Apple, Google und Microsoft wollen passwortloses Anmelden etablieren
Hannover (dpa) - Starke und für alle möglichen Dienste einzigartigen Passwörter kann sich niemand merken. Aber egal wie gut ein Passwort ist: Es kann von Angreifern im Zweifel immer noch abgefangen oder gestohlen werden.
Für diese Probleme gibt es eine Lösung, die einfach das Passwort selbst überflüssig machen soll. Die Rede ist von Fido (Fast Identity Online, a.d schnelle Online-Identifikation). Fido steht für eine Reihe von IT-Sicherheitsstandards. Der neueste, Fido 2, soll die sichere, passwortlose Anmeldung bei Online-Diensten ermöglichen. Wer sich per Fido 2 einloggen will, muss dafür zunächst ein Gerät bei dem jeweiligen Dienst registrieren. Bei der Registrierung werden zwei kryptografische Zeichenfolgen generiert, die zusammen ein Paar bilden, den öffentlichen und den privaten Schlüssel. Den öffentlichen Schlüssel bekommt der Dienst, der geheime Schlüssel wird im Gerät gespeichert, das dadurch zum sogenannten Authentifikator wird. Wenn man sich nun einloggen möchte, erstellt das Gerät mithilfe des geheimen Schlüssels eine digitale Signatur. Diese kann der Dienst nun durch den öffentlichen Schlüssel auf Authentizität überprüfen.
Im Prinzip funktioniere das wie die klassische Unterschrift auf Papier, erklärt Prof. Markus Dürmuth von der Leibniz Universität Hannover. Das Verfahren ist sicher, weil der private Schlüssel nur beim Nutzer liegt. Und Fido 2 bietet noch Extra-Sicherheit: Die Signatur enthält einen Zeitstempel, sagt Dürmuth. Selbst wenn es Angreifern gelänge, die Signatur abzufangen, könnten sie sie später nicht nutzen.
Außerdem ist der private Schlüssel auf den Authentifikator-Geräten sicher: Der Schlüssel wird auf den Geräten in einem sogenannten Trusted Platform Module (TPM) gespeichert, erklärt Jan Mahn vom Fachmagazin „c‘t”. Der private Schlüssel wird einmal im Gerät berechnet und dort gespeichert. Beim Log-in verlässt nur besagte Signatur das Gerät, nicht der private Schlüssel selbst, so Mahn.
TPM mit Krypto-Chips stecken heute in den meisten Smartphones sowie in neueren PCs und Notebooks. Wer noch einen älteren Rechner oder ein älteres Smartphone ohne TPM hat, kann den privaten Schlüssel aber auch auf Sticks speichern, die per USB (Rechner) oder NFC (Smartphone) verbunden werden. Diese Sticks mit eingebautem Krypto-Chip werden auch Token genannt und können bei Fido 2 nicht nur das Passwort ersetzen. Je nach Dienst können sie auch als zweiter Faktor dienen.
Doch was, wenn man etwa das Smartphone verliert, auf dem der private Schlüssel liegt? „Die offizielle Empfehlung bei Fido 2 ist es, zwei Geräte zu registrieren”, sagt Markus Dürmuth. Als Backup bietet sich auch ein sicher verwahrter USB-Token an.
Eine relativ neue Idee zur Lösung des Verlust-Problems und für noch mehr Nutzerfreundlichkeit ist die Cloud-Synchronisierung des privaten Schlüssels. So kann er auf Internet-Servern gesichert werden, aber auch über das Netz auf beliebig vielen Geräten synchronisiert werden.
Anfang Mai 2022 erklärten Apple, Google und Microsoft gemeinsam, Fido 2 bis 2023 um weitere Funktionen ergänzen zu wollen. Benutzer*innen sollen auf verschiedenen - auch neuen Geräten - automatisch auf die Zugangsdaten zugreifen können, ohne sich für jedes Konto neu anmelden zu müssen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Mitglied der Fido-Allianz. Das Amt bewertet den Fido-2-Standard in vielen Aspekten positiv.
