Was die IT über FIDO2 für iOS und Android wissen muss
Der FIDO2-Standard kann Unternehmen bei der passwortlosen Authentifizierung helfen. Doch die IT sollte genau wissen, wie eine Anwendung oder Website dazu die WebAuthn-API nutzt.
Mit dem FIDO2-Standard können Organisationen ihren Nutzern einen sichereren Authentifizierungsprozess bieten. Das gilt für die Anmeldung auf Desktops, mobilen Geräten, Webbrowsern sowie anderen Anwendungen und Services.
Organisationen, die den FIDO2-Standard (Fast Identity Online 2) einführen, ermöglichen den Nutzern eine passwortlose Authentifizierung für die meisten alltäglichen Interaktionen mit Accounts. Zudem lässt sich damit auch das Sicherheitsniveau durch einen zweiten Authentifizierungsfaktor erhöhen.
Je mehr Anbieter den FIDO2-Standard für iOS und Android verwenden, desto wichtiger wird es, dass IT-Fachleute verstehen, was FIDO ist und wie dieser Standard auf mobilen Geräten funktioniert.
Was ist FIDO?
In den meisten Fällen benötigen Nutzer neben ihrem Benutzernamen ein Passwort für mehrere Konten. Die FIDO-Standards machen aber ein Passwort in vielen alltäglichen Situationen überflüssig. Stattdessen ermöglichen diese Standards die Nutzung von stärkeren Faktoren, zum Beispiel Biometrie und Hardware-Sicherheitsschlüssel.
Die FIDO Alliance, ein Zusammenschluss von Anbietern wie Nok Nok Labs, Microsoft und vielen anderen, entwickelte den FIDO-Standard im Jahr 2014. FIDO2, die jüngste Version, ist seit 2018 allgemein verfügbar.
FIDO2 besteht aus zwei Komponenten: der API WebAuthn und dem Client to Authenticator Protocol (CTAP). Die WebAuthn-API ermöglicht es Browsern und Anwendungen, FIDO zu unterstützen. Per CTAP können universelle Zwei-Faktor-Geräte wiederum mit den Browsern und Apps interagieren.
Anfangs bot FIDO die Möglichkeit einer Multifaktor-Authentifizierung (MFA). Doch mit der CTAP2-Komponente von FIDO2 können Organisationen ihren Nutzern nun eine passwortlose Anmeldung und eine Verbindung mit externen Authentifikatoren und Sicherheitsschlüsseln, wie dem Yubico YubiKey, ermöglichen.
FIDO2 erlaubt der IT die Verwendung von öffentlicher Kryptografie – öffentliche Schlüssel und private Schlüssel – über Netzwerke. Hierbei wird aber nur der öffentliche Schlüssel an den Authentifizierungsserver übermittelt. Der private Schlüssel verbleibt entweder auf dem mobilen Gerät oder dem Hardwareschlüssel selbst.
Die Nutzung von FIDO2 auf Mobilgeräten unter iOS und Android
Während FIDO2 heute sowohl von iOS als auch Android unterstützt wird, erhielt Android als erstes Anfang 2019 die Zertifizierung für FIDO2. Apple ließ sich allerdings Zeit und trat erst im Februar 2020 der FIDO Alliance bei. Alle großen mobilen Browser wie Google Chrome, Apple Safari, Mozilla Firefox etc., bieten FIDO2-Unterstützung, wobei Safari Ende 2019 das Schlusslicht bildete.
Die Methode, um den FIDO2-Standard für iOS und Android zu nutzen und bereitzustellen, bleibt gegenüber dem ursprünglichen FIDO-Standard generell gleich. Die Geräte verwenden Hardware-Sicherheitsschlüssel, um Apps und Websites zu authentifizieren. Dies kann entweder per USB, Near Field Communication (NFC) oder Bluetooth Low Energy erfolgen.
IT-Fachleute oder Anwender müssen für alle Accounts, mit denen sie diese Funktionalität nutzen wollen, folgendes festlegen: Sollen die Accounts Hardwareschlüssel als sekundäre Standardauthentifizierung durch Desktops und Laptops oder als einzige Authentifizierungsmethode akzeptieren? Doch zum jetzigen Zeitpunkt unterstützen nicht alle Apps und Sites den FIDO2-Standard für iOS und Android als einzige Authentifizierungsmethode.
Google ist noch einen Schritt weiter gegangen und hat alle Geräte ab Android 7 mit FIDO2-Funktionalität ausgestattet. Hierbei fungieren die Geräte selbst als Sicherheitsschlüssel, wenn die Nutzer Google-Konten authentifizieren. Auf diese Weise können Nutzer sich per Biometrie authentifizieren, anstatt auf einen separaten Sicherheitsschlüssel angewiesen zu sein. Google bietet auch eigene Hardwareschlüssel zum Kauf an, bei denen es sich aber lediglich um White-Label-Produkte von Feitian handelt.
Google ist noch einen Schritt weiter gegangen und hat alle Geräte ab Android 7 mit FIDO2-Funktionalität ausgestattet. Hierbei fungieren die Geräte selbst als Sicherheits-Schlüssel, wenn die Nutzer Google-Konten authentifizieren.
Apple hat sich mit der Zertifizierung der FIDO2-Unterstützung für iOS Zeit gelassen. Im Dezember 2019 wurde mit iOS 13.3 die NFC-Funktionalität für den mobilen Safari-Browser eingeführt. Das Unternehmen trat dann im Februar des folgenden Jahres der FIDO Alliance bei.
Apple brauchte derart lange, dass Yubico, ein Anbieter, der FIDO-gestützte Sicherheitsschlüssel verkauft, mit dem YubiKey 5Ci in die Bresche sprang. Diese Lösung verfügt über einen Lightning-Anschluss zur Verwendung mit iPhones, während ein USB-C-Modell für neuere macOS-Laptops verfügbar ist. Anwender müssen diesen speziellen YubiKey ab iOS 13.3 nicht mehr verwenden, da Sicherheitsschlüssel jetzt auch mit iOS über Bluetooth Low Energy und NFC funktionieren.
FIDO2 funktioniert sowohl auf mobilen Geräten mit iOS als auch Android. Allerdings müssen IT-Fachleute oder Nutzer die Funktionalität erst für jede App und Website aktivieren, mit der sie sie nutzen möchten. Viele der populären mobilen Apps, zum Beispiel Facebook und Gmail, haben bereits vor langer Zeit die FIDO2-Authentifizierungsfunktion eingebaut. Kleinere Entwickler hingegen dürften für die Einführung von FIDO2 mehr Zeit benötigen.
Wie können Organisationen beginnen?
Organisationen, die daran interessiert sind, ihre Apps und Webseiten für FIDO2 fit zu machen, müssen einige Dinge in Angriff nehmen. Zunächst müssen sie sich entscheiden, ob sie FIDO für eine passwortlose Anmeldung oder für die Multifaktor-Authentifizierung nutzen wollen.
Zudem gilt es, sicherzustellen, dass ihre Apps oder ihr Identitäts-Managementsystem die Authentifizierung über FIDO unterstützt. Darüber hinaus müssen sie ihre Anmelde- und Registrierungsseiten aktualisieren. Die FIDO Alliance stellt einen Leitfaden zur Verfügung, der beschreibt, für welche Bereiche Anbieter und deren Entwickler FIDO2-Unterstützung nachrüsten müssen.
