This is the Trace Id: 75264872d8488a86a85ee4880da90088
Zu Hauptinhalt springen
Microsoft Security

Was ist FIDO2?

Lernen Sie die Grundlagen der kennwortlosen FIDO2-Authentifizierung kennen und erfahren Sie, wie sie funktioniert und Einzelpersonen und Organisationen vor Onlineangriffen schützt.

Reduzieren Sie Risiken mit kennwortloser Authentifizierung

FIDO2 – Begriffserläuterung

FIDO2 (Fast IDentity Online 2) ist ein offener Standard für die Benutzerauthentifizierung, der die Art und Weise, wie sich Menschen bei Onlinediensten anmelden, verbessern soll, um das allgemeine Vertrauen zu erhöhen. FIDO2 stärkt die Sicherheit und schützt Einzelpersonen und Organisationen vor Cyberkriminalität, indem es Phishingresistente kryptografische Anmeldedaten zur Validierung von Benutzeridentitäten verwendet.

FIDO2 ist der neueste offene Authentifizierungsstandard, der von der FIDO Alliance entwickelt wurde, einem Industriekonsortium aus Microsoft und anderen Technologie-, Handels- und Regierungsorganisationen. Die Allianz veröffentlichte 2014 den Authentifizierungsstandard FIDO 1.0, mit dem eine Phishing-resistente Multi-Faktor-Authentifizierung (MFA) eingeführt wurde, und 2018 den neuesten kennwortlosen Authentifizierungsstandard FIDO 2 (auch FIDO 2.0 oder FIDO 2 genannt).

Was sind Hauptschlüssel und wie hängen sie mit FIDO2 zusammen?

Unabhängig davon, wie lang oder komplex sie sind oder wie oft sie geändert werden, können Kennwörter kompromittiert werden, indem sie freiwillig oder unfreiwillig weitergegeben werden. Selbst mit einer starken Lösung zum Kennwortschutz ist jede Organisation einem gewissen Risiko von Phishing, Hacking und anderen Cyberangriffen ausgesetzt, bei denen Kennwörter gestohlen werden. Einmal in den falschen Händen, können Kennwörter verwendet werden, um unbefugten Zugang zu Online-Konten, Geräten und Dateien zu erhalten.

Hauptschlüssel sind FIDO2-Anmeldedaten, die mithilfe von Kryptographie mit öffentlichen Schlüsseln erstellt werden. Als effektiver Ersatz für Passwörter erhöhen sie die Cybersicherheit und machen die Anmeldung bei unterstützten Webanwendungen und Websites benutzerfreundlicher als herkömmliche Methoden.

Die kennwortlose FIDO2-Authentifizierung stützt sich auf kryptografische Algorithmen, um ein Paar privater und öffentlicher Hauptschlüssel zu erzeugen – lange, zufällige Zahlen, die mathematisch miteinander verbunden sind. Das Schlüsselpaar wird verwendet, um die Benutzerauthentifizierung direkt auf dem Gerät des Endbenutzers durchzuführen, sei es ein Desktop-Computer, ein Laptop, ein Mobiltelefon oder ein Sicherheitsschlüssel. Ein Hauptschlüssel kann an ein einzelnes Gerät des Benutzers gebunden werden oder über einen Clouddienst automatisch mit mehreren Geräten des Benutzers synchronisiert werden.

Wie funktioniert die FIDO2-Authentifizierung?

Bei der kennwortlosen FIDO2-Authentifizierung werden im Allgemeinen Hauptschlüssel als erster und primärer Faktor für die Kontoauthentifizierung verwendet. Kurz gesagt, wenn sich ein Nutzer bei einem FIDO2-unterstützten Dienst anmeldet, erzeugt das für die Authentifizierung registrierte Clientgerät ein Schlüsselpaar, das nur für diese Webanwendung oder Website funktioniert.

Der öffentliche Schlüssel wird verschlüsselt und an den Dienst weitergegeben, der private Schlüssel verbleibt jedoch sicher auf dem Gerät des Nutzers. Jedes Mal, wenn der Benutzer versucht, sich bei dem Dienst anzumelden, stellt der Dienst den Kunden vor eine besondere Herausforderung. Der Client aktiviert das Hauptschlüsselgerät, um die Anforderung mit dem privaten Schlüssel zu signieren und zurückzusenden. Dadurch ist das Verfahren kryptografisch vor Phishing geschützt.

