FIDO2

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das Projekt FIDO2 ist eine gemeinsame Unternehmung zwischen der FIDO-Allianz und dem W3C mit dem Ziel eine starke Authentifizierungslösung für das Web zu entwickeln. Im Kern besteht FIDO2 aus dem W3C Web-Authentication-Standard (WebAuthn) und dem FIDO Client-to-Authenticator-Protocol (CTAP).[1] FIDO2 basiert auf früheren Arbeiten der FIDO-Allianz, insbesondere dem Universal 2nd Factor (U2F) Authentifizierungsstandard. Mit dem Release von FIDO2 wurde U2F in CTAP1 umbenannt.

Zusammengenommen spezifizieren WebAuthn und das korrespondierende Client-to-Authenticator Protocoll (CTAP) der FIDO-Allianz ein Standardauthentifizierungsprotokoll[2] bei dem die Endpunkte aus benutzerkontrollierten eingebetteten (oder gebundenen) kryptografischen Authentifikatoren (wie Biometrie oder PINs) oder externen (oder Roaming) Authentifikatoren (wie FIDO Security Keys, mobilen Geräten, Wearables etc.) und einer vertrauenswürdigen WebAuthn-Gegenstelle (auch FIDO2-Server genannt) bestehen. Ein Web-Benutzerprogramm, wie zum Beispiel ein Browser, bildet zusammen mit einem WebAuthn-Client einen Vermittler zwischen dem Authentifizierer und der vertrauenswürdigen Gegenstelle. Ein einzelnes WebAuthn-Clientgerät kann mehrere WebAuthn-Clients unterstützen. Zum Beispiel kann ein Laptop mehrere Clients unterstützen: Einer für jedes auf dem Laptop laufende kompatible Benutzerprogramm. Dafür muss das Benutzerprogramm die WebAuthn-JavaScript-API implementieren.

Wie der Name bereits andeutet ermöglicht das Client-to-Authenticator-Protocol (CTAP) einem kompatiblen kryptografischen Authentifizierer mit dem WebAuthn-Client interagieren zu können. Die CTAP-Spezifikation verweist auf zwei Protokollversionen: CTAP/U2F und CTAP2.[3] Ein Authentifizierer, der eines dieser Protokolle implementiert, wird, je nach dem, U2F-Authentifizierer oder FIDO2-Authentifizierer genannt. Es gibt auch abwärtskompatible Authentifizierer, die beide Protokolle implementieren. CTAP1 ermöglicht die Verwendung vorhandener FIDO U2F-Geräte (z. B. FIDO-Sicherheitsschlüssel) zur Authentifizierung an FIDO2-fähigen Browsern und Betriebssystemen über USB, NFC oder BLE für ein Zweitfaktor-Erlebnis. CTAP2 ermöglicht die Verwendung externer Authentifikatoren (FIDO Security Keys, mobile Geräte) zur Authentifizierung an FIDO2-fähigen Browsern und Betriebssystemen über USB, NFC oder BLE für eine passwortlose, Zweit- oder Mehr-Faktor-Authentifizierung.

Im Februar 2019 erhielt Android eine FIDO2-Zertifizierung.[4]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. FIDO2: Moving the World Beyond Passwords. FIDO Alliance. Abgerufen am 30. Januar 2019.
  2. Web Authentication: An API for accessing Public Key Credentials Level 1. World Wide Web Consortium (W3C). Abgerufen am 30. Januar 2019.
  3. Client to Authenticator Protocol (CTAP). FIDO Alliance. 27. Februar 2018. Abgerufen am 30. Januar 2019.
  4. Google looks to leave passwords behind for a billion Android devices. Where Android’s going, you won’t need passwords. cnet.com.