FIDO entwickelt Methode gegen massenweise Datendiebstähle

Datenklau gehört zu den großen Plagen des Web. Massenweise gestohlene Adress- oder Kenndaten schüren das Misstrauen gegen das Online-Shopping. Die bisherigen Schutzmethoden werden meist irgendwann geknackt, letztes Beispiel ist die über das Mobiltelefon zugesandte Einmal-TAN, bei der es schon wieder zu Missbräuchen gekommen ist. In einer Welt, in der Anwender sich im Schnitt 6,5 Passworte merken müssen und sich pro Tag achtmal irgendwo einloggen, frustrieren herkömmliche Login-Methoden mit Kennung und Passwort die Anwender, so Rajiv Dholakia, Vice Preident Products beim Authentisierungsspezialisten Nok Nok Labs. Zudem skalierten die heutigen Authentisierungsmethoden nicht.

Dagegen, so Phil Dunkelberger, CEO des kalifornischen Authentisierungsspezialisten Nok Nok Labs überzeugt, helfe nur eine neuartige Methode, die mit sicherer Zwei-Faktor-Authentisierung und möglichst biometrischen Erkennungstechnik arbeitet. Daher rief Dunkelberger im Juli 2012 die FIDO Alliance (Fast identification Online) (http://www.fidoalliance.org) ins Leben. Dem Vorstand der Gruppierung gehören heute neben Nok Nok Labs beispielsweise Google, Blackberry, Lenovo, Mastercard, Paypal und Microsoft an. Rund 40 Authentisierungsspezialisten haben sich angeschlossen. Dunkelberger, ehemals Chef von PGP (Pretty Good Privacy), und sein Team trugen maßgeblich zu den Protokollen bei, die ab sofort auf der Seite des Herstellerverbands zur öffentlichen Kommentierung einsehbar sind. „Unser Standard wird das Online-Business zum Fliegen bringen“, ist er überzeugt.

Das Mobilgerät authentisiert sich am Server – nicht der Nutzer

Wie aber soll FIDO nun funktionieren? Geplant sind zwei unterschiedliche Methoden: eine, bei der die Authentisierung komplett ohne Passwort erfolgt (UAF, Universal Authentication Protocol) ) und eine zweite, bei der ein Passwort mit einem Dongle kombiniert wird, das am Gerät angebracht wird (U2F, Universal Second Factor Protocol). Der Authentisierungsvorgang ist dienst- und endgerätespezifisch, nutzt aber immer die im Mobilgerät vorhandenen Techniken.

Will ein Anwender mit einem Mobilgerät, auf dem ein FIDO-Protokollstapel installiert ist, an einem Onlineservice teilnehmen, den er oder sie bisher über ein Passwort genutzt hat, passiert folgendes: Statt eine Eingabemaske für das Passwort zu schicken, meldet der Authentisierungsserver des Dienstleisters, der direkt bei ihm oder in einer Cloud stehen kann, das Gerät einem Erkennungsserver der FIDO-Alliance. Dieser fragt beim Gerät an, welche Authentisierungsmethoden es unterstützt. das Gerät meldet zurück an den FIDO-Server, dass es zum Beispiel Sprach- und Fingerabdruckerkennung oder die Kombination von Passwort und Dongle nutzen kann.

Der FiDO-Server entscheidet dann auf Basis der vom jeweiligen Onlineservice selbst festgelegten Kriterien, ob darunter einer oder mehrere Methoden sind, die den Sicherheitsregeln des Servicebetreibers entsprechen. Wenn ja, wird das Gerät zum  Authentisierungsserver des Online-Dienstes zugelassen, andernfalls abgewiesen. Der Server fordert den FIDO-Protokollstapel im zu authentisierenden Gerät auf, den Nutzer mit der gewählten Methode zu identifizieren. Auf dem Gerätebildschirm erscheint eine entsprechende Anweisung, beispielsweise ein Passowrt einzugeben, das Dongle anzustecken und zu quittieren, sein Sprach-Kennwort zu nennen oder den Fingerabdruck-Sensor zu betätigen. Verläuft die Identifizierung erfolgreich, generiert der UAF/U2F-Protokollstapel auf dem Gerät ein Schlüsselpaar aus privatem und öffentlichem Schlüssel und schickt den öffentlichen Schlüssel an den Authentisierungsserver des Online-Dienstes. Dieser speichert den Schlüssel und erkennt hinfort den Anwender, der sich zuvor an seinem Gerät mit der gewählten Zwei-Faktor-Methode authentisieren muss, an dem nach erfolgreicher Geräteauthentisierung durch den OAF/U2F-Protokollstapel präsentierten privaten Schlüssel.

Gelingt der Einbruch in den FISO-Authentisierungsserver eines Dienstes, ist dort außer öffentlichen Schlüsseln nichts zu stehlen. Erpresst jemand bei einem Angriff auf eine Einzelperson die Authentisierung an einem Online-Service, so ist das zwar tragisch für die betroffene Person. Zu einem Daten-Massendiebstahl kann das aber nicht führen.

FIDO-fähige Produkte, etwa Endgeräte mit FIDO-Clients, Authentikatoren oder anderes, werden zukünftig durch FIDO zertifiziert. FIDO-Mitglieder müssen für ihre Implementierung der Technologie in eigenen Produkten keine Lizenzgebühr zahlen. Getestete Lösungen oder Systeme listet der Herstellerverband auf seiner Website. wo man auch heute schon einige Lösungen findet, beispielsweise einen Authentisierungsserver von Nok Nok Labs. Es sollen schnell mehr werden.

Nok Noks Software, für deren Betrieb ein einfacher Standardserver ausreicht, will der Hersteller an Online-Services nach einem stark skalierenden Preismodell vermarkten: Bei Servern, an denen sich siebenstellige Nutzerzahlen authentisieren, soll pro Jahr und FIDO-Nutzer ein Dollar fällig werden, bei kleinen Shops bis zu 50 Dollar pro Besucher.

Bei der erstmaligen Authentisierung an einem FIDO-gestützten Authentisierungsserver generiert der FIDO-Protokollstapel auf dem Endgerät ein Schlüsselpaar – aber nur dann, wenn sich der Anwender zuvor am Gerät ausgewiesen hat (Bild: FIDO Alliance).