25 Plätze üblich). Von daher wird man wohl auch weiterhin überall einen Benutzernamen eingeben müssen, auch wenn das nun theoretisch nicht mehr notwendig wäre. Immerhin helfen die Browser hier mit und füllen das Namensfeld automatisch aus (Cookies bzw. Sessions sei Dank). Womöglich ist es ja auch ganz nützlich, dass man zuerst den Benutzernamen (den man als Nutzer kennen muss) eingibt, und erst im zweiten Schritt (wenn klar ist, dass der Name korrekt war) die Authentifizierung erfolgt – und das kann dann ja auch ein Passwortfeld sein, wenn kein FIDO2 mit dem Konto verknüpft wurde.
Zum Schluss noch kurz ein Hinweis bezüglich der FIDO2-Sticks. Diese werden "portabel" genannt, da man sie am Schlüsselbund tragen und bei jeden beliebigen Gerät einstecken kann – beziehungsweise muss. Aber keine Sorge, es gibt auch FIDO2-Sticks mit Funkverbindung (NFC oder Bluetooth), so dass das Einstecken entfällt.
Demgegenüber ist die Authentifizierung beim PC/Smartphone an einen TPM-Chip auf dem Mainboard gekoppelt; lässt sich also nicht einfach "mitnehmen" oder an einem anderen Gerät einstecken, um sich dort einzuloggen. Letzteres ist aber auch gar nicht notwendig, da man (wenn der Dienst seinen Job richtig gemacht hat) beliebig viele Geräte demselben Benutzerkonto hinzufügen kann. Man hat also ohnehin die freie Wahl, mit welchem FIDO2-Gerät man sich gerade einloggen möchte.
Ebenfalls vom Dienst abhängig ist die Situation, wenn man sich irgendwo für einen Freund einloggen soll, um etwas zu prüfen oder ihn bei etwas zu unterstützen. Das Passwort kann man eben mal telefonisch oder schriftlich durchgeben, bei FIDO2 müsste dafür wohl der Postweg herhalten – es sei denn, man kann im Dienst selbst das Konto für Drittpersonen freischalten; idealerweise eingeschränkt und zeitbegrenzt. Sind hier die Anbieter in der Pflicht, entsprechende Möglichkeiten zu schaffen? Ja, und zwar genau wie bisher auch schon. In allen AGBs wird nämlich bereits jetzt verboten, dass man seine Logindaten weitergibt (was natürlich nichts daran ändert, wie sowas in der Praxis abläuft).
Ich hoffe, damit ein gutes Bild von FIDO2 vermittelt und etwas Aufklärungsarbeit geleistet zu haben. Zwar wird uns das Passwort noch lange erhalten bleiben und beschäftigen, aber in nächster Zeit dürften immer mehr Dienste FIDO2 zumindest als Alternative anbieten – Yhoko.com etwa unterstützt das Verfahren bereits jetzt (ausser im Chat).
Yhoko
FIDO2 ist eine Technologie, die schon in vielen Geräten drinsteckt, aber auch dazugekauft werden kann (z.B. in Form eines USB-Sticks). Zusätzlich muss die Software mitspielen, genauer gesagt Browser und Betriebssystem. Naturgemäss verbessert sich die Softwaresituation mit der Zeit; einige alte Geräte sind hiermit aber schlichtweg raus (beispielsweise WindowsXP). Ob FIDO2 bei dir schon klappt, lässt sich hier ganz einfach und ungefährlich testen (ein paar Zeichen als Benutzernamen eingeben und auf Register klicken):
Je nach Gerät, Software oder USB-Stick läuft das etwas anders ab, denn FIDO2 ist keine starre Vorgabe für die Art des Logins. Besitzer eines günstigen Yubikeys oder Google Titans müssen etwa nur kurz den USB-Stick berühren, bei der integrierten Anmeldung von Windows (Hello) oder Apple (Passport) ist vielleicht ein Fingerabdruck oder eine Gesichtserkennung erforderlich. Abgesicherte FIDO2-Sticks können ihrerseits selbst einen Fingerabdruck, einen PIN-Code oder ein Passwort verlangen, um sicherzustellen, dass der Besitzer sie bedient. Und der Betreiber des Onlinedienstes kann im Gegenzug festlegen, welche dieser Geräte und Methoden er akzeptiert. Für einfache Websites und Spiele reicht es in aller Regel, wenn irgend jemand den richtigen Stick kurz antippt.