Typen von FIDO2-Authentifikatoren

Bevor das Gerät einen eindeutigen FIDO2-Hauptschlüssel generieren kann, muss es bestätigen, dass es sich bei dem Benutzer, der die Anforderung stellt, nicht um einen unbefugten Benutzer oder eine Schadsoftware handelt. Dies geschieht mit einem Authentifikator, einem Gerät, das eine PIN, ein biometrisches Merkmal oder eine andere Geste des Benutzers akzeptieren kann.

Es gibt zwei Arten von FIDO-Authentifikatoren:

Roamingauthentifikatoren (oder plattformübergreifende Authentifikatoren)

Diese Authentifikatoren sind tragbare Hardwaregeräte, die von den Clientgeräten der Benutzer getrennt sind. Zu den Roamingauthentifikatoren gehören Sicherheitsschlüssel, Smartphones, Tablets, Wearables und andere Geräte, die über das USB-Protokoll oder die Nahfeldkommunikation (NFC) und die drahtlose Bluetoothtechnologie mit Clientgeräten verbunden werden. Die Benutzer verifizieren ihre Identität auf verschiedene Weise, z. B. durch Einstecken eines FIDO-Schlüssels und Drücken einer Taste oder durch Angabe eines biometrischen Merkmals, z. B. eines Fingerabdrucks, auf ihrem Smartphone. Roamingauthentifikatoren werden auch als plattformübergreifende Authentifikatoren bezeichnet, da sie es Benutzern ermöglichen, sich jederzeit und überall auf mehreren Computern zu authentifizieren.

Plattformauthentifikatoren (oder gebundene Authentifikatoren)

Diese Authentifikatoren sind in die Clientgeräte der Benutzer eingebettet, egal ob es sich um einen Desktop, einen Laptop, ein Tablet oder ein Smartphone handelt. Plattformauthentifikatoren umfassen biometrische Funktionen und Hardwarechips zum Schutz von Hauptschlüsseln und erfordern, dass sich der Nutzer mit seinem Clientgerät bei FIDO-unterstützten Diensten anmeldet und sich dann über dasselbe Gerät authentifiziert, in der Regel mit einem biometrischen Merkmal oder einer PIN.

Beispiele für Plattformauthentifikatoren, die biometrische Daten verwenden, sind Microsoft Windows Hello, Apple Touch ID und Face ID sowie Android Fingerprint.

So registrieren und melden Sie sich bei FIDO2-unterstützten Diensten an:

Um die Vorteile der erhöhten Sicherheit zu nutzen, die die FIDO2-Authentifizierung bietet, befolgen Sie diese grundlegenden Schritte:

So registrieren Sie sich für einen FIDO2-unterstützten Dienst:

  • Schritt 1: Wenn Sie sich bei einem Dienst registrieren, werden Sie aufgefordert, eine unterstützte FIDO-Authentifizierungsmethode auszuwählen.

  • Schritt 2: Aktivieren Sie den FIDO-Authentifikator mit einer einfachen Geste, die der Authentifikator unterstützt, sei es durch Eingabe einer PIN, Berühren eines Fingerabdrucklesers oder Einstecken eines FIDO2-Sicherheitsschlüssels.

  • Schritt 3: Sobald der Authentifikator aktiviert ist, generiert Ihr Gerät ein privates und öffentliches Schlüsselpaar, das für Ihr Gerät, Ihr Konto und den Dienst eindeutig ist.

  • Schritt 4: Ihr lokales Gerät speichert den privaten Schlüssel und alle vertraulichen Informationen, die mit der Authentifizierungsmethode zusammenhängen, wie z. B. Ihre biometrischen Daten, auf sichere Weise. Der öffentliche Schlüssel wird verschlüsselt und zusammen mit einer nach dem Zufallsprinzip generierten Berechtigungs-ID beim Dienst registriert und auf dessen Authentifizierungsserver gespeichert.

So melden Sie sich bei einem FIDO2-unterstützten Dienst an:

  • Schritt 1: Der Dienst stellt eine kryptografische Anfrage, um Ihre Anwesenheit zu bestätigen.

  • Schritt 2: Wenn Sie dazu aufgefordert werden, führen Sie dieselbe Authentifizierungsgeste aus, die Sie bei der Kontoregistrierung verwendet haben. Sobald Sie Ihre Anwesenheit mit der Geste bestätigt haben, verwendet Ihr Gerät den lokal auf Ihrem Gerät gespeicherten privaten Schlüssel, um die Herausforderung zu signieren.

  • Schritt 3: Ihr Gerät sendet die signierte Challenge zurück an den Dienst, der sie mit dem sicher registrierten öffentlichen Schlüssel verifiziert.

  • Schritt 4: Wenn Sie fertig sind, sind Sie angemeldet.

Was sind die Vorteile der FIDO2-Authentifizierung?

Zu den Vorteilen der kennwortlosen FIDO2-Authentifizierung gehören eine höhere Sicherheit und ein besserer Datenschutz, benutzerfreundliche Erfahrungen und eine verbesserte Skalierbarkeit. FIDO2 reduziert auch den Workload und die Kosten im Zusammenhang mit der Zugangsverwaltung.

Erhöht die Sicherheit

Die kennwortlose FIDO2-Authentifizierung erhöht die Anmeldesicherheit erheblich, indem sie sich auf eindeutige Hauptschlüssel stützt. Mit FIDO2 können Hacker nicht einfach durch Phishing, Ransomware und andere gängige Cyberdiebstähle Zugang zu diesen sensiblen Informationen erlangen. Biometrische und FIDO2-Schlüssel tragen auch dazu bei, Schwachstellen in herkömmlichen Multi-Faktor-Authentifizierungsmethoden zu beseitigen, wie z. B. das Versenden von einmaligen Kennungen (OTPs) über Textnachrichten.

Verbessert die Privatsphäre der Nutzer

Die FIDO-Authentifizierung stärkt die Privatsphäre der Nutzer durch die sichere Speicherung privater kryptografischer Schlüssel und biometrischer Daten auf den Geräten der Nutzer. Da diese Authentifizierungsmethode eindeutige Schlüsselpaare generiert, verhindert sie außerdem, dass Dienstanbieter Nutzer über verschiedene Websites hinweg verfolgen können. Als Reaktion auf die Besorgnis der Verbraucher über den möglichen Missbrauch biometrischer Daten erlassen die Regierungen Datenschutzgesetze, die Organisationen daran hindern, biometrische Daten zu verkaufen oder weiterzugeben.

Fördert die Benutzerfreundlichkeit

Mit der FIDO-Authentifizierung können Einzelpersonen ihre Identität schnell und bequem mit FIDO2-Schlüsseln, Authentifizierungsapps, Fingerabdrucklesern oder Kameras in ihren Geräten authentifizieren. Obwohl die Benutzer einen zweiten oder sogar dritten Sicherheitsschritt durchführen müssen (z. B. wenn mehr als ein biometrisches Merkmal zur Identitätsüberprüfung erforderlich ist), ersparen sie sich die Zeit und den Ärger, die mit dem Erstellen, Merken, Verwalten und Zurücksetzen von Kennwörtern verbunden sind.

Verbessert die Skalierbarkeit

FIDO2 ist ein offener, lizenzfreier Standard, der es Unternehmen und anderen Organisationen ermöglicht, kennwortlose Authentifizierungsmethoden weltweit zu skalieren. Mit FIDO2 können sie allen Mitarbeitern, Kunden und Partnern sichere und optimierte Anmeldeerfahrungen bieten, unabhängig von ihrem gewählten Browser und ihrer Plattform.

Vereinfacht die Zugriffsverwaltung

IT-Teams müssen sich nicht mehr um die Bereitstellung und Verwaltung von Kennwortrichtlinien und -infrastrukturen kümmern, was die Kosten senkt und ihnen die Möglichkeit gibt, sich auf höherwertige Aktivitäten zu konzentrieren. Darüber hinaus steigt die Produktivität der Helpdesk-Mitarbeiter, da sie keine kennwortbasierten Anforderungen, wie z. B. das Zurücksetzen von Kennwörtern, bearbeiten müssen.

