Passwortlose Anmeldeverfahren: Apple, Google und Microsoft arbeiten zusammen

FIDO-Anmeldestandard soll ausgebaut werden

Passend zum heutigen Welt-Passwort-Tag verkünden Apple, Google und Microsoft, dass sie neue, zentrale Funktionen entwickeln, um den FIDO-Anmeldestandard weiter auszubauen und die Hürden für eine passwortlose Alternative zu senken. Durch die neuen Funktionen soll man sich über verschiedene Geräte und Plattformen hinweg konsistent, sicher und einfach passwortlos anmelden können.

„So wie die SSL-Verschlüsselung eine flächendeckende, sichere Kommunikation im Internet ermöglicht, so brauchen wir auch eine flächendeckende und einfache Lösung für die sichere und passwortlose Anmeldung. FIDO ist diese Lösung. Zu dem Firmenverbund hinter FIDO gehören – neben Apple, Google und Microsoft – hunderte Technologieunternehmen, Dienstleister und Behörden aus der ganzen Welt, unter anderem auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).“

So berichtet die FIDO Alliance dazu in einer Mitteilung an uns. Diese wurde im Juli 2012 gegründet, um den Mangel an Kompatibilität zwischen starken Authentifizierungstechnologien zu beheben und Probleme beim Erstellen und Merken mehrerer Benutzernamen und Passwörter zu lösen. Dieser Standard soll die Abhängigkeit von Passwörtern verringern und einem offenen, skalierbaren und interoperablen Satz von Regeln folgen. Die FIDO-Authentifizierung ist stärker, sicherer und bei der Authentifizierung gegenüber Online-Diensten einfacher zu verwenden.


Geplant sind nun zwei neue Funktionen für Websites und Anwendungen, mit denen sich Benutzer und Benutzerinnen über verschiedene Geräte und Plattformen hinweg konsistent, sicher und einfach passwortlos anmelden können. Die neuen Funktionen sollen im Laufe des kommenden Jahres auf den Plattformen von Apple, Google und Microsoft verfügbar sein.

Der Anmeldestandard wird bereits von Milliarden von Geräten und allen modernen Webbrowsern unterstützt. Die bisherige Implementierung erfordert jedoch, dass man sich auf jeder Website oder App mit jedem Gerät einmalig registrieren muss, bevor die passwortlose Funktionalität genutzt werden kann. Die heutige Ankündigung erweitert den Standard um zwei neue Funktionen:

  • Benutzer und Benutzerinnen können auf mehreren und auch auf neuen Geräten automatisch auf die FIDO-Zugangsdaten (auch Passkeys genannt) zugreifen – ohne dass sie sich für jeden Account neu anmelden müssen.
  • Benutzer und Benutzerinnen können die FIDO-Authentifizierung auf ihrem Mobilgerät verwenden, um sich bei einer App oder Website auf einem ihrer Geräte in der Nähe anzumelden – unabhängig vom verwendeten Betriebssystem oder Browser.

Kurt Knight, Senior Director of Platform Product Marketing bei Apple, äußert sich wie folgt zum Thema:

„So wie wir unsere Produkte intuitiv und leistungsfähig gestalten, gestalten wir sie auch so, dass sie die Privatsphäre schützen und sicher sind. Zentrales Element unseres Engagements ist die Zusammenarbeit mit der Industrie bei der Entwicklung neuer, sicherer Anmeldemethoden, die einen besseren Schutz bieten und die Schwachstellen von Passwörtern beseitigen. Unser Ziel ist es, Produkte zu entwickeln, die maximale Sicherheit für die persönlichen Daten der Benutzer und ein transparentes Benutzererlebnis bieten.“

Wenn ihr mehr zur FIDO Alliance und der gemeinsamen Entwicklung durch große Tech-Dienstleister erfahren wollt, lohnt ein Blick auf die Website der Kooperation.

Anzeige

Kommentare 18 Antworten

  1. 2 mal gelesen, trotzdem nicht verstanden wie es laufen soll?!

    WIE soll es also technisch funktionieren?
    Wie kann man sicher sein, das es kein anderer ist, der sich anmeldet?
    Mit so eine Art USB Stick als Schlüssel?

    1. @hhh: Dito bei mir. Ist leider (zu) oft der Fall, dass ein ellenlanger Artikel mit vielen copy-paste-Marketingtexten verfasst wird, wo unter Verwendung ganz vieler Worte gekonnt jegliche relevante Information vermieden, wie das eigentlich umgesetzt werden soll.
      Und, mal wieder: Praktisch kein Inhalt, aber Hauptsache korrekt gegendert. 🤦🏼‍♂️

        1. @sebastian: Ach komm, gönn Dir ruhig etwas mehr Anspruch. Warum solltest Du Dich mit inhaltslosem, abgeschriebenen und durch den Genderfilter gezogenen Marketinggeblubber zufrieden geben?

