Passwortlose Authentifizierung: FIDO2 und Webauthn

November 23, 2023 by
Laura Viebig

Die passwortlose Authentifizierung hat sich seit der Einführung von FIDO2 und Webauthn als eine der sichersten und benutzerfreundlichsten Methoden zur Anmeldung in Online-Konten etabliert. Seit März 2019 ist Webauthn ein offizieller Web-Standard des W3C und bietet eine robuste Alternative zur traditionellen Passwort-Authentifizierung. Doch was genau steckt hinter dieser Technologie? Hier beantworten wir einige der meistgestellten Fragen zu diesem Thema:


Warum passwortlose Authentifizierung mit FIDO2? 

Ein Großteil aller Datenmissbräuche geht auf gestohlene oder schwache Passwörter zurück. Die traditionelle Authentifizierung mit Benutzername und Passwort hat viele Schwachstellen, insbesondere weil die Daten vom jeweiligen Webdienst gespeichert werden. Nutzer müssen darauf vertrauen, dass Anbieter ihre Daten sicher speichern, was angesichts der zahlreichen Datenlecks oft problematisch ist. Bei einer FIDO-Authentifizierung dagegen müssen Sie dem Webdienst kein Passwort anvertrauen. 


FIDO2, Webauthn und CTAP – was ist das und wie funktioniert es? 

FIDO2 ist der übergeordnete Begriff für die neuesten Authentifizierungsstandards der FIDO Alliance. FIDO2 umfasst zwei Spezifikationen: die Web Authentication (WebAuthn) des W3C und das Client to Authenticator Protocol (CTAP) der FIDO Alliance.

FIDO2 = WebAuthn + CTAP 


  • WebAuthn: Definiert eine Web-API, die in Browsern und Web-Plattformen implementiert werden kann, um passwortlose Authentifizierung zu ermöglichen. 
  • CTAP: Ergänzt WebAuthn, indem es die Nutzung bereits vorhandener Geräte wie Mobiltelefone, Sicherheitsschlüssel oder Windows-PCs zur Authentifizierung ermöglicht. 


Zusammen ermöglichen WebAuthn und CTAP es Benutzern, sich auf einfache Weise sowohl in mobilen als auch in Desktop-Umgebungen bei Onlinediensten zu authentifizieren und bieten dabei eine wesentlich höhere Sicherheit als Passwörter und SMS-Einmalkennwörter (OTP). 


Vorteile der FIDO-Authentifizierung 


  • Sicherheit: FIDO2 kryptografische Login-Credentials sind einzigartig für jede Website, verlassen niemals das Gerät des Nutzers und werden nie auf einem Server gespeichert. Dieses Sicherheitsmodell eliminiert die Risiken von Phishing, Passwortdiebstahl und Replay-Angriffen. 
  • Komfort: Nutzer entsperren kryptografische Login-Credentials mit einfachen integrierten Methoden wie Fingerabdrucklesern oder Kameras auf ihren Geräten oder durch die Nutzung von FIDO-Sicherheitsschlüsseln verschiedener Hersteller. Verbraucher können das Gerät auswählen, das am besten zu ihren Bedürfnissen passt. 
  • Privatsphäre: Da FIDO kryptografische Schlüssel für jede Website einzigartig sind, können sie nicht zur Verfolgung der Nutzer über verschiedene Seiten hinweg verwendet werden. Zudem verlässt biometrische Daten, wenn sie genutzt werden, niemals das Gerät des Nutzers. 
  • Skalierbarkeit: Websites können FIDO2 durch einen einfachen JavaScript-API-Aufruf aktivieren, der von führenden Browsern und Plattformen auf Milliarden von Geräten unterstützt wird, die Verbraucher täglich nutzen.


Was sind Passkeys? 

Passkeys sind passwortlose FIDO-Credentials, die eine schnellere, einfachere und sicherere Anmeldung bei Websites und Apps ermöglichen. Sie sind phishingsicher, immer stark und so konzipiert, dass keine geheimen Informationen geteilt werden. Passkeys können sowohl auf Endgeräten wie Computern und Telefonen als auch auf Sicherheitsschlüsseln zur Benutzerauthentifizierung verwendet werden. 

Synced Passkeys: Diese Passkeys werden automatisch zwischen den Geräten eines Nutzers über einen Cloud-Service synchronisiert und bieten so Komfort und Flexibilität. 

Device-bound Passkeys: Diese Passkeys bleiben ausschließlich auf einem einzigen Gerät und bieten höchste Sicherheit, da sie nicht kopiert werden können. 

Weitere Informationen zu Passkeys


Fazit 

Passwortlose Authentifizierung ist ein entscheidender Schritt in Richtung sicherer und benutzerfreundlicher Online-Anmeldungen. Die Nutzung von FIDO2 und Webauthn bietet nicht nur erhöhte Sicherheit und Privatsphäre, sondern auch eine bessere Benutzererfahrung. Indem Sie auf diese zukunftssicheren Lösungen setzen, können Sie Ihre Online-Sicherheit deutlich verbessern und gleichzeitig den Komfort für die Nutzer steigern.