Was sind WebAuthn und CTAP2?

Die FIDO2-Spezifikationen bestehen aus zwei Komponenten: Webauthentifizierung (WebAuthn) und Client-to-Authenticator Protocol 2 (CTAP2). Die Hauptkomponente, WebAuthn, ist eine JavaScript-API, die in konformen Webbrowsern und Plattformen implementiert wird, damit registrierte Geräte die FIDO2-Authentifizierung durchführen können. Das World Wide Web Consortium (W3C), die internationale Organisation für die Standardisierung des World Wide Web, hat WebAuthn in Zusammenarbeit mit der FIDO Alliance entwickelt. WebAuthn wurde 2019 zu einem offiziellen W3C-Webstandard.

Die zweite Komponente, CTAP2, die von der FIDO Alliance entwickelt wurde, ermöglicht es Roaming-Authentifikatoren wie FIDO2-Sicherheitsschlüsseln und mobilen Geräten, mit FIDO2-unterstützten Browsern und Plattformen zu kommunizieren.

Was sind FIDO U2F und FIDO UAF?

FIDO2 entwickelte sich aus FIDO 1.0, den ersten FIDO-Authentifizierungsspezifikationen, die 2014 von der Allianz veröffentlicht wurden. Diese ursprünglichen Spezifikationen umfassten das FIDO Universal Second Factor (FIDO U2F) Protokoll und das FIDO Universal Authentication Framework (FIDO UAF) Protokoll.

Sowohl FIDO U2F als auch FIDO UAF sind Formen der Multi-Faktor-Authentifizierung, die zwei oder drei Nachweise (oder Faktoren) zur Validierung eines Benutzers erfordern. Bei diesen Faktoren kann es sich um etwas handeln, das nur der Nutzer kennt (z. B. eine Kennung oder PIN), das er besitzt (z. B. einen FIDO-Schlüssel oder eine Authentifizierungsapp auf einem Mobilgerät) oder das er selbst ist (z. B. ein biometrisches Merkmal).

Weitere Informationen zu diesen Spezifikationen:

FIDO U2F

FIDO U2F stärkt die auf Kennwörtern basierenden Autorisierungsstandards mit der Zwei-Faktor-Authentifizierung (2FA), die den Benutzer mit zwei Beweisen validiert. Das FIDO U2F-Protokoll erfordert, dass eine Person eine gültige Kombination aus Benutzername und Kennwort als ersten Faktor angibt und dann ein USB-, NFC- oder Bluetooth-Gerät als zweiten Faktor verwendet, wobei die Authentifizierung in der Regel durch Drücken einer Taste oder Eingabe eines zeitabhängigen OTP erfolgt.

FIDO U2F ist der Nachfolger von CTAP 1 und der Vorgänger von CTAP2, der es Einzelpersonen ermöglicht, zusätzlich zu den FIDO-Schlüsseln mobile Geräte als Geräte für den zweiten Faktor zu verwenden.

FIDO-UAF

FIDO-UAF ermöglicht die kennwortlose Multi-Faktor-Authentifizierung. Es erfordert, dass sich eine Person mit einem FIDO-registrierten Clientgerät anmeldet, das die Anwesenheit des Benutzers mit einer biometrischen Überprüfung, wie z. B. einem Fingerabdruck- oder Gesichtsscan, oder mit einer PIN als erstem Faktor bestätigt. Das Gerät erzeugt dann das eindeutige Schlüsselpaar als zweiten Faktor. Eine Website oder App kann auch einen dritten Faktor verwenden, z. B. ein biometrisches Merkmal oder den geografischen Standort des Nutzers.

FIDO-UAF ist der Vorgänger der kennwortlosen FIDO2-Authentifizierung.

Implementierung von FIDO2

Die Implementierung des FIDO2-Standards auf Websites und in Apps erfordert, dass Ihre Organisation über moderne Hardware und Software verfügt. Glücklicherweise unterstützen alle führenden Webplattformen, einschließlich Microsoft Windows, Apple iOS und MacOS sowie Android-Systeme, und alle wichtigen Webbrowser, einschließlich Microsoft Edge, Google Chrome, Apple Safari und Mozilla Firefox, FIDO2. Ihre Identity and Access Management (IAM)-Lösung muss auch die FIDO2-Authentifizierung unterstützen.

