Passwortfreie Authentisierung: die sichere und nahtlose Kundenerfahrung

Passwörter sind mühsam und ineffektiv

Anmeldedaten verifizieren die Identitäten der Benutzer, um den Zugriff zu kontrollieren. Die gängigste Art der Benutzerauthentifizierung ist eine Kombination aus Benutzernamen und Passwort. Dieses Modell basiert auf einem Wissensfaktor: Der Benutzer muss die Kenntnis eines Geheimnisses nachweisen, um sich zu authentisieren. Obwohl es eine einfache und weit verbreitete Lösung ist, ist sie gleichzeitig ein Fluch für Sicherheitsexperten.

Passwörter sind eine Qual für die Benutzer. Sie sind – besonders auf mobilen Geräten – mühsam zu tippen und allgemein schwer zu merken. Dies veranlasst viele Benutzer dazu, einfache Passwörter zu verwenden, sie für die meisten Konten wiederzuverwenden und für lange Zeit nicht zu ändern.

Passwörter sind nicht nur lästig für die Benutzer, sie sind als Teil digitaler Identitäten auch ein leichtes Spiel für Hacker. Bei der Registrierung speichert der Server das Benutzergeheimnis, damit es mit dem während der Authentisierung angegebenen verglichen werden kann. Der Benutzer hat keine Kontrolle darüber, was der Server mit dem Passwort macht, und muss darauf vertrauen, dass dieser es sicher abspeichert. Server können angegriffen werden, wodurch Unmengen von Passwörtern durchsickern können (T-Mobile Austria beispielsweise speichert Passwörter teilweise im Klartext).Wenn ein mehrfach verwendetes Passwort nicht mehr sicher ist, sind alle Konten, die das gleiche Passwort verwenden, angreifbar.

78% der Angriffe auf Web-Applikationen erfolgen mit gestohlenen Anmeldedaten

All diese Faktoren sind ein guter Grund, um Authentifizierungslösungen in Betracht zu ziehen, die Passwörter unnötig machen. Anstatt die Identität des Benutzers mit einem Passwort zu verifizieren, kann dies mithilfe von Verfahren erfolgen, die auf einem Besitzfaktor basieren. Dazu zählt etwa ein registriertes Mobilgerät oder ein Hardware-Token, über das/den nur der Benutzer verfügt, oder ein inhärenter Faktor, der mit dem Benutzer assoziiert ist, wie etwa die biometrische «Unterschrift» (z.B. durch Fingerabdruck, Gesichts-, Stimm- oder Iriserkennung). Passwortfreie Methoden verbessern die Benutzerfreundlichkeit durch ein reibungsloses Erlebnis und erhöhen die Akzeptanz mobiler Lösungen.

Eine sichere und standardisierte Lösung

Eine von mehreren Technologien, die eine passwortfreie Authentisierung ermöglichen, ist FIDO2, ein Set von Standards, das für eine schnelle, einfache und sichere Authentifizierung geschaffen wurde. FIDO2 ermöglicht auch eine Zwei-Faktor-(2FA-) und eine Multi-Faktor-(MFA-)Authentifizierung, was es zu einer umfassenden Authentifizierungslösung macht.

Das von der FIDO Alliance und dem W3C entwickelte FIDO2 kombiniert die beiden Spezifikationen Web Authentication API (WebAuthn) und Client-to-Authenticator Protocol (CTAP). FIDO2 standardisiert das Authentifizierungsprotokoll, das zwischen dem Client und einem Online-Dienst, der sogenannten «Relying Party», verwendet wird. Eine Vielzahl von Authentifikatoren können dank FIDO2 auf interoperable Weise zusammenarbeiten, wodurch ein Ökosystem von Client-Authentifizierungsmethoden entsteht. Ein Authentifikator stellt das kryptografische Know-how in der Transaktion bereit, die sich auf Public-Key-Kryptografie stützt, um dem Endbenutzer eine starke passwortfreie Authentisierung zu bieten. Beim erstmaligen Setup generiert und speichert der Authentifikator ein asymmetrisches Schlüsselpaar für den Benutzer. Der private Schlüssel wird sicher auf dem Authentifikator gespeichert, während der entsprechende öffentliche Schlüssel an die «Relying Party» gesendet wird. Ein Authentifikator kann Teil des Geräts des Benutzers oder ein externes Stück Hard- oder Software sein. Ausserdem kann er mehrere Benutzerverifizierungsmethoden verwenden, um kryptografische Vorgänge zu autorisieren. Beliebte Beispiele für On-Device-Authentifikatoren sind biometrische Authentifikatoren wie die Touch ID und Face ID auf iOS-Geräten oder Windows Hello. Externe Authentifikatoren sind Sicherheitsschlüssel wie YubiKey, die man an einem Computer einsteckt.

