goSecurity BLOG

Sichere Authentifizierung ohne Passwörter mit FIDO2

Durch die stetige Digitalisierung wird für die Nutzung der meisten Online-Dienste ein Login vorausgesetzt. Die schiere Masse an Logindaten und allfälliger Mehrfaktor-Authentifizierung alleine kann trotz Passwortmanager überwältigend wirken. Ein kontrollierter und sicherer Umgang mit diesen Daten scheint eine sehr aufwändige Aufgabe. Was dazu führen kann, dass die selben Zugangsdaten für verschiedene Zwecke benutzt werden. Dies erhöht das Sicherheitsrisiko erheblich, falls durch irgendwelche Umstände ein Passwort abhanden kommt. Auch sind mit 2FA (Zwei-Faktor-Authentifizierung) gesicherte Passwörter nicht vor bekannten Phishingtechniken wie MFA (Mehr-Faktor-Authentifizierung) Fatigue gefeit. Als Nebeneffekt wird das Handy als zentrales Sicherheitsorgan für 2FA Applikationen benötigt. Was dazu führt, dass dem Mobile zusätzliche Beachtung im Bezug zur IT-Sicherheit geschenkt werden muss.

Mit diesem Artikel möchten wir den Lesern eine kennwortlose oder 2FA Alternative für die Authentifizierung näher bringen, welche den sicheren Umgang mit Logindaten für jeden vereinfachen kann.

Was ist FIDO2

FIDO steht für Fast IDentity Online. Es beinhaltet eine Sammlung offener und lizenzfreier Authentifizierungs-Standards.
Es bietet eine passwortlose sowie eine alternative zwei Faktor Authentifizierungsmethode für Computer, Mobile-Geräte und Web-Browser, basierend auf der Methode der Public-Key-Kryptographie.
Sie benutzen den FIDO-Standard möglicherweise bereits, denn seit dem Windows 10 Mai 2019 Update ist die Anmeldung an Microsoft-Konten via FIDO2 ohne zusätzliche Hardware via “Windows Hello” möglich. Windows Hello ermöglicht eine Anmeldung am Computer anhand der Gesichtserkennung, Fingerabdruck oder durch einen PIN. Die Schlüssel hierfür werden lokal im TPM (Trusted Platform Modul) abgelegt. Nehmen wir an, wir verwenden Windows Hello um uns mit unserem Microsoft-Konto und PIN am eigenen Computer anzumelden. Sollte ein Angreifer nun an diese PIN gelangen, könnte er sich trotzdem nicht mit unserem Konto verbinden. Dafür müsste der Angreifer zusätzlich im Besitz unseres Computers sein.

Damit diese Technologie auch für die Webauthentifizierung bei einem Online-Dienst genutzt werden kann, werden sogenannte FIDO2-Hardware-Keys, z.B. Von Yubico benötigt, welche die Aufgabe der Verwahrung der Schlüssel übernehmen.

Wie funktioniert die Authentifizierung?

Grundvoraussetzung für eine erfolgreiche Authentifizierung mittels FIDO2, ist die Unterstützung des jeweiligen Online-Dienstes. Hier kann die Kompatibilität der Dienste zentral geprüft werden. Die Funktion muss zuerst bei einem bestehenden Portal wie Google, Microsoft, Protonmail usw. aktiviert werden. Anschliessend fügen wir bevorzugt zwei Sicherheitsschlüssel pro Dienst hinzu. Warum zwei Schlüssel benötigt werden, wird in diesem Artikel noch genauer erläutert.

Für jeden Online-Dienst oder Anwendung wird ein eigenes Schlüsselpaar generiert. Der private Schlüssel wird nur lokal gespeichert, etwa auf einem USB-Hardware-Key wie ihn die Firma Yubico oder TrustKey anbieten. Der öffentliche Schlüssel wird beim jeweiligen Webservice in der Schlüsseldatenbank hinterlegt.

Somit ist eine erfolgreiche Anmeldung nur möglich, wenn beide Schlüssel (Privat und Public Key) zusammenpassen. Nutzer müssen dafür bei der Anmeldung zu einem Online-Dienst den privaten Schlüssel nachweisen. Dies kann durch unterschiedliche Aktionen erfolgen, etwa durch Fingerabdruck, drücken eines Button, der Eingabe eines PINs, Face-ID oder eine Kombination der erwähnten Möglichkeiten. Aus Sicherheitsgründen empfehlen wir immer eine 2FA für alle Zugänge, wo dies möglich ist, zu verwenden. Somit erhalten wir eine zusätzliche Sicherheitsebene zum Schutz unserer Konten. In diesem Fall würde dies bedeuten z.B. ein Passwort und ein FIDO-Key für die Authentifizierung für einen Dienst zu nutzen.

Anwendungsbeispiel mit dem Microsoft O365 Login:

Die Authentifizierungsmethode FIDO2 Security Key muss durch den Administrator für eine definierte Benutzergruppe oder alle Benutzer freigeschaltet werden.

Grundvoraussetzung für den Benutzer ist eine bereits vorhandenen Mehrfaktor-Authentifizierung. Alternativ kann der Administrator einen temporären Zugangscode erstellen. Der Benutzer hat nun die Möglichkeit über die Sicherheitsinfos unter https://aka.ms/mysecurityinfo einen USB Hardware-Key zu registrieren.

Dafür muss eine zusätzliche Authentifizierungs-Methode „Security key“ hinzugefügt werden.

Anschliessend muss definiert werden, um was für einen Schlüssel es sich handelt. Es stehen USB und NFC zur Verfügung, in unserem Fall wählen wir USB.

Ab diesem Zeitpunkt muss der USB Key mit dem Computer verbunden sein. Im darauf folgenden Menü muss das Gerät für das Login bestätigt werden.

Ab hier kann sich die Konfiguration je nach Modell des USB Hardware Keys unterscheiden. In unserem Fall wird ein PIN für die Nutzung des USB Key benötigt. Anschliessend einfach dem Konfiguration Wizard folgen und die Registrierung abschliessen.

Der Benutzer hat nun die Möglichkeit, sich ohne ein Passwort an den Microsoft Online-Diensten anzumelden. Dafür wird beim Login für z.B. https://outlook.office.com/ die entsprechende Login Methode ausgewählt.

Mit der Berührung des FIDO2 Hardware Schlüssels wird der Besitz nachgewiesen und hindert die Übernahme des Accounts aus der Ferne ohne den USB Schlüssel zu besitzen.

Passwort Phishing Resistenz durch FIDO2

Ein wesentlicher Vorteil der passwortlosen Authentifizierung über FIDO2 ist die Resistenz gegenüber bekannter Phishing Angriffe, bei welchen die klassische MFA mit geringem Aufwand umgangen werden kann. In diesem Fall versucht ein Angreifer das Opfer z.B. auf eine gefälschte O365 Anmeldeseite zu locken, um die Logindaten abzufangen. Unterhalb ist eine solche Login-Seite, welche sich in der Kontrolle eines Angreifers befindet, abgebildet.

Bei einer klassischen MFA über ein TOTP (Time-based one-time password z.B. mit Google Authenticator) ist es möglich, über diesen Angriff das Session Cookie abzufangen. Über dieses Cookie hat der Angreifer nun die Möglichkeit, sich auf der korrekten Login-Seite mit dem abgefangenen Benutzer anzumelden. In der folgenden Grafik sind die dafür benötigten Login-Informationen inkl. Session Cookie des Opfers ersichtlich.

