IT-Sicherheit:Anmelden ohne Passwort

IT-Sicherheit: Fido arbeitet mit einem öffentlichen und einem geheimen Schlüssel. Letzterer kommt von einem Chip in Computer, Handy oder einem USB-Token.

Fido arbeitet mit einem öffentlichen und einem geheimen Schlüssel. Letzterer kommt von einem Chip in Computer, Handy oder einem USB-Token.

(Foto: oh)
  • Mit Fido2 sollen Internetnutzer online sicher ihre Identität nachweisen können und zwar ohne Passwort.
  • Die Methode basiert auf der Verschlüsselung mit einem geheimen und einem öffentlichen Schlüssel.
  • An dem Verfahren haben unter anderem Amazon, Microsoft, Google, IBM, Mozilla, Intel, Facebook, Mastercard, Paypal, Samsung und Yubico gearbeitet.

Von Helmut Martin-Jung

Log-in eintippen, dann das Passwort und schon ist man drin, zum Beispiel bei seinem Online-Händler. So sind Internetnutzer das gewohnt, doch nahezu tagtäglich werden Fälle bekannt, bei denen Unternehmen fahrlässig oder schlampig mit diesen Informationen umgegangen sind. Oder es hat sich ein Hacker zwischen einen Computer und einen Online-Dienstleister geschoben und leitet die Daten zu sich um. Oder man schickt die Daten versehentlich an den falschen Adressaten. Oder, oder, oder ... Klar ist also: Sicher ist das alles nicht. Doch es naht Hilfe, und sie verspricht zwei Dinge zu vereinen, die lange für unvereinbar gehalten wurden: Sicherheit und Bequemlichkeit.

Die Rede ist von einer neuen Methode, wie Internetnutzer online ihre Identität nachweisen können - und zwar nicht bloß sicher, sondern auch ohne Passwort. Dieses kleine Wunder der Technik hört auf den Namen Fido2. Die Abkürzung steht für "fast identity online", die Methode basiert auf der Verschlüsselung mit einem geheimen und einem öffentlichen Schlüssel. Für jeden Dienst, bei dem man sich anmeldet, also zum Beispiel bei Amazon, Dropbox oder Microsoft, wird ein eigener öffentlicher Schlüssel erzeugt.

Beim Anmeldevorgang kommunizieren dann der Server des Anbieters, zum Beispiel Dropbox, autonom mit einem sogenannten Authenticator. Das kann ein besonders gesicherter Chip eines Smartphones oder Computers sein oder aber ein kleines externes Gerät, das in eine USB-Buchse gesteckt wird . Alles, was ein Nutzer tun muss, um die Anmeldung zu bestätigen, ist, auf dem Smartphone seine PIN einzutippen, den Finger auf den entsprechenden Knopf zu legen, um den Fingerabdruck zu überprüfen, oder auf das USB-Gerät zu tippen.

Extern gespeichert

Das Gute daran ist, dass der geheime Schlüssel, der auf dem externen USB-Gerät oder in Chips von Computern und Smartphones gespeichert ist, aus Prinzip nicht ausgelesen werden kann. Die Überprüfung, ob öffentlicher und geheimer Schlüssel zusammenpassen, findet in dem gesicherten Bereich auf PC, Smartphone oder USB-Gerät statt. Solange ein Angreifer also keinen physischen Zugriff auf Handy, Computer oder USB-Gerät hat, ist er chancenlos.

Im Umkehrschluss bedeutet das natürlich auch, dass man auf diese Gegenstände achten sollte - genauso, wie eben auch auf den Hausschlüssel aus der analogen Welt. Und bei Handy und PC bräuchte ein potenzieller Angreifer auch noch den Code zum Entsperren des Geräts. Dass einem Online-Kriminelle funktionierende Anmeldedaten online per Phishing abjagen, kann aber jedenfalls nicht mehr passieren. Denn jede Anmeldung gilt immer nur für die jeweilige Internetseite. Leitet einen der Phisher also auf eine Fake-Seite um, gilt die Anmeldung auch nur für diese Seite, nicht für die echte. Auch das Belauschen der Leitung bringt nichts, weil keine geheimen Informationen darüber laufen.

An Fido2 hat ein Zusammenschluss wichtiger Firmen seit Längerem gearbeitet, darunter sind unter anderem Amazon, Microsoft, Google, IBM, Mozilla, Intel, Facebook, Mastercard, Paypal, Samsung und Yubico. Das lässt hoffen, dass sich die neue Anmeldemethode auf breiter Front durchsetzen wird. Einzelne Firmen wie Microsoft bieten bereits die Möglichkeit, Fido2 auszuprobieren. Damit die Sache funktioniert, müssen die Diensteanbieter das standardisierte Verfahren Web Authn umsetzen. Browser wie Chrome, Edge oder Firefox beherrschen das neue Verfahren, ebenso die Betriebssysteme Windows und Android.

Dass sich auf diesem Gebiet endlich etwas tut, ist überfällig. In einer Studie des auf IT-Sicherheit spezialisierten Ponemon Institute von Anfang dieses Jahres gaben 63 Prozent der Befragten an, sie machten sich vermehrt Sorgen um die Sicherheit ihrer Daten im Netz. Gut die Hälfte der Teilnehmer sagte, sie seien bereits einmal Opfer einer Phishing-Attacke gewesen. Auf ihr Verhalten hat das aber keinen allzu großen Einfluss gehabt: 51 Prozent nutzen trotzdem dasselbe Passwort für durchschnittlich fünf unterschiedliche Dienste, 69 Prozent geben ihre Passwörter auch an Kollegen weiter.

Die Befragten sagten den Interviewern außerdem, dass sie pro Woche mehr als zehn Minuten damit beschäftigt seien, sich um ihre privaten und beruflichen Passwörter zu kümmern, sprich: sie zu ändern oder zurückzusetzen. Kein Wunder, dass sich 57 Prozent der Teilnehmer ein Anmeldeverfahren ohne Passwörter wünschen, das trotzdem sicher ist. Die meisten setzen dabei auf Hardware, wie die kleinen USB-Schlüssel.

Zur SZ-Startseite

Schutz von Daten
:Warum der Yubikey toll, aber unpraktisch ist

Hardware-Schlüssel wie der Yubikey können helfen, Online-Konten gegen heimtückisches Phishing zu schützen. Der SZ-Test zeigt aber: Privatnutzer müssen dafür auf etwas Komfort verzichten.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: