Ein Jahrzehnt föderierter Identität – wird FIDO übernommen?
Die Diskussion über das Entfernen von Passwörtern und die Gewährleistung reibungsloserer und sichererer Authentifizierungsprozesse wird schon seit Jahren geführt. Während die FIDO Alliance immer mehr Partner rekrutiert und weiterhin wegweisende Ankündigungen macht, wie sieht ihre Einführung tatsächlich aus? Dan Raywood untersucht das erste Jahrzehnt der föderierten Identität.
Dieses Jahr ist es zehn Jahre her, dass die ersten Samen für die FIDO-Allianz (Fast IDentity Online) gepflanzt wurden. Bei diesem ersten Treffen, am Valentinstag 2013, legte die Versammlung der Führer der FIDO-Allianz dar, was die FIDO-Allianz beabsichtigt war und was die nächsten Schritte waren.
Ein offenes Industriekonsortium, das „Standards für eine einfachere und stärkere Authentifizierung liefert“. Das Konzept sah einen offenen Industriestandard für die sichere Online- und mobile Authentifizierung vor. Die Ideologie der FIDO Alliance besteht aus einflussreichen Namen aus den Bereichen Technologie, Finanzdienstleistungen und großen Websites und besteht darin, „eine einfachere und stärkere Authentifizierung zu ermöglichen, um auf dem Markt zu skalieren“.
Das erste Produkt kam 18 Monate später auf den Markt, als Google den Security Key auf den Markt brachte, die erste FIDO Universal Second Factor (FIDO U2F)-Authentifizierungslösung. Dabei handelte es sich um ein physisches USB-Gerät mit Zweitfaktor, das eine Alternative zu sechsstelligen Einmalpasswörtern bot. Im darauffolgenden Jahr wurden rund hundert FIDO-zertifizierte Produkte auf den Markt gebracht, und als die FIDO Alliance ihren zweiten Geburtstag feierte, waren es bereits 150.
Einige Jahre nach seinem Bestehen wurde jedoch der FIDO2-Standard eingeführt, der es Benutzern ermöglicht, „gängige Geräte zu nutzen, um sich sowohl in mobilen als auch in Desktop-Umgebungen problemlos bei Online-Diensten zu authentifizieren“.
FIDO2 basiert auf zwei Standards: WebAuthn und Client to Authenticator Protocol (CTAP) und ist auf Sicherheit und Komfort ausgelegt: Sicherheit, da die Anmeldedaten auf jeder Website eindeutig sind, niemals das Gerät des Benutzers verlassen und niemals auf einem Server gespeichert werden; und Komfort, da Benutzer kryptografische Anmeldeinformationen mit integrierten Methoden wie Fingerabdrucklesern oder Kameras auf ihren Geräten oder durch Nutzung von FIDO-Sicherheitsschlüsseln entsperren.
Die vielleicht stärkste Unterstützung kam letztes Jahr von Apple, als es kündigte den Start an des FIDO2-fähigen Passkeys, der auf WebAuthn aufbaut und bei dem eine Kombination aus einem öffentlichen und einem privaten Schlüssel verwendet wird und mit Touch ID und Face ID kompatibel ist.
Wird FIDO 2 von der Industrie gut angenommen?
Wie gut wurde der FIDO2-Standard in all den Jahren akzeptiert und angenommen? Andrew Shikiar, Geschäftsführer der FIDO Alliance, sagt, dass das ursprüngliche Konzept der FIDO Alliance darin bestand, „das Problem der Datenschutzverletzungen zu lösen, da Passwörter die überwiegende Mehrheit verursachten, und wenn wir sie entfernen, verschwindet das Problem.“
Im Hinblick auf die Branchenakzeptanz ist die FIDO Alliance Authentifizierungsbarometer vom Oktober 2022 stellte fest, dass die Nutzung von Passwörtern in den von ihr überwachten Branchen zurückgegangen war, während die Einführung der Multi-Faktor-Authentifizierung durch SMS-Einmalpasswörter zunahm.
Shikiar glaubt, dass die Akzeptanz von FIDO2 weiter zunimmt, insbesondere durch die Zustimmung von Webbrowsern, bei denen Microsoft und Google „die Akzeptanz aufgebaut haben, die es FIDO ermöglicht, Passwörter zu übernehmen.“
Shikiar sagt, dass WebAuthn für den Durchschnittsbürger im Allgemeinen unbekannt bleibt. Dennoch wird die zunehmende Einführung von FIDO2 eine erhöhte MFA und eine geringere Nutzung von Passwörtern bedeuten, was zu weiteren Geschäftsvorteilen führen kann. „Unternehmen werden eine höhere Betriebszeit ihrer Mitarbeiter verzeichnen, die Erfolgsquote ist höher und die IT-Kosten sinken“, was sowohl zu Kosteneinsparungen als auch zu zufriedeneren Mitarbeitern führt.
