FIDO (Fast Identity Online)
FIDO (Fast ID Online) ist ein Satz an plattformunabhängigen Security-Spezifikationen, um starke Authentifizierung zu ermöglichen. FIDO wird von der FIDO Alliance entwickelt. Das ist eine gemeinnützige Organisation, die im Jahre 2012 gegründet wurde.
Die Spezifikationen für FIDO unterstützen MFA (Multifaktor-Authentifizierung) und Kryptografie mit einem öffentlichen Schlüssel (Public Key). Ein großer Vorteil der zu FIDO kompatiblen Authentifizierung ist die Tatsache, dass die Anwender ihre komplizierten Passwörter nicht benutzen müssen. Weiterhin müssen sie sich nicht mit komplexen Richtlinien für starke Passwörter auseinandersetzen. Sollte ein Nutzer sein Passwort vergessen haben, dann ist keine Prozedur zur Wiederherstellung notwendig. Anders als Datenbanken für Passwörter speichert FIDO persönliche Informationen zur Identifikation (PII – Personal Identifying Information) wie zum Beispiel biometrische Authentifizierung lokal, also auf dem Gerät des Anwenders, um es angemessen zu schützen. FIDOs lokaler Speicher an Biometriedaten und anderen Komponenten zur persönlichen Identifizierung richten sich an die Bedenken des Anwenders, die Bedenken haben persönliche Daten auf einem Server in der Cloud zu speichern. Abstrahiert man die Implementierung des Protokoll mithilfe von APIs (Application Programming Interfaces), reduziert FIDO außerdem die Arbeit der Entwickler. Es lassen sich einfacher sichere Anmeldeprozeduren für mobile Clients mit verschiedenen Betriebssystemen auf unterschiedlicher Hardware kreieren.
FIDO unterstützt die Protokolle UAF (Universal Authentication Framework) und U2F (Universal Second Factor). Bei UAF erzeugt das Client-Gerät während der Registrierung mit einem Online Service ein neues Schlüsselpaar und behält den privaten Schlüssel. Der öffentliche Schlüssel wird beim Online Service registriert. Während der Authentifizierung beweist das Client-Gerät, dass es sich im Besitz des privaten Schlüssels befindet. Das beinhaltet eine für den Anwender freundliche Aktion wie zum Beispiel ein Fingerabdruck, die Eingabe einer PIN oder das Sprechen in ein Mikrofon. Bei U2F ist ein starker zweiter Faktor notwendig. An dieser Stelle sind zum Beispiel NFC (Near Field Communication) oder ein USB Security Token denkbar.
Die Geschichte der FIDO Alliance
Im Jahre 2007 hat wollte PayPal die Security für seine Kunden verbessern und hat MFA eingeführt. Dazu bediente man sich eines Schlüsselanhängers, der ein Einmalpasswort (OTP – One Time Password) erzeugte. Die Firma bezeichnete das als Secure Key. Auch wenn sich Secure Key als effizient herausstellte, war die Akzeptanz nur mäßig. Eigentlich haben es nur Anwender verwendet, die sehr viel Wert auf Security legten. Der Schlüsselanhänger verkomplizierte die Authentifizierung und die meisten Anwender waren der Ansicht, die Komponente nicht zu brauchen.
PayPal hat darauf hin evaluiert, wie sich ein Fingerabdruck in die Technologie einbinden lässt. Ramesh Kesanupalli, damals CTO von Validity Sensors, hat sich mit dem damaligen CISO von PayPal, Michael Barret, unterhalten. Barret war der Meinung, dass die Branche für diesen Zweck einen Standard benötigt, der sämtliche Hardware für Authentifizierung unterstützt. Kesanupalli hat diesen Ansatz weiterverfolgt und Kollegen aus der Branche an einen Tisch geholt, um ihn zu diskutieren. Das Resultat dieses Treffens war die FIDO Alliance. Im Februar 2013 wurde die Allianz der Öffentlichkeit vorgestellt. Seitdem sind viele Unternehmen als Mitglieder beigetreten. Dazu gehören Google, ARM, Bank of America, Master Card, Visa, Microsoft, Samsung, LG, Dell und RSA. Microsoft hat FIDO als Möglichkeit zur Authentifizierung in Windows 10 aufgenommen.
