Ist das das Ende der Passwörter? 

Phishingangriffe, Datenlecks und missbräuchlich verwendete Zugangsdaten wie Passwörter sind nicht nur die größte Schwachstelle der IT-Sicherheit, sondern auch eine sehr kostspielige. Dennoch dominieren sie nach wie vor den Arbeitsalltag vieler Unternehmen. Warum? Weil Passwörter einfach zu implementieren sind und jeder weiß, wie man sie verwendet, auch wenn sie nicht besonders praktisch oder sicher sind. 

Mit FIDO (Fast Identity Online) und Passkeys gibt es nun einen Standard, der nicht nur die Sicherheit neu definiert, sondern auch die Benutzerfreundlichkeit deutlich verbessert. In diesem Artikel erklären wir, warum FIDO-basierte Authentifizierung für eine moderne Access Management Strategie essenziell ist und wie Unternehmen FIDO mit Pointsharp effektiv einführen können. 

Was ist FIDO?

FIDO (Fast Identity Online) ist ein offener Authentifizierungsstandard, der von der FIDO Alliance entwickelt wurde, einer Gruppe führender Technologieunternehmen, darunter Google, Microsoft, Apple, Yubico, Samsung. Sie arbeiten an einem gemeinsamen Ziel: digitale Authentifizierung sicher, kompatibel und benutzerfreundlich zu machen.

Die Grundprinzipien von FIDO 

  • Keine Passwörter mehr: Anstatt sich etwas merken zu müssen, verlassen sich Benutzer auf einen physischen Sicherheitsschlüssel oder biometrische Merkmale wie Fingerabdrücke oder Gesichtserkennung. Ein Fingerabdruck oder ein Sicherheitsschlüssel allein ist jedoch nicht der eigentliche Passkey, sondern nur der Schlüssel, der das Passkey-Schloss entriegelt.
  • Sicherheit durch Technologie: FIDO nutzt moderne eine Verschlüsselungstechnologie. Es wird ein sicheres Schlüsselpaar generiert, wobei ein Teil auf dem Gerät oder in einem digitalen Schlüsselanhänger gespeichert wird und der andere Teil beim Anbieter.
  • Authentifizierung direkt auf dem Gerät: Die Identität wird lokal überprüft, beispielsweise über das Smartphone oder einen Hardware-Token, und nicht über das Internet übertragen.
  • Schutz vor Phishing: Da keine sensiblen Daten wie Passwörter eingegeben oder übertragen werden, sind Phishing-Angriffe wirkungslos. Tatsächlich existieren Passwörter in einer solchen Konfiguration gar nicht. 

Diese Prinzipien machen FIDO zu einer echten Alternative zu herkömmlichen Passwörtern, nicht nur in Bezug auf die Sicherheit, sondern auch hinsichtlich der Benutzerfreundlichkeit. Anstatt sich Passwörter merken oder ständig zurücksetzen zu müssen, erfolgt die Authentifizierung ganz einfach über biometrische Merkmale oder Sicherheitsschlüssel. Dies führt zu einem schnelleren, sichereren und einfacheren Anmeldeprozess sowohl für die IT-Sicherheit als auch für die Benutzerfreundlichkeit

fido-article-man-computer-bluegrad-right
fido-article-yubikey-computer-purplegrad-left

FIDO2, U2F, UAF – was bedeutet das?

FIDO ist ein Oberbegriff für verschiedene Protokolle. 

  • FIDO U2F (Universal Second Factor): Fügt einem bestehenden Passwort einen physischen Sicherheitsschlüssel hinzu und ermöglicht die Anmeldung über ein Hilfsmittel wie einen USB-Sicherheitsschlüssel (z. B. einen YubiKey).
  • FIDO UAF (Universal Authentication Framework): Ermöglicht eine biometrische und passwortlose Anmeldung, ideal für mobile Geräte.
  • FIDO2: Die neueste Version, die das Client-to-Authenticator Protocol (CTAP) und den Webstandard WebAuthn enthält, unterstützt die passwortlose Anmeldung vollständig. 

Mit FIDO2 können Sie sich ganz ohne Passwort anmelden, indem Sie Ihren Fingerabdruck, Ihren Gesichtsscan oder ein FIDO-Token wie den YubiKey (FIDO-Stick) oder ein Smartphone verwenden. 

Warum FIDO? Vorteile für Unternehmen auf einen Blick 

Die Einführung von FIDO bietet nicht nur technologische Vorteile, sondern hat auch messbare Auswirkungen auf Kosten, Sicherheit und Benutzerzufriedenheit


Geringere IT-Supportkosten 

 

Erhöhte Sicherheit 

 

Höhere Produktivität 

 

Datenschutz & Compliance 
fido-article-yubikey-mobile-bluegrad-left

FIDO und Passkeys in der Praxis

Was ist ein FIDO Passkey? 