Ein Unternehmen, das den Vorteil erkannt hat, ist Jenseits der Identität, das bekannt gab, dass es Anfang 2 die FIDO2023-Zertifizierung erhalten hatte. Als Anbieter passwortloser und MFA-Produkte sagt sein Chief Marketing Officer Patrick McBride, dass FIDO2 Beyond Identity in mehrfacher Hinsicht zugute kommt. „Technisch gesehen bietet es uns eine Standardmöglichkeit zur Nutzung von Passkeys und mehrere Möglichkeiten zur Integration mit anderen FIDO2-kompatiblen Technologien.“
Hat es sich gelohnt, als Unternehmen FIDO2-konform zu werden und sich dieser Initiative anzuschließen? Laut McBride ist dies der Fall, da Beyond Identity ein „mehrjähriges, kartentragendes Mitglied der FIDO-Allianz“ ist und mehrere zusätzliche Produktpläne auf der Roadmap stehen, die verschiedene Teile des FIDO2-Standards nutzen werden.
„Deshalb glauben wir, dass der FIDO-Saft den Druck auf jeden Fall wert ist – sowohl im technischen als auch im marktbezogenen Bildungsbereich.“
FIDO setzt den Standard
Verdient es FIDO nun, als einer der bedeutendsten Cybersicherheitsstandards betrachtet zu werden, da es von prominenten Online-Namen gut angenommen wurde? Shikiar stimmt zu und sagt, dass eine starke Authentifizierung „oberste Priorität für Unternehmen“ habe, da sie produktivere Mitarbeiter und eine bessere Anmelderate ermögliche. In einem Fall verzeichnete ein Unternehmen dadurch eine höhere Gewinnspanne. „Wir legen großen Wert auf das Benutzererlebnis, da die Leute abgeschreckt werden, wenn es zu kompliziert ist“, sagt er.
Der nächste Schritt für die Einführung von FIDO2 wird darin bestehen, dass es von Aufsichtsbehörden und möglicherweise sogar von Cyber-Versicherern vorgeschrieben wird, eine sicherere und bewährtere Art der Authentifizierung zu gewährleisten, um die Wahrscheinlichkeit einer Datenschutzverletzung besser zu verringern und Passwörter zu entfernen.
Jonathan Armstrong ist Partner bei Schnur und sagte, dass ihm zwar keine Regelung bekannt sei, die eine starke Authentifizierung vorschreibe, er aber nicht ausschließen würde, dass dies in Zukunft geschehen werde. „Oft folgen Gesetze und Vorschriften zur Datensicherheit den Ereignissen“, sagt er. Liegt ein erheblicher Verstoß vor und erfordert die öffentliche Meinung eine Änderung, dann könnte dort eine Regel zur stärkeren Authentifizierung in Kraft treten. „Einige Länder könnten solche Dinge in ihre lokale Umsetzung von NIS II integrieren; Ich habe noch nichts davon gehört, aber es ist sicher eine Möglichkeit.“
Neben regulatorischen Faktoren gibt es auch Überlegungen zur Cyberversicherung, und Shikiar sagt, dass die Einführung von FIDO2 zu einer besseren Police beitragen könnte, da sie zeigt, dass das Unternehmen besser geschützt ist. „Ein einfacher Schritt zur Einführung von FIDO für MFA kann einer der größten Bedrohungen begegnen und dazu beitragen, die weitere Einführung voranzutreiben.“
Im letzten Jahrzehnt kam es zu zahlreichen Datenschutzverletzungen und zum Verlust von Passwörtern. Unternehmen kämpfen weiterhin mit diesem Problem und dem Problem, dass ihre Mitarbeiter online bleiben und auf Geräte, Desktops und Apps zugreifen können. Die Einführung von FIDO2 sorgt für Aufsehen, da es Unternehmen ermöglicht, sich vor einem häufig auftretenden Problem besser zu schützen, und es ist zu begrüßen, dass mehr Unternehmen die Vorschriften einhalten.
Stärken Sie noch heute Ihre Informationssicherheit
Wenn Sie Ihre Reise zu besserer Informationssicherheit beginnen möchten, können wir Ihnen helfen.
Unsere ISMS-Lösung ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz zur Informationssicherheit und Datenverwaltung mit ISO 27001 und über fünfzig andere Frameworks. Erkennen Sie noch heute Ihren Wettbewerbsvorteil.