FIDO2: Das kennwortlose Web steht vor der Tür
Die FIDO Alliance (Fast Identity Online) verkündete vor Kurzem die Verfügbarkeit ihres FIDO2-Protokolls. Was dieses Protokoll genau ist, was seine Veröffentlichung für traditionelle Anmeldekennwörter bedeutet und wieso das Protokoll für Finanzinstitute relevant ist, beantworten wir in diesem Beitrag.
FIDO: Das Ende der traditionellen Kennwörter
Für Finanzinstitute, die ihren Kunden Online- und mobile Anwendungen bereitstellen, ist eine kontinuierliche Optimierung der Benutzererfahrung nötig, denn Nutzer sollten so reibungslos wie möglich mit den Apps interagieren können. Das ist umso wichtiger, da die Benutzererfahrung einen direkten Einfluss auf die Kundenbindung, den ROI von Online-Dienstleistungen und die Betriebskosten hat. So zeigen Studien, dass Kunden mit geringerer Wahrscheinlichkeit zu einem anderen Anbieter wechseln, wenn sie sich jederzeit problemlos mit ihrem Finanzinstitut in Kontakt setzen können.
Obwohl eine reibungslose Kundenerfahrung für Führungskräfte im Bereich Banking und Sicherheit eine absolute Priorität ist, reicht optimale Benutzererfahrung allein nicht aus. Finanzinstitute müssen darüber hinaus auch verschiedenen Regulierungen und Richtlinien beachten (z. B. PSD2, DSGVO und NIST) und hohe Sicherheitsstandards erfüllen, ohne dabei ihre Entwicklungs- und betrieblichen Budgets übermäßig zu strapazieren. Aufgrund dieser Faktoren wird die Gewährleistung einer reibungslosen Kundenerfahrung um einiges komplexer.
Die erste größere Hürde der Kundenbindung ist das Anmeldekennwort. Für Kunden ist es umständlich, Kennwörter zu erstellen und zu verwalten. Darüber hinaus werden Anmeldedaten häufig durch Datenschutzverletzungen kompromittiert.
Die FIDO-Authentifizierung löst dieses Problem, da damit das traditionelle Kennwort durch starke Authentifizierungsoptionen ersetzt wird – etwa durch Biometrie, Software oder Hardware-Token.
Im Wesentlichen bietet die FIDO-Authentifizierung ein auf Interoperabilität ausgelegtes und standardisiertes Ökosystem aus Authentifikatoren, die für mobile und Online-Anwendungen genutzt werden können. Sie ermöglicht Unternehmen, eine starke Authentifizierung für Anmeldungen und Transaktionsvalidierungen umzusetzen, ohne dass Ausgaben für hausinterne Entwicklungsarbeiten anfallen.
FIDO-AUTHENTIFIZIERUNG
Lösungen basierend auf dem FIDO-Standard für eine einfachere und stärkere Authentifizierung mithilfe eines offenen, skalierbaren und interoperablen Ansatzes
Mehr erfahrenFIDO2 und das kennwortlose Web
FIDO2 ist eine Kombination aus der WebAuthn-API von W3C und dem Client to Authenticator Protocol (CTAP) von FIDO. WebAuthn ist eine Standard-API, die Entwicklern ermöglicht, FIDO als Authentifizierungsoption in Webbrowsern zu integrieren. CTAP ermöglicht Nutzern, sich ohne Kennwort auf einer Website anzumelden. Sie können stattdessen einen externen Authentifikator wie etwa ein Mobiltelefon oder ein Hardwaregerät verwenden, um ihre Authentifizierungsdaten via Bluetooth, NFC oder USB an einen PC oder ein Mobiltelefon zu senden. FIDO2 erleichtert also dank der Verwendung von Hardware-basierten FIDO-Authentifikatoren (oder anderer auf dem Nutzer-PC verfügbaren Authentifizierungsmethoden) die Authentifizierung in Webbrowsern.