Wie steht FIDO2 nun im Vergleich zum Passwort da? Vergleichen wir konkret die vier Kritikpunkte aus dem ersten Teil, in umgekehrter Reihenfolge:
4) Kopieren: Fällt faktisch weg. Die kryptografischen Daten liegen in einem sicheren Bereich auf einem Chip (also direkt im USB-Stick, auf dem Mainboard oder im Smartphone), da kommt man nicht ran. Ein Passwort lässt sich leicht abschauen/kopieren, ein Chip hingegen nicht.
4a) Die Möglichkeiten zum Keyloggen und Passwort-Eingabe-beobachten fallen prinzipbedingt weg. Der Nutzer berührt nur einen Stick oder aktiviert den Chip biometrisch.
4b) Diebstahl: Ein physischer Angreifer kann den USB-Stick oder das Gerät natürlich stehlen. Während das Passwort dem hilflos ausgeliefert ist, kann man ein Smartphone oder einen FIDO2-Stick mit PIN-Code oder Fingerabdruck-Scanner nicht einfach nutzen.
4c) Dasselbe FIDO2-Gerät kann bei beliebig vielen Websites registriert werden. Wird eine davon gehackt oder die Datenbank geleakt, hat das keinen Einfluss auf die anderen und ein Hacker kann auch nichts mit den Logindaten anfangen. Damit fällt auch Phishing komplett flach.
4d) Ein Virus auf dem Computer kann die Daten zwar mitschneiden, das bringt dem Angreifer aber nichts. Weder kann man dieselben Logindaten noch einmal senden, noch helfen sie, wie eben erklärt, bei Logins auf anderen Seiten.
4e) Social Engineering wird schwierig bis unmöglich. Da man die FIDO2-Daten nicht abgreifen kann (bzw. es nichts bringt), müsste man schon auf die Rücksetzungs-Funktion zielen ("Ihr Konto wurde gesperrt, ich helfe Ihnen nun bei der Freischaltung. Bitte nennen Sie mir Ihre E-Mail Zugangsdaten..."). Spätestens wenn diese ebenfalls mittels FIDO2 abläuft (z.B. ein Notfall-Stick der bei einem Freund oder Notar liegt), haben die Angreifer jede digitale Möglichkeit verloren. Es bleibt dann nur noch die physische Entwendung des FIDO2-Geräts (in der Hoffnung, dass es nicht biometrisch geschützt ist; siehe 4b) Diebstahl).
3) Erraten: Faktisch unmöglich. Man müsste schon zufällig genau den richtigen Schlüssel aus 10^38 Stück erwischen, um sich einmalig damit einloggen zu können. Auch ältere Daten zu sammeln bringt nichts, da der Schlüssel bei jedem Login ein völlig anderer ist. Anders als beim Passwort sind auch keine lesbaren Wörter wie "Microsoft" mehr integriert; bei den Schlüsseln handelt es sich quasi um zufällig aneinandergereihte Buchstaben – jedes Mal aufs Neue.
2) Vergessen: Fällt grösstenteils weg. Weder kann man den Chip im Gerät vergessen, noch den eigenen Fingerabdruck oder die Gesichtsbiometrie. Höchstens eine allfällige PIN, die den FIDO2-Stick schützt. Hier hat man als Nutzer jedoch die Wahl, ob und welche Absicherungsart man wünscht (bei den Sticks ist es tatsächlich auch eine Preisfrage; die günstigen Modelle unterstützen schlichtweg keine PIN-Absicherung).
2b) Verlust: Anders als mit einem vergessenen Passwort, das einem vielleicht irgendwann doch wieder einfällt (also eines, das ohnehin nicht die komplizierten Anforderungen moderner Websites erfüllt), ist man mit einem verlorenen oder defekten USB-Stick oder Smartphone erstmal aufgeschmissen. Hier ist also weiterhin eine Rücksetzungs-Funktion notwendig – idealerweise hat man aber mehrere FIDO2-Geräte mit dem Konto verknüpft und kann einfach das Nächste verwenden, um sich einzuloggen.