Passkeys sind eine vereinfachte Bezeichnung für FIDO und können mehr oder weniger synonym verwendet werden. Sie verwenden ein kryptografisches Schlüsselpaar: Der private Schlüssel wird sicher auf dem Gerät des Benutzers gespeichert, während der öffentliche Schlüssel an die Anwendung oder den Dienst gesendet wird. Der Zugriff wird dann durch lokale Authentifizierung, wie z. B. Fingerabdruck- oder Gesichtserkennung, schnell, sicher und ohne Passwort gewährt. 

Vorteile: 

  • Funktioniert auf allen Geräten  
  • Phishing ist nicht möglich, da kein Passwort eingegeben wird. 

Ein Beispiel: Mit dem Fingerabdruck auf dem Smartphone ohne Passwort und ohne Verzögerung in ein SAP-System einloggen. 

Wie funktioniert die Passkey-Authentifizierung?

Die FIDO-basierte Authentifizierung mit Passkeys verwendet ein asymmetrisches Verschlüsselungsverfahren mit einem Schlüsselpaar

  1. Registrierung 
    Benutzer melden sich mit ihrem registrierten Sicherheitsschlüssel (z. B. einem YubiKey) oder einem gerätegebundenen Passkey (z. B. dem TPM-Modul in Windows Computern oder der sicheren Umgebung in Macs) an, der in der Regel durch biometrische Daten entsperrt wird. Dabei wird ein Schlüsselpaar generiert.

    1. Der private Schlüssel bleibt sicher auf dem Gerät, dem Sicherheitsschlüssel oder dem digitalen Schlüsselanhänger gespeichert (kann nicht exportiert werden)
    2. Der öffentliche Schlüssel wird an den Dienstanbieter übertragen und dort gespeichert 

     

  2. Anmeldung und Authentifizierung 
    Bei der Anmeldung sendet der Dienst eine Anfrage, die vom Gerät des Benutzers mit dem privaten Schlüssel digital signiert wird. 

    Der Server überprüft dann die Signatur mit dem gespeicherten öffentlichen Schlüssel.

  3. Lokale Verifizierung mit biometrischer Sicherheit 
    Der private Schlüssel kann nur verwendet werden, wenn sich der Benutzer lokal auf dem Gerät authentifiziert, beispielsweise mithilfe biometrischer Merkmale oder einer PIN. Dadurch wird sichergestellt, dass nur autorisierte Benutzer Zugriff erhalten. 

  4. Kein Passwort erforderlich 
    Es wird kein Passwort benötigt oder übertragen. Dadurch ist die Methode resistent gegen Phishing, Diebstahl von Anmeldedaten und Replay-Angriffen. 

     

Diese Architektur verhindert: 
  • Man-in-the-Middle-Angriffe werden verhindert, da der private Schlüssel auf dem Gerät verbleibt und die Signatur lokal erstellt wird.  
  • Replay-Angriffe, eine neue, einzigartige Herausforderung, werden bei jeder Anmeldung verwendet.  
  • Diebstahl von Passwörtern, da es keine Passwörter gibt, die abgefangen oder erraten werden könnten. 

Integration mit Pointsharp: So werden Passkeys zu einer echten Lösung

 

Pointsharp macht Passkeys einsatzbereit für den Unternehmensalltag, eingebettet in eine ganzheitliche Access Management Strategie

 

 

Passwortlose Multi-Faktor-Authentifizierung (MFA)
  • Eine Kombination aus Passwort und biometrischer Verifizierung erfüllt die höchsten Anforderungen an eine starke Zwei-Faktor-Authentifizierung.
  • Unterstützung für YubiKeys, andere Marken für Sicherheitsschlüssel und gerätegebundene Alternativen.  
Erkundne Sie unsere MFA-Angebote
Zentrale Benutzer- und Tokenverwaltung

Verwaltung der FIDO-Authentifikatoren über den gesamten Lebenszyklus hinweg:

  • Zentralisierte Verwaltung
  • Anmelden im Namen von anderen
  • Zeitlimit-Token
  • Und viel mehr 
Mehr zu unserem passkey lifecycle management erfahren Sie hier
Kompatibel mit vorhandener IT
  • Integration in Microsoft Active Directory, Azure AD, Citrix, SAP und Co.
  • Unterstützung für hybride Infrastrukturen (On-Premises und Cloud).
  • Verwendung mobiler Geräte mit Passkey-Authentifizierung über eine App für maximale Flexibilität. 
Erkunden Sie diese Lösung

Fazit: FIDO ist mehr als ein Standard, es ist die Zukunft der Authentifizierung.

 

FIDO und Passkeys sind nicht mehr nur Zukunftskonzepte, sondern bereits heute einsatzbereit, sicher, benutzerfreundlich und kostengünstig. Unternehmen, die FIDO-basierte Authentifizierung einführen, profitieren doppelt: Sie senken Sicherheitsrisiken und steigern die Zufriedenheit ihrer Mitarbeiter. 

Pointsharp ist ein Partner, der die Passkey-Authentifizierung nicht nur integriert, sondern auch in eine umfassende Access Management Strategie einbettet, die alles vom Login bis zum Token-Management abdeckt und sich von der Cloud bis zum lokalen Server erstreckt.