Das FIDO2-Protokoll speichert den Authentifizierungsschlüssel unter Offline-Bedingungen nur auf dem Gerät des Benutzers. Daher ist es viel sicherer, zuverlässiger und benutzerfreundlicher.
Update 2 (13.08.19 um 9:50 Uhr ET): Google führt die passwortlose FIDO2-Authentifizierung für Google-Konten auf Android-Geräten ein.
Update 1 (07.05.19 um 13:31 Uhr ET): Google hat angekündigt die allgemeine Verfügbarkeit dieser neuen Funktion, die es Ihnen ermöglicht, Ihr Telefon als Sicherheitsschlüssel für die zweistufige Authentifizierung zu verwenden.
Das Leben in einer passwortlosen Welt ist die Zukunft, von der viele Technikbegeisterte träumen. Es gibt keine voraussichtliche Ankunftszeit oder Fortschrittsanzeige für den Höhepunkt dieser Technologie, aber ihre Ankunft ist unvermeidlich. Passwörter sind veraltet, leicht zu vergessen und sehr oft unsicher. auch wenn Sie zusätzliche Maßnahmen ergreifen wie die 2-Faktor-Authentifizierung. Wie bei vielen großen kommenden Trends spielt auch hier Google eine Rolle. Dies sollte nicht überraschen, wenn man bedenkt, dass dieses Unternehmen das beliebteste mobile Betriebssystem, den beliebtesten Webbrowser und die beliebteste Suchmaschine besitzt. Google arbeitet seit einigen Jahren mit Partnern wie Microsoft und anderen Technologiegiganten an der Entwicklung dieser Technologie. Gestern hat das Unternehmen einen weiteren großen Schritt in Richtung der passwortlosen Funktion gemacht.
Die FIDO-Allianz angekündigt gestern auf dem Mobile World Congress, dass Android nun FIDO2-zertifiziert ist. Falls Sie noch nie davon gehört haben: Die FIDO Alliance ist eine Vereinigung, die an den Standards der passwortlosen Authentifizierung arbeitet und diese definiert. Zu den Mitgliedern der Allianz gehören unter anderem Google, Facebook, GitHub, Dropbox, eBay und viele mehr. Gemeinsam mit Partnern aus aller Welt arbeitet die FIDO Alliance seit einigen Jahren an der FIDO2-Zertifizierung.
Abgesehen von den offensichtlichen Verbesserungen bei Komfort und Benutzerfreundlichkeit im Vergleich zu herkömmlichen Passwörtern bietet das FIDO2-Protokoll auch eine viel bessere Sicherheit. Traditionell funktionierte die Authentifizierung über Passwörter nämlich so: Sowohl der Benutzer als auch der Dienst hatten einen geheimen Schlüssel, der auf dem Server und dem Gerät gespeichert war. Während des Authentifizierungsprozesses sendet der Benutzer das Passwort an den Server, wo es verschlüsselt und mit dem gespeicherten Schlüssel verglichen wird. Stimmen die Schlüssel überein, erhält der Nutzer Zugriff auf seinen Account/Inhalt. Diese Methode weist jedoch einen großen Fehler auf: Die Authentifizierungsschlüssel werden an zwei verschiedenen Orten gespeichert, wodurch sie doppelt so anfällig für Angriffe sind. Zwar gibt es Methoden wie Ende-zu-Ende-Verschlüsselung, um sie zu verhindern, aber Hacker lassen sich immer wieder neue Wege einfallen, um diese offensichtlichen Schwachstellen auszunutzen.
Das FIDO2-Protokoll speichert den Authentifizierungsschlüssel unter Offline-Bedingungen nur auf dem Gerät des Benutzers. Daher ist es viel sicherer, zuverlässiger und benutzerfreundlicher. Die FIDO2-Zertifizierung ist jetzt auf allen Mobilgeräten mit Android 7.0 Nougat oder höher verfügbar. Entwickler von Mobil- und Webanwendungen können die APIs bereits nutzen, um die Funktion in ihre eigenen Dienste zu implementieren.
Update 2: Google-Konten
Google hat mit der Einführung der passwortlosen FIDO2-Authentifizierung für Google-Konten auf Android 7+-Geräten begonnen und beginnt heute mit Pixel-Geräten. Benutzer können beim Besuch bestimmter Google-Dienste ihre Fingerabdruck- oder Bildschirmsperrmethode verwenden, anstatt ihr Passwort einzugeben. Dies bedeutet, dass ein Benutzer seinen Finger einmal registrieren und ihn für eine Vielzahl nativer und Webdienste verwenden kann. Der Fingerabdruck wird niemals an die Server von Google gesendet.
Um es gleich auszuprobieren, gehen Sie zu passwörter.google.com, wählen Sie eine Website aus, um ein gespeichertes Passwort anzuzeigen oder zu verwalten, und befolgen Sie die Anweisungen, um Ihre Identität zu bestätigen.
Quelle: Google