1) Vertippen: Fällt ebenfalls weg, ausser bei der eventuellen PIN-Eingabe.
Ich würde sagen, Sieg auf der ganzen Linie für FIDO2. Und etwas kommt sogar noch dazu, wenngleich vorerst nur spärlich: Der Login ohne Benutzernamen.
FIDO2-Geräte unterstützen sogenannte "Resident-Keys", damit wird grob gesagt intern eine ID erzeugt und auf dem Gerät selbst gespeichert. Diese ist an die Domain gekoppelt und wird beim Login automatisch an den Server geschickt. Im Idealfall läuft das also folgendermassen ab:
- Website aufrufen
- Login-Button anklicken
- FIDO2-Stick berühren – fertig!
Während PCs und Smartphones allerdings Speicherplatz im Überfluss besitzen, ist die Zahl der Resident-Keys auf den kleinen USB-Sticks stark begrenzt (derzeit sind 25 Plätze üblich). Von daher wird man wohl auch weiterhin überall einen Benutzernamen eingeben müssen, auch wenn das nun theoretisch nicht mehr notwendig wäre. Immerhin helfen die Browser hier mit und füllen das Namensfeld automatisch aus (Cookies bzw. Sessions sei Dank). Womöglich ist es ja auch ganz nützlich, dass man zuerst den Benutzernamen (den man als Nutzer kennen muss) eingibt, und erst im zweiten Schritt (wenn klar ist, dass der Name korrekt war) die Authentifizierung erfolgt – und das kann dann ja auch ein Passwortfeld sein, wenn kein FIDO2 mit dem Konto verknüpft wurde.
Zum Schluss noch kurz ein Hinweis bezüglich der FIDO2-Sticks. Diese werden "portabel" genannt, da man sie am Schlüsselbund tragen und bei jeden beliebigen Gerät einstecken kann – beziehungsweise muss. Aber keine Sorge, es gibt auch FIDO2-Sticks mit Funkverbindung (NFC oder Bluetooth), so dass das Einstecken entfällt.
Demgegenüber ist die Authentifizierung beim PC/Smartphone an einen TPM-Chip auf dem Mainboard gekoppelt; lässt sich also nicht einfach "mitnehmen" oder an einem anderen Gerät einstecken, um sich dort einzuloggen. Letzteres ist aber auch gar nicht notwendig, da man (wenn der Dienst seinen Job richtig gemacht hat) beliebig viele Geräte demselben Benutzerkonto hinzufügen kann. Man hat also ohnehin die freie Wahl, mit welchem FIDO2-Gerät man sich gerade einloggen möchte.
Ebenfalls vom Dienst abhängig ist die Situation, wenn man sich irgendwo für einen Freund einloggen soll, um etwas zu prüfen oder ihn bei etwas zu unterstützen. Das Passwort kann man eben mal telefonisch oder schriftlich durchgeben, bei FIDO2 müsste dafür wohl der Postweg herhalten – es sei denn, man kann im Dienst selbst das Konto für Drittpersonen freischalten; idealerweise eingeschränkt und zeitbegrenzt. Sind hier die Anbieter in der Pflicht, entsprechende Möglichkeiten zu schaffen? Ja, und zwar genau wie bisher auch schon. In allen AGBs wird nämlich bereits jetzt verboten, dass man seine Logindaten weitergibt (was natürlich nichts daran ändert, wie sowas in der Praxis abläuft).
Ich hoffe, damit ein gutes Bild von FIDO2 vermittelt und etwas Aufklärungsarbeit geleistet zu haben. Zwar wird uns das Passwort noch lange erhalten bleiben und beschäftigen, aber in nächster Zeit dürften immer mehr Dienste FIDO2 zumindest als Alternative anbieten – Yhoko.com etwa unterstützt das Verfahren bereits jetzt (ausser im Chat).
Yhoko
Kommentar schreiben