Das WebAuthn-Protokoll wurde bereits in Browsern wie Chrome, Edge und Firefox implementiert. Auch Apples Safari-Browser soll bald WebAuthn integrieren, sobald FIDO2 offiziell von der W3C als internationaler Standard anerkannt wurde. (Obwohl Apple keine Aussagen hinsichtlich FIDO gemacht hat, ist das Unternehmen doch Teil der Arbeitsgruppe um WebAuthn.) Nachdem das W3C FIDO2 als internationalen Standard anerkannt hat, wird das kennwortlose Web zur Realität werden.
Finanzinstitute, die von dem WebAuthn-Protokoll Gebrauch machen möchten, können ihre bestehende mobile oder Online-Banking-Infrastruktur auf die Nutzung von FIDO auslegen oder aber eine umfangreiche FIDO-Lösung implementieren, welche Authentifizierungsanfragen von jedem beliebigen FIDO-Authentifikator akzeptiert.
FIDO2 ist rückwärts kompatibel mit allen zuvor zertifizierten FIDO-Sicherheitshardwares und -softwares, sodass diese Lösungen weiterhin für Webbrowser genutzt werden können, die WebAuthn unterstützen. Die FIDO Alliance selbst empfiehlt denjenigen Unternehmen, die FIDO für ihre Online- und mobilen Services verfügbar machen möchten, einen Universal Server einzusetzen, um dadurch alle FIDO-zertifizierten Authentifikatoren unterstützen zu können – egal ob mit zweitem Faktor (U2F), mobil (UAF) oder FIDO2.
FIDO-Authentifizierung von OneSpan
Als Mitglied der FIDO Alliance und aktiver Teilnehmer der FIDO2-Arbeitsgruppe ist OneSpan Teil von FIDOs Initiative zur Standardisierung der Authentifizierungsbranche. Unser FIDO-Authentifizierungsportfolio umfasst eine FIDO-Universal-Server-Lösung, die U2F-, UAF- und FIDO2-Lösungen unterstützt.
Unternehmen brauchen heutzutage flexible Authentifizierungsmethoden. Viele Finanzinstitute, die Hardware-Authentifizierungstoken an Kunden ausgegeben haben, bieten nun für ihre Mobile-first-Kunden auch mobile Authentifizierungsmethoden an. Diese Unternehmen benötigen sowohl Hardware- als auch Software-Optionen, um eine Reihe von Kundenansprüchen und Fallbeispielen zu bedienen. OneSpan unterstützt sie dabei durch:
- Vollumfängliche FIDO-Funktionen – als Teil der OneSpan Mobile Security Suite. Das bedeutet, dass Unternehmen zur Verbesserung der Kundenerfahrung eine kennwortlose Authentifizierung implementieren können, indem sie statt statischen Kennwörtern moderne Funktionen wie Biometrie verwenden. Gleichzeitig können sie den Schutz ihrer mobilen Anwendungen vor Phishing, Man-in-the-Middle- und Replay-Angriffen gewährleisten.
- Einen Bluetooth-fähigen FIDO-Hardware-Authentifikator, der Finanzinstituten ermöglicht, beliebige Software- und Hardware-Kombinationen für die eigenen Authentifizierungsbedürfnisse einzusetzen.
FIDO-zertifizierte Authentifizierungsmethoden sind sofort einsatzbereit, wenn sie auf dem Markt verfügbar sind. Aufgrund der Standardisierung ist jede Anwendung mit jedem Gerät und jedem Authentifikator kompatibel. Dadurch haben Unternehmen freie Wahl hinsichtlich der Methoden, die sie zur Kundenauthentifizierung anbieten möchten.
Besuchen Sie unsere Seite zum Thema FIDO-Authentifizierung, um mehr über FIDO für kennwortlose Anmeldungen und Fallbeispiele für die Transaktionsvalidierung zu erfahren.
