Was ist FIDO?

Die FIDO-Allianz

Die Fast Identity Online (FIDO) Alliance ist ein Konsortium führender Technologieunternehmen, Regierungsbehörden, Dienstleister, Finanzinstitute, Zahlungsabwickler und anderer Branchen, das 2013 mit dem Ziel gegründet wurde, die Verwendung von Passwörtern auf Websites, Apps und Websites zu vermeiden Geräte.

Wer ist Teil der FIDO Alliance?

Die FIDO Alliance hat mehr als 250 Mitglieder, darunter weltweit führende Technologieunternehmen in den Bereichen Unternehmen, Zahlungsverkehr, Telekommunikation, Regierung und Gesundheitswesen. Führende Unternehmen wie Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal und OneSpan haben eine Mitgliedschaft auf Vorstandsebene.

Was ist FIDO-Authentifizierung?

Die FIDO-Authentifizierung ist eine Idee der FIDO Alliance. Ziel der FIDO-Authentifizierungsstandards ist es, die Verwendung von Kennwörtern zu reduzieren und die Authentifizierungsstandards auf Desktops und Mobilgeräten zu verbessern. FIDO wurde entwickelt, um die Sicherheit und Privatsphäre von Personen zu schützen, da private Schlüssel und biometrische Daten bei Verwendung niemals das Gerät einer Person verlassen. Sie können beispielsweise einen Fingerabdruck wischen oder eine einmalige PIN eingeben und müssen sich kein komplexes Kennwort merken. FIDO wird auch von gängigen Browsern und Betriebssystemen wie Windows 10- und Android-Plattformen, Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari-Webbrowsern unterstützt.

Statische Passwörter können von Cyberkriminellen leicht mit Phishing, Malware und anderen Arten von Angriffen gestohlen werden. Darüber hinaus haben große Datenverletzungen dazu geführt, dass Kriminellen im Dark Web unzählige Benutzernamen, Passwörter und andere personenbezogene Daten (PII) zur Verfügung stehen. Dies hat zu einem explosiven Anstieg von Finanzbetrug wie Kontoübernahme, Social Engineering und Man-in-the-Middle-Angriffen geführt. Regierungen, politische Entscheidungsträger und Regulierungsbehörden haben daraufhin Gesetze und Vorschriften zur Cybersicherheit und Datensicherheit eingeführt, die Finanzinstitute und andere Organisationen dazu verpflichten, den Zugang zu ihren Portalen, Apps und Systemen durch Multi-Faktor-Authentifizierung (MFA) und starke Kundenauthentifizierung (SCA) zu schützen. . Im Jahr 2013, als die FIDO Alliance ins Leben gerufen wurde, stieg das öffentliche Bewusstsein für Datenschutzverletzungen. Heute danach hochkarätige Verstöße Wie bei Yahoo (3 Milliarden Konten offengelegt), Marriott (500 Millionen) und Equifax (147 Millionen) ist es klar, dass der Zugriff auf Online-Konten und -Systeme durch eine starke Authentifizierung anstelle von Passwörtern geschützt werden muss.
 

Wie aktiviert die FIDO-Authentifizierung die kennwortlose Anmeldung?

Das FIDO Alliance hat Spezifikationen und Zertifizierungen erstellt, die mit der Hardware und den mobilen Authentifikatoren vieler Anbieter sowie der biometrischen Authentifizierung wie Gesichtserkennung auf verschiedenen Browsern und Betriebssystemen kompatibel sind. Dies ermöglicht eine kennwortlose Authentifizierung und Anmeldung bei vielen Apps und Websites für eine reibungslosere Benutzererfahrung. Die FIDO-Authentifizierungsstandards basieren auf Kryptografie mit öffentlichen Schlüsseln und bieten ein sicheres, einfaches Anmeldeerlebnis und eine bessere Sicherheit für Web- und Onlinedienste zu geringeren Kosten. Die neueste Authentifizierungsspezifikation von FIDO ist das Client to Authenticator Protocols (CTAP). CTAP ist eine Ergänzung zum WebAuthn-Spezifikation (Web Authentication) von W3C ;; WebAuthn ist die Standard-Web-API, die in Webbrowsern und Plattformen integriert ist und die Unterstützung für die FIDO-Authentifizierung ermöglicht. CTAP und WebAuthn zusammen werden als FIDO2 bezeichnet.

FIDO2 ist das neueste Protokoll der FIDO-Allianz

FIDO2 ist das neueste FIDO-Authentifizierungsprotokoll. Die FIDO Alliance hat FIDO2 entwickelt, das bequemer ist und mehr Sicherheit bietet als herkömmlicher Passwortschutz. Dieser Standard wurde vom World Wide Web Consortium (W3C) genehmigt. Die FIDO2-Spezifikationen bestehen aus dem Web Authentication (WebAuthn) -Protokoll des W3C und dem Client-to-Authenticator Protocol (CTAP) der FIDO Alliance. Zusammen ermöglichen diese Komponenten die Authentifizierung.

CTAP

Mit CTAP können sich Benutzer ohne Kennwort anmelden, indem sie einen Sicherheitsschlüssel oder ihr Mobiltelefon verwenden, um Authentifizierungsdaten über USB, Bluetooth oder NFC (Near Field Communication) an das Gerät einer Person zu übermitteln. Infolgedessen erleichtert CTAP die Authentifizierung bei Webbrowsern.

WebAuthn

Mit WebAuthn können Onlinedienste die FIDO-Authentifizierung über eine Standard-Web-API (Application Programming Interface) verwenden, die in Browser integriert werden kann und die Kommunikation von Geräten ermöglicht. WebAuthn und CTAP ermöglichen es Benutzern, sich mit Biometrie, PINs oder externen FIDO-Authentifikatoren auf einem FIDO2-Server zu identifizieren, der zu einer Website oder Web-App gehört. FIDO2 ist abwärtskompatibel mit zuvor zertifizierter FIDO-Sicherheitshardware.

Wie die FIDO-Authentifizierung die Sicherheit und den Datenschutz verbessert

Die FIDO-Spezifikationen für die Authentifizierung sollen die Privatsphäre der Benutzer schützen, da FIDO verhindert, dass die Informationen eines Kunden über die verschiedenen von ihm verwendeten Onlinedienste hinweg verfolgt werden. FIDO wurde speziell entwickelt, um die Privatsphäre der Benutzer zu verbessern.

FIDO und Public Key Infrastructure (PKI)

FIDO basiert auf der Kryptographie mit öffentlichen Schlüsseln. Gemäß Gärtner "Die Public-Key-Infrastruktur (PKI) wurde hauptsächlich entwickelt, um den sicheren Informationsaustausch über unsichere Netzwerke zu unterstützen." Ein gutes Beispiel ist ein Verbraucher, der mit seiner Bank über die Mobile-Banking-App auf seinem Telefon Geschäfte abwickelt. Die Kommunikation zwischen dem Server der Bank und dem Telefon des Kunden muss verschlüsselt werden. Dies erfolgt mit kryptografischen Schlüsseln, die als privates und öffentliches Schlüsselpaar bezeichnet werden. Stellen Sie sich diese PKI-Schlüssel als Sperren und Entsperren verschlüsselter privater Informationen über das Bankgeschäft vor. Der öffentliche Schlüssel wird beim Onlinedienst registriert, beispielsweise beim Server einer Bank. Der private Schlüssel des Clients kann erst verwendet werden, nachdem er vom Benutzer auf dem Gerät entsperrt wurde. Infolgedessen gibt es keine serverseitigen Geheimnisse, die Cyberkriminelle stehlen könnten.  

Darüber hinaus werden keine Informationen zwischen dem öffentlichen und dem privaten Schlüssel geteilt. Wenn Sie sich beispielsweise bei einem Onlinedienst authentifizieren möchten, der die FIDO-Authentifizierung unterstützt, können Sie dazu ein FIDO 2FA-Authentifizierungsgerät verwenden, das an den USB-Anschluss Ihres Laptops angeschlossen wird. Wenn Sie ein FIDO-fähiges Apple- oder Android-Smartphone verwenden, können Sie Ihr Telefon auch als FIDO-Authentifikator verwenden. Zunächst werden Sie aufgefordert, einen FIDO2-Authentifikator auszuwählen, z. B. den Digipass FIDO Touch von OneSpan, der den Akzeptanzrichtlinien des Onlinedienstes entspricht. Anschließend entsperren Sie Ihren FIDO-Authentifikator mithilfe einer PIN, eines Fingerabdrucks, eines Gesichts-Scans oder einer Schaltfläche auf einem Hardwaregerät. Durch die Verwendung der FIDO-Authentifizierung zum Anmelden ist kein Kennwort mehr erforderlich.