Im Gegensatz zu Passwörtern werden Benutzergeheimnisse wie der private Schlüssel oder die Fingerabdruckdaten immer nur vom Authentifikator verwendet, um diese zu entsperren, aber mit niemandem sonst geteilt. Da der öffentliche Schlüssel kein Geheimnis ist, müssen sich die Benutzer keine Sorgen machen, ob der Server ihn sicher aufbewahrt, und die Datenbanken werden damit für Hacker weniger attraktiv, was folglich die Sicherheit der Lösung erhöht.

Ein Benutzer registriert sich für ein neues Dienstleistungsangebot ...

Um auf ein Online-Angebot zugreifen zu können, muss sich der Benutzer zunächst registrieren. Dafür besucht er typischerweise die Website und erstellt ein neues Konto. Nach der Eingabe eines Benutzernamens wird der Benutzer aufgefordert, einen Authentifikator zu wählen, der den Anforderungen des Online-Dienstes entspricht. Authentifikatoren können einen Anmeldeschritt erfordern, um aktiviert zu werden, wie das Hinzufügen eines Fingerabdrucks zu einem biometrischen Authentifikator.

Vor dem Erstellen der Anmeldedaten des Benutzers muss der ausgewählte Authentifikator vom Benutzer entsperrt werden. Dieser Vorgang hängt von der gewählten Verifizierungsmethode des Benutzers ab und kann ein Bestätigen der Anwesenheit des Benutzers bedingen, etwa durch die biometrische Verifizierung auf dem Mobiltelefon oder durch das Drücken einer Hardwaretaste. Im Falle einer Multi-Faktor-Authentifizierung wird eine zusätzliche Benutzerverifizierung gefordert.

Nach der Entsperrung generiert der Authentifikator ein neues öffentlich-privates Schlüsselpaar, das für das lokale Gerät, den Online-Dienst und das Benutzerkonto eindeutig ist. Der öffentliche Schlüssel wird an den Online-Dienst gesendet und mit dem Benutzerkonto verknüpft, sodass er später als Nachweis wiederverwendet werden kann. Der private Schlüssel bleibt auf dem lokalen Gerät gespeichert.

Damit ist die Registrierung abgeschlossen und der Online-Dienstleister teilt dem Benutzer mit, dass er sich erfolgreich registriert hat.

Nach abgeschlossener Registrierung kann der Benutzer nun authentifiziert werden. Sobald er zur Website navigiert und auf «Anmelden» klickt, fordert der Online-Dienst den Benutzer auf, eine Identität auszuwählen und den Anmeldevorgang mit einem zuvor registrierten Authentifikator abzuschliessen, der den Akzeptanzrichtlinien des Dienstleisters entspricht.

Der Dienstleister generiert daraufhin eine Anfrage (eine sogenannte «Challenge»), die an den Authentifikator gesendet wird und mit dem privaten Schlüssel, der dem Konto des Benutzers entspricht, signiert werden muss. Auf den privaten Schlüssel kann erst zugegriffen werden, wenn der Benutzer den Authentifikator freigeschaltet hat.

Der Authentifikator signiert die Anfrage und sendet die Assertion-Signatur an die «Relying Party», die sie mit dem öffentlichen Schlüssel des Benutzers verifiziert. Wenn die Verifizierung erfolgreich ist, hat der Benutzer bewiesen, dass er den privaten Schlüssel besitzt, und ist angemeldet.

Konto-Wiederherstellung