Im Allgemeinen umfasst die Implementierung der FIDO2-Authentifizierung in neue oder bestehende Websites und Anwendungen die folgenden Hauptschritte:

  1. Definieren Sie die Benutzeranmeldung und die Authentifizierungsmethoden und legen Sie die Richtlinien für Zugriffssteuerung fest.
  2. Erstellen Sie neue oder ändern Sie bestehende Registrierungs- und Anmeldeseiten mit den entsprechenden FIDO-Protokollspezifikationen.
  3. Einrichten eines FIDO-Servers zur Authentifizierung von FIDO-Registrierungs- und Authentifizierungsanforderungen. Der FIDO-Server kann ein eigenständiger Server sein, in einen Web- oder Anwendungsserver integriert oder als IAM-Modul bereitgestellt werden.
  4. Erstellen Sie neue oder ändern Sie bestehende Authentifizierungsworkflows.

FIDO2 und biometrische Authentifizierung

Bei der biometrischen Authentifizierung werden die einzigartigen biologischen oder verhaltensbezogenen Merkmale einer Person verwendet, um zu bestätigen, dass die Person diejenige ist, die sie vorgibt zu sein. Biometrische Daten werden erfasst und in biometrische Vorlagen umgewandelt, die nur mit einem geheimen Algorithmus zugänglich sind. Wenn die Person versucht, sich anzumelden, erfasst das System die Informationen erneut, wandelt sie um und vergleicht sie mit dem gespeicherten biometrischen Merkmal.

Beispiele für die biometrische Authentifizierung sind unter anderem folgende:

Biologische

  • Fingerabdrucküberprüfung
  • Scannen der Retina
  • Spracherkennung
  • DNA-Abgleich
  • Venenscan

Verhaltenstechnische

  • Touchscreen-Verwendung
  • Eingabegeschwindigkeit
  • Tastenkombinationen
  • Mausaktivität

Die biometrische Authentifizierung ist in den heutigen hybriden, digitalen Arbeitsumgebungen Realität. Die Mitarbeiter schätzen die Flexibilität, sich überall schnell und sicher authentifizieren zu können. Unternehmen schätzen es, dass es ihre Angriffsfläche deutlich verringert und Cyberkriminelle, die es sonst auf ihre Daten und Systeme abgesehen hätten, abschreckt.

Die biometrische Authentifizierung ist jedoch nicht völlig hackersicher. So können böswillige Akteure beispielsweise die biometrischen Daten einer anderen Person, wie ein Foto oder einen Silikonfingerabdruck, verwenden, um sich als diese Person auszugeben. Oder sie können mehrere Fingerabdruck-Scans kombinieren, um einen primären Scan zu erstellen, der ihnen Zugang zu mehreren Benutzerkonten gibt.

Es gibt noch weitere Nachteile der biometrischen Authentifizierung. Einige Gesichtserkennungssysteme haben zum Beispiel eine inhärente Voreingenommenheit gegenüber Frauen und farbigen Menschen. Darüber hinaus entscheiden sich einige Organisationen dafür, biometrische Daten auf Datenbankservern und nicht auf den Geräten der Endnutzer zu speichern, was Fragen zur Sicherheit und zum Datenschutz aufwirft. Dennoch ist die biometrische Multi-Faktor-Authentifizierung nach wie vor eine der sichersten Methoden zur Überprüfung von Benutzeridentitäten, die es heute gibt.

Beispiele für die FIDO2-Authentifizierung

Die Sicherheits- und Logistikanforderungen für die Identitätsüberprüfung variieren innerhalb und zwischen den Organisationen. Im Folgenden werden die üblichen Methoden beschrieben, mit denen Organisationen in verschiedenen Branchen die FIDO2-Authentifizierung implementieren.