Wie die FIDO-Authentifizierung Phishing und andere Angriffe verhindert

Die FIDO-Authentifizierung eliminiert Passwörter. Passwörter sind das schwächste Glied in der Authentifizierungskette. Infolgedessen sind die FIDO-Standards widerstandsfähiger gegen Social-Engineering-Angriffe wie Phishing, bei denen Kriminelle versuchen, Menschen mit emotionalen oder überzeugenden Appellen dazu zu bringen, auf böswillige Links zu klicken, um ihre Benutzernamen, Passwörter und vertraulichen Informationen zu stehlen. Die FIDO-Authentifizierung bekämpft auch Man-in-the-Middle-Angriffe (MITM), bei denen die Kommunikation zwischen dem Gerät eines Kunden und dem Server eines Finanzinstituts abgefangen werden kann. Bei dieser Art von Angriff kann ein Krimineller eine finanzielle Transaktion zu seinem eigenen Vorteil ändern. Die FIDO-Spezifikation befasst sich mit dem Datenschutz, da die privaten Schlüssel und biometrischen Vorlagen niemals das Gerät des Benutzers verlassen und niemals auf einem Server gespeichert werden. Die Schlüssel sind für jede Transaktion einzigartig und bilden eine kleinere Angriffsfläche für Cyberkriminelle. Durch die Anforderung einer PIN, eines Fingerabdrucks oder eines Gesichts-Scans überprüft der FIDO-Authentifikator, ob es sich bei der angemeldeten Person um einen echten, lebenden Menschen hinter dem Computer handelt und nicht um einen Remote-Hacker oder Trojaner.

Wie die FIDO-Authentifizierung das Kundenerlebnis vereinfacht

Der Kunde muss sich nicht mehr komplexe, mehrfache Passwörter für verschiedene Geräte oder Websites merken. Ihre biometrische oder PIN ermöglicht es ihnen, ihren privaten Schlüssel auf ihrem Gerät mit einer einfachen Aktion zu entsperren, z. B. einem Fingerabdruck oder einem Gesichts-Scan, der Eingabe eines einmaligen Passcodes (OTP), der Spracherkennung oder der Eingabe eines von einer Hardware generierten OTP Zeichen. Der öffentliche Schlüssel wird auf dem Server der Bank gespeichert, um zu überprüfen, was auf dem privaten Schlüssel entweder zur Authentifizierung oder für eine Transaktion signiert wurde. Anmeldeinformationen werden niemals an ein Unternehmen gesendet oder von diesem gespeichert, mit dem Sie Transaktionen durchführen. Dies schützt die Privatsphäre und schützt Anmeldeinformationen vor kriminellem Zugriff. Die Standards verbessern auch das Online-Kundenerlebnis und können zur Steigerung der Kundenbindung beitragen, indem sie die Verwendung einer starken Authentifizierung vereinfachen.

Compliance

Die FIDO-Standards entsprechen den Vorschriften für eine stärkere Benutzerauthentifizierung. FIDO wurde entwickelt, um die Anforderungen der überarbeiteten technischen Spezifikationen (RTS) der Richtlinie über Zahlungsdienste (PSD2) der Europäischen Union zu erfüllen, da die Kundenauthentifizierung auf zwei oder mehr Faktoren basieren muss, einschließlich Passwörtern oder PIN, Token oder Mobilgeräten oder Biometrie.

Die FIDO-Standards sind auch auf folgende Einhaltung ausgelegt:

• Die Allgemeine Datenschutzverordnung (DSGVO): Jede Organisation, die Daten von EU-Bürgern betreibt, speichert oder verarbeitet, unterliegt den Anforderungen der DSGVO. Die Verwendung einer PIN oder einer Biometrie zur Überprüfung, ob jemand tatsächlich der ist, von dem er sagt, dass er er ist, ist ein Beispiel für die von der DSGVO geforderte Multi-Faktor-Authentifizierung.
• Die Financial Action Task Force (FATF): In den Leitlinien zur digitalen Identität der FATF heißt es: „Der in diesen Leitlinien empfohlene risikobasierte Ansatz basiert auf einer Reihe von Open-Source-Rahmenbedingungen für die konsensgesteuerte Sicherheit und technischen Standards für digitale ID-Systeme.“
• Cybersicherheitsbestimmungen des New Yorker Finanzministeriums (NYDFS): Die größte staatliche Aufsichtsbehörde des Staates New York ist die NYDFS. Die NYDFS führte Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen ein, die die Verwendung von MFA „zum Schutz vor unbefugtem Zugriff auf nicht öffentliche Informationen oder Informationssysteme“ erfordern - wobei nicht öffentliche Informationen die privaten Informationen des Einzelnen sind.
• Das Nationale Institut für Standards und Technologie (NIST): Die FIDO-Authentifizierung wurde entwickelt, um die von NIST festgelegten Anforderungen für die Authentifizierung von Benutzern in seinen Netzwerken zu erfüllen, da sie die NIST-Richtlinien für eine starke Authentifizierung erfüllt.