Betrachten wir nun das Login-Verhalten auf der selben Login-Seite eines Benutzers, welcher durch einen Hardwarekey geschützt ist. Wenn sich dieser nun auf der vom Angreifer gefälschten Login-Seite versucht anzumelden, wird dies blockiert, weil das Schlüsselpaar auf der gefälschten Seite nicht mit der korrekten Domäne von Microsoft, auf welcher der Hardwarekey registriert wurde, übereinstimmt. Es wird ein Fehler angezeigt, dass der Sicherheitsschlüssel unbekannt sei. Das Session Cookie wird somit nicht erstellt und kann nicht vom Angreifer genutzt werden, um sich dann auf der korrekten Webseite anzumelden.

Es ist zu bemerken, wenn der FIDO2 Hardwarekey als Mehr-Faktor-Authentifizierung zusätzlich zu Username und Passwort genutzt wird, können das Passwort sowie der Username trotzdem mit dieser Phishing-Attacke abgefangen werden. Jedoch nützt dies dem Angreifer nur wenig, da er nicht im Besitz des FIDO Schlüssels ist. Dieser wird zusätzlich benötigt, um sich erfolgreich am jeweiligen System anzumelden.

Vorteile im Vergleich zu herkömmlichen Authentifizierungsmethoden

• Passwortlose Authentifizierung

• Keine geteilten Geheimnisse, der private Schlüssel verlässt nie das eigene Gerät.

• Plattform unabhängig verfügbar

• Resilient gegen Phishing-Attacken. Selbst wenn die Login-Daten kompromittiert werden sollten, gelingt die Anmeldung nicht ohne den Hardware-Schlüssel.

• Benötigt keine Installation zusätzlicher Software

• Höherer Sicherheitslevel

Was gibt es zu beachten?

Bei den Recherchen zu diesem Beitrag ist aufgefallen, dass es aktuell leider nur wenige Anbieter gibt, welche die passwortlose Authentifizierung unterstützen und bereitstellen. Es kann jedoch davon ausgegangen werden, dass sich dies in der Zukunft ändern wird. Die Technologie eignet sich als praktische und sichere 2FA Alternative.

Aus Sicherheitsgründen ist es nicht möglich einen Schlüssel zu kopieren. Der sicherste Weg für einen mühelosen Zugriff auf alle Accounts ist ein zweiter Hardware-Key, welcher bei jedem Service hinterlegt wird. Alternativ können je nach Service, Recovery Codes oder eine alternative Login-Methode konfiguriert werden. Als Best Practice gilt es jedoch einen primären und sekundären Schlüssel zu verwenden. Das soll Sie aber nicht davon abschrecken diese Technologie einzusetzen. Wir nutzen Ersatz-Schlüssel für unsere wertvollsten Vermögenswerte, wie die Wohnung, das Haus oder das Auto. Die FIDO2 Hardware-Keys sollen gleich wie übliche Schlüssel behandelt werden.

Fazit

Der Einsatz von FIDO2 Keys bietet einen wesentlich erhöhten Sicherheitslevel gegenüber bekannter Authentifizierungsmethoden. Somit ist diese Technology gerade im Firmen-Umfeld besonders empfehlenswert. Sollte ein User seinen Schlüssel verlieren, kann ein Administrator innerhalb der Firma mit relativ geringem Aufwand den Schlüssel entfernen und eine alternative Authentifizierungsoption anbieten bis ein neuer Schlüssel beschaffen wird. Dies unterscheidet sich massgebend von der privaten Anwendung. Da wird wie bereits erwähnt, bevorzugt ein zweiter Schlüssel, welcher an einem sicheren Ort aufbewahrt wird, eingesetzt. Somit ist ein uneingeschränkter Zugriff gewährleistet. Vor der Beschaffung der Hardware Schlüssel muss zwingend die Kompatibilität für die jeweiligen Dienste geprüft werden, da es Dienste gibt, welche nicht mit allen erhältlichen Schlüssel benutzt werden können. FIDO2 Keys sind also eine moderne und sichere Lösung für die Authentifizierung, die sowohl für Firmen als auch für Privatpersonen geeignet ist, sofern die erwähnten Punkte berücksichtigt werden.