Die FIDO-Allianz (Fast Identify Online) ist vor nunmehr 10 Jahren angetreten, um uns endlich von Passwörtern zu erlösen und eine neue sichere Authentifzierungsmethode zu schaffen. Der große Durchbruch blieb leider bisher aus. Das könnte sich aber hoffentlich in den nächsten Jahren ändern.
Die von der FIDO-Allianz entwickelten Standards kennen sicher viele Anwender, die sich mit Sicherheit ein bisschen mehr beschäftigt haben. U2F als Standard für die Zwei-Faktor-Authentifizierung und etwas weniger bekannt UAF als Netzwerkprotokoll. Zusammengefasst in den FIDO-Standard, der als in Zusammenarbeit von FIDO-Allianz und W3C vor einigen Jahren als kommende Authentifizierungslösung für Internetdienste angekündigt wurde.
Die meisten Anwender werden FIDO praktisch mit Security-Keys wie YubiKey oder NitroKey verbinden. Ich bin selbst Besitzer eines YubiKey und arbeite gerne damit, aber eine wirklich umfangreiche Verbreitung hat der noch nicht gefunden. Ein paar Webseiten bieten das an, aber bei der Mehrheit darf man schon froh sein, wenn es Zwei-Faktor-Authentifizierung per TOTP und App auf dem Smartphone gibt. Selbst Linux bietet erst seit Kurzem die Möglichkeit damit LUKS-Container abzusichern. Damit ist Linux leider nicht alleine, denn Google hat FIDO nie richtig in Android implementiert, sondern nur in den proprietären Google-Bestandteilen. Anwender von Aftermarket-Lösungen schauen damit in die Röhre.
Manche hoffnungsvollen Projekte siechen dann vor sich hin und werden irgendwann eingestellt. Nicht so FIDO. Die großen Anbieter haben damit immer weiter experimentiert und es sukzessive in ihre Betriebssysteme integriert. Denn die Ablösung von Passwörtern als primäre Authentifizierungsmethode ist ein drängendes Problem und FIDO die naheliegendste Lösung.
Einen neuen umfassenden Anlauf kündigen Microsoft, Apple und Google am Welt-Passwort-Tag an. Damit sind die Entwicklerfirmen aller wichtigen Betriebssysteme – Windows, Android, ChromeOS, iOS, macOS – an Bord. Noch ist die Umsetzung nicht ganz klar, denn die aktuellen Methoden sind noch viel zu umständlich für die breite Masse der Anwender. Irgendwie müssen die FIDO-Zugangsdaten (oft als “Passkey” bezeichnet) also zwischen den Geräten ausgetauscht werden. Für die reaktionären Alles-Hasser natürlich eine Steilvorlage, um wieder alles Mögliche zu unterstellen. Aber dennoch ist klar, dass es eine Weiterentwicklung des Standards braucht, der leichtere Bedienbarkeit mit einem hohen Sicherheitsniveau verbindet. Dazu ist der Bericht von Andreas Proschofsky in DerStandard aus dem Pressegespräch mit dem Google-Verantwortlichen sehr interessant zu lesen.
Das ist alles nicht nur Zukunftsmusik. Vor wenigen Tagen kündigte Apple die nächste Version seiner Betriebssysteme an, die eine entsprechende Funktion beinhaltet. Ich vermute, dies wird vorerst auf das Apple-Universum beschränkt sein, weil Microsoft und Google noch nicht so weit sind, aber der Weg ist vorgezeichnet. Hoffentlich bekommt Linux da dann ebenfalls noch einen Fuß in die Tür.
Etwas OT:
Hi Gerrit. Kannst du vielleicht dein WP-Theme etwas modernisieren oder anpassen? Ich finde deine Artikel lesen sich im Planet deutlich angenehmer, da man dort viel weniger scrollen muss. Der große Schriftart gepaart mit der extrem breiten Sidebar lassen vom eigentlichen Textcontainer nicht viel übrig. Ein Container der auf 1024px fixiert ist, wirkt auf einem 16×9 bzw 16×10-Monitor ziemlich verloren. Es würde schon reichen, wenn du die Schriftgröße von 18px auf 16px setzen würdest.
Was findest du daran unmodern? Aktueller Kenntnisstand bei UX ist meines Wissens nach immer noch, dass eine gewisse Zeilenbreite nicht überschritten werden sollte. Ich habe gerade bei mal ZEIT ONLINE, tagesschau.de, SPIEGEL etc. geschaut und deren Textcontainer sind nicht breiter als hier. Ansonsten unterstütze ich ja explizit Fulltext via RSS, um jedem hier die Freiheit zu lassen die Artikel in einem Reader der Wahl zu lesen.
Irgendwann muss ich sicher mal den ganzen Auftritt generalüberholen, das Template ist auch nur noch im Wartungsmodus und funktioniert mit neuen WordPress-Versionen zunehmend schlechter, aber das passiert sicher nicht mehr dieses Jahr. 😉
Ich hoffe auch auf eine weitere Durchsetzung, gerade auch wegen der Sicherheit. Bei Hardware-Schlüsseln schwanke ich noch, ob es sich für mich persönlich auszahlt, solange ich die wertvollsten Konten (Bankkonten) nicht mitabsichern kann.
Leider setzen viele Anbieter auf selbst-gebackene Lösungen: immer noch SMS, oder einen Zoo von eigenen Apps. Ohne jetzt die Büchse der Pandora zu öffnen, bevorzuge ich persönlich einfache, standardisierte Lösungen (z.B. Formate, Protokolle) anstatt mich unnötig an bestimmte Apps/Betriebssysteme zu binden. Auch wenn ich diese aktuell nutze, schränkt es meine zukünftige Wahlfreiheit ein.
Soweit ich weiß, kann man mit FIDO2 eine Anzeige von Transaktionsdetails verlangen (was ein entsprechendes Endgerät benötigt), was meinem Verständnis nach der Grund war, warum Banken den Standard meiden bzw. umgehen.
Kann denn nicht der Gesetzgeber richtungsleitend eingreifen (wie bei Ladekabeln), oder mangelt es an Digitalkompetenz oder müssen da noch 10 Jahre vergehen?
Eigentlich hat Joe Biden schon vor einem Jahr gefordert, dass amerikanische Bundesbehörden vorwärts machen müssen. Insofern verstehe ich nicht, weshalb die Integration so zäh verläuft.
Ist diese WordPress-Seite mit Fido2 abgesichert? Eigentlich geht das ganz einfach mit https://de.wordpress.org/plugins/wp-webauthn/ aber es ist kaum bekannt.