FIDO (Fast Identity Online)
Was ist FIDO (Fast Identity Online)?
FIDO (Fast Identity Online) ist ein Satz von technologieunabhängigen Sicherheitsspezifikationen für eine starke Authentifizierung. FIDO wird von der FIDO Alliance entwickelt, einer gemeinnützigen Organisation, die sich um die Standardisierung der Authentifizierung auf Client- und Protokollebene bemüht.
Die FIDO-Spezifikationen unterstützen Multifaktor-Authentifizierung (MFA) und Public-Key-Kryptografie. Im Gegensatz zu Passwortdatenbanken speichert FIDO persönlich identifizierbare Informationen, wie zum Beispiel biometrische Authentifizierungsdaten, lokal auf dem Gerät des Benutzers, um sie zu schützen. Die lokale Speicherung von biometrischen Daten und anderen persönlichen Identifikationsmerkmalen durch FIDO soll die Bedenken der Benutzer hinsichtlich der Speicherung persönlicher Daten auf einem externen Server in der Cloud zerstreuen. Durch die Abstrahierung der Protokollimplementierung mit APIs reduziert FIDO auch den Arbeitsaufwand für Entwickler, die sichere Anmeldungen für mobile Clients mit unterschiedlichen Betriebssystemen auf verschiedenen Hardwaretypen erstellen müssen.
FIDO unterstützt das Universal Authentication Framework (UAF), die U2F-Protokolle (Universal Second Factor) und FIDO2. Bei UAF erstellt das Client-Gerät bei der Registrierung bei einem Online-Dienst ein neues Schlüsselpaar und behält den privaten Schlüssel; der öffentliche Schlüssel wird bei dem Online-Dienst registriert. Bei der Authentifizierung beweist das Client-Gerät dem Dienst den Besitz des privaten Schlüssels, indem es eine Herausforderung unterschreibt, die eine benutzerfreundliche Aktion beinhaltet, wie zum Beispiel die Abgabe eines Fingerabdrucks, die Eingabe einer PIN, die Aufnahme eines Selfies oder das Sprechen in ein Mikrofon.
Die Geschichte der FIDO Alliance
Im Jahr 2007 versuchte PayPal, die Sicherheit zu erhöhen, indem es MFA für seine Kunden in Form eines OTP-Schlüsselanhängers (One Time Password, Einmalpasswort) einführte: Secure Key. Obwohl Secure Key effektiv war, waren die Akzeptanzraten niedrig - er wurde im Allgemeinen nur von wenigen sicherheitsbewussten Personen verwendet. Der Schlüsselanhänger erschwerte die Authentifizierung, und die meisten Benutzer sahen einfach keine Notwendigkeit, ihn zu verwenden.
PayPal hat daraufhin evaluiert, wie sich ein Fingerabdruck in die Technologie einbinden lässt. Ramesh Kesanupalli, damals CTO von Validity Sensors, hat sich mit dem damaligen CISO von PayPal, Michael Barret, unterhalten. Barret war der Meinung, dass die Branche für diesen Zweck einen Standard benötigt, der sämtliche Hardware für Authentifizierung unterstützt. Kesanupalli hat diesen Ansatz weiterverfolgt und Kollegen aus der Branche an einen Tisch geholt, um ihn zu diskutieren. Das Resultat dieses Treffens war die FIDO Alliance. Im Februar 2013 wurde die Allianz der Öffentlichkeit vorgestellt. Seitdem sind viele Unternehmen Mitglied geworden, darunter Google, Microsoft, Apple, ARM, Bank of America, Mastercard, Visa, Samsung, Dell und RSA.
Heute wird die FIDO-Authentifizierung von drei Grundsätzen geleitet: Benutzerfreundlichkeit, Standardisierung und Datenschutz/Sicherheit.