Bankwesen, Finanzdienstleistungen und Versicherungen

Um sensible Geschäfts- und Kundendaten zu schützen, verwenden Mitarbeiter in Firmenbüros oft vom Unternehmen bereitgestellte Desktops oder Laptops mit Plattform-Authentifikatoren. Die Firmenpolitik verbietet es ihnen, diese Geräte für den privaten Gebrauch zu nutzen. Die Mitarbeiter von Niederlassungen und Callcentern vor Ort verwenden häufig gemeinsam genutzte Geräte und verifizieren ihre Identitäten mit Roamingauthentifikatoren.

Luftfahrt und Fluggesellschaften

Organisationen in diesen Branchen müssen auch Personen berücksichtigen, die in verschiedenen Umgebungen arbeiten und unterschiedliche Aufgaben haben. Führungskräfte, Mitarbeiter der Personalabteilung und andere Büroangestellte verwenden häufig spezielle Desktops und Laptops und authentifizieren sich entweder mit Plattform- oder Roaming-Authentifikatoren. Flughafenangestellte, Flugzeugmechaniker und Besatzungsmitglieder verwenden häufig Hardware-Sicherheitsschlüssel oder Authentifizierungsapps auf ihren persönlichen Smartphones, um sich an gemeinsam genutzten Tablets oder Arbeitsstationen zu authentifizieren.

Fertigungsbranche

Um die physische Sicherheit von Produktionsanlagen zu gewährleisten, verwenden autorisierte Mitarbeiter und andere Personen Roamingauthentifikatoren – wie FIDO2-fähige Smartcards und FIDO2-Schlüssel – oder registrierte persönliche Smartphones mit Plattform-Authentifikatoren, um Türen zu öffnen. Darüber hinaus verwenden Produktentwicklungsteams häufig spezielle Desktops oder Laptops mit Plattformauthentifikatoren, um auf Online-Konstruktionssysteme zuzugreifen, die geschützte Informationen enthalten.

Notfalldienste

Behörden und andere Anbieter von Notfalldiensten können Sanitäter und andere Ersthelfer nicht immer mit Fingerabdrücken oder Iris-Scans authentifizieren. Oft tragen diese Personen Handschuhe oder Augenschutz, während sie gleichzeitig schnell auf Onlinedienste zugreifen müssen. In diesen Fällen werden sie stattdessen durch Spracherkennungssysteme identifiziert. Neue Technologien zum Scannen von Ohrformen mit Smartphones können ebenfalls eingesetzt werden.

Sorgen Sie mit FIDO2 für Sicherheit

Die kennwortlose Authentifizierung wird schnell zu einer bewährten Methode für IAM. Wenn Sie sich für FIDO2 entscheiden, können Sie sicher sein, dass Sie einen vertrauenswürdigen Standard verwenden, um sicherzustellen, dass die Benutzer die sind, die sie vorgeben zu sein.

Um mit FIDO2 zu beginnen, müssen Sie Ihre spezifischen organisatorischen und branchenspezifischen Anforderungen an die Identitätsüberprüfung sorgfältig prüfen. Beschleunigen Sie dann die FIDO2-Implementierung mit Microsoft Entra ID (ehemals Azure Active Directory). Der Assistent für kennwortlose Methoden in Microsoft Entra ID vereinfacht die Verwaltung von Windows Hello for Business, der Microsoft Authenticator App und von FIDO2-Sicherheitsschlüsseln.

Weiterführende Informationen zu Microsoft Security

Microsoft Entra ID (früher bekannt als Azure Active Directory)

Schützen Sie Ressourcen und Daten mit starker Authentifizierung und adaptivem risikobasiertem Zugriff.

Mehr erfahren

Microsoft Entra Identity Governance

Steigern Sie die Produktivität und erhöhen Sie die Sicherheit, indem Sie den Zugriff auf Anwendungen und Dienste automatisieren.

Mehr erfahren

Microsoft Entra Verified ID

Stellen Sie mit einer auf offenen Standards basierenden Lösung vertrauensvoll Arbeits- und andere Berechtigungsnachweise aus und überprüfen Sie diese.

Mehr erfahren

Microsoft Entra Workload ID

Verringern Sie das Risiko, indem Sie Anwendungen und Diensten den bedingten Zugriff auf Cloud-Ressourcen gewähren – alles an einem Ort.

Mehr erfahren

Häufig gestellte Fragen

  • FIDO2 steht für (Fast IDentity Online 2), den neuesten offenen Authentifizierungsstandard, der von der FIDO Alliance veröffentlicht wurde. Die Allianz, die sich aus Microsoft und anderen Organisationen aus den Bereichen Technologie, Handel und Behörden zusammensetzt, will die Verwendung von Kennwörtern im World Wide Web abschaffen.

    Zu den FIDO2-Spezifikationen gehört die Webauthentifizierung (WebAuthn), eine Web-API, die es Onlinediensten ermöglicht, mit den Authentifikatoren der FIDO2-Plattform zu kommunizieren (z. B. Fingerabdruck- und Gesichtserkennungstechnologien, die in Webbrowsern und Plattformen eingebettet sind). WebAuthn wurde vom World Wide Web Consortium (W3C) in Zusammenarbeit mit der FIDO Alliance entwickelt und ist ein offizieller W3C-Standard.

    FIDO2 umfasst auch das von der Allianz entwickelte Client-to-Authenticator Protocol 2 (CTAP2). CTAP2 verbindet Roamingauthentifikatoren (wie externe FIDO2-Sicherheitsschlüssel und mobile Geräte) mit FIDO2-Clientgeräten über USB, BLE oder NFC.

  • FIDO2 ist ein offener, lizenzfreier Standard für Multi-Faktor-Authentifizierung ohne Kennwort in mobilen und Desktop-Umgebungen. FIDO2 arbeitet mit Kryptographie mit öffentlichen Schlüsseln anstelle von Kennwörtern, um Benutzeridentitäten zu validieren und vereitelt so Cyberkriminelle, die versuchen, Benutzerdaten durch Phishing, Schadsoftware und andere kennwortbasierte Angriffe zu stehlen.

  • Zu den Vorteilen der FIDO2-Authentifizierung gehören eine höhere Sicherheit und ein besserer Datenschutz, benutzerfreundliche Erfahrungen und eine verbesserte Skalierbarkeit. FIDO2 vereinfacht auch die Steuerelemente für IT-Teams und Helpdesk-Mitarbeiter, indem es den Workload und die Kosten im Zusammenhang mit der Verwaltung von Benutzernamen und Kennwörtern reduziert.

  • Ein FIDO2-Schlüssel, auch FIDO2-Sicherheitsschlüssel genannt, ist ein physisches Hardware-Gerät, das für die Zwei-Faktor- und Multi-Faktor-Authentifizierung benötigt wird. Als FIDO-Roamingauthentifikator stellt er über USB, NFC oder Bluetooth eine Verbindung zu einem FIDO2-Clientgerät her, so dass sich Benutzer an mehreren Computern authentifizieren können, egal ob im Büro, zu Hause oder in einer anderen Umgebung.

    Das Clientgerät verifiziert die Identität des Benutzers, indem es den Benutzer auffordert, den FIDO2-Schlüssel für eine Geste zu verwenden, z. B. durch Berühren eines Fingerabdrucklesers, Drücken einer Taste oder Eingabe einer PIN. Zu den FIDO2-Schlüsseln gehören Plug-in-Schlüssel, Smartphones, Tablets, Wearables und andere Geräte.

  • Organisationen setzen FIDO2-Authentifizierungsmethoden auf der Grundlage ihrer individuellen Sicherheits-, Logistik- und Branchenanforderungen ein.

    Banken und forschungsorientierte Hersteller verlangen beispielsweise häufig, dass Büroangestellte und andere Mitarbeiter vom Unternehmen zur Verfügung gestellte Desktops und Laptops mit Plattform-Authentifikatoren verwenden, die nur für den geschäftlichen Gebrauch bestimmt sind. Organisationen, in denen Mitarbeiter unterwegs sind, wie z. B. Flugpersonal und Notfallteams, greifen stattdessen häufig auf gemeinsam genutzte Tablets oder Workstations zu und authentifizieren sich dann mit Sicherheitsschlüsseln oder Authentifizierungs-Apps auf ihren Smartphones.

Microsoft Security folgen