          1. Ne ne, ich stimme Sebastian da schon zu. Dieses Gendern mögen einige als unnötig empfinden, aber noch schlimmer ist es zwischen den ganzen Gender-Shitstorm Kommentaren noch inhaltlich sinnvolle suchen zu müssen.

            Das ist letztendlich genau das, was du bemängelst: Viel Text, kein Inhalt.
            Und da bin ich auch vollkommen auf deiner Seite. Dieses „Marketinggeblubber“ kann man sich echt sparen, genauso wie diese elendigen Genderdiskussionen.

          2. @sebastian und @felicio: Danke für Eure Sachlichkeit ✌🏻
            Ich gestehe Euch zu, dass es nervt, wenn sich mal wieder jemand am dämlichen Gendern stört. Aber gesteht mir bitte auch zu, dass mir diese ganzen inhaltsleeren Hauptsache-korrekt-gegendert-Artikel insbesondere von Mel massiv auf den Sack gehen. Und nein, „dann lies das halt nicht“ ist keine Lösung, denn das Thema aus dem Titel interessiert mich schon. Und hier muss ich Dir @felicio leider Widersprechen. Denn erstens finde ich die Kritik über das Gendern beileibe nicht „noch schlimmer“, und zweitens ist mein Beitrag allein schon deshalb nicht genau das gleiche wie das was ich kritisiere, denn mein Beitrag verspricht nicht im Titel etwas, was er dann nicht hält. 😉

          3. Hier ist vielleicht noch ein interessanter Link zum Thema Gendern:

            https://gfds.de/standpunkt-der-gfds-zu-einer-geschlechtergerechten-sprache/

            Appgefahren (nicht nur Mel) hat sich beim gendern also schon für die derzeit „beste“ Option entschieden. Schlimmer finde ich tatsächlich die anderen Optionen, mit dem Doppelpunkt zum Beispiel, das macht mich als Leser verrückt, weil ich daran immer „hängen“ bleibe.

            Jedoch muss ich @zeroG Recht geben, durch das Gendern bekommt man manchmal den Eindruck, dass es dem Autor wichtiger war, sich politisch korrekt zu äußern, als den Inhalt vernünftig rüber zu bringen. Das ist aber ein generelles Problem in der Medienlandschaft geworden und nicht nur hier bei Appgefahren.

            Und jeder Kommentar, der sich auf den Artikel bezieht, sei es inhaltlich oder stilistisch, ist zu akzeptieren. Wenn sich so viele Leute über das Gendern beschweren, sollte man das vielleicht besser mal ernst nehmen. Kritik zu ignorieren oder gar zu verbieten oder zu verhöhnen weil man selbst nicht auf der Seite der Kritiker steht, führt nur zu Frust und Spaltung. Irgendwann ist jeder mal auf der Seite der Kritiker.

          4. @kaix: Danke für den Link. Der Artikel ist zwar interessant, er zeigt aber gleichzeitig die Perversion auf, mit der man sich künstlich beschäftigt. Wenn man sich auf diese Debatte einlässt, gibt es keine Gewinner. Auch Variante Nr. 1 („Schülerinnen und Schüler“) hat Schwächen. Erstens kämpft man seit 2018 um die Anerkennung eines dritten Geschlechts (noch mehr Schwachsinn, juhuu), und zweitens diskriminiert auch diese Variante: warum werden nur zwei von drei Geschlechtern genannt und welches Geschlecht wird warum zuerst genannt? Werden die Schüler nicht dadurch diskriminiert, dass die Schülerinnen zuerst genannt werden? Diese ganze Bullshit-Debatte wird nie ein Ende finden.
            Da lobe ich mir die englische Sprache, die für so einen Schwachsinn keinen Raum bietet. Ich weiß schon, warum ich englischsprachige Filme lieber im Original schaue. Wo eine Frau eine Gruppe von ausschließlich Frauen mit „you guys“ anspricht, ohne dass gleich 10 Feministinnen eine Demo veranstalten. Oder, jüngstes Beispiel, habe ich gestern bei „Below Deck Sailing Yacht“ gesehen: das Interior Team, bestehend aus 3 Stewardessen, verliert eine Stewardess, woraufhin die Chief Stew sagt: „we are one man down“. Ja, so unkompliziert kann es sein. Danke, ihr seid die wahren Heldinnen. An die Gender-Frauen: Respekt verdient man durch sein Verhalten. Verhaltet Euch einfach respektierenswert. Respekt werdet ihr jedenfalls nicht dadurch bekommen, dass ihr anderen eure Sprach-Perversion aufzwingt.

          5. Ich verstehe trotzdem nicht, wie man sich soo sehr über eine solche Kleinigkeit aufregen kann. Sternchen-Formen und co. kann man gut oder schlecht finden. Ich hab aber bisher noch keinen Text gelesen, bei dem mich das so sehr gestört hat, dass ich viel länger zum Lesen brauchte oder es nicht verstanden hatte. 😀

            Und die Kritik am Rest hat doch nie und nimmer etwas mit Gendern zu tun. Als ob sich die Schreiber denken “Ich könnte noch extra 30 min. recherchieren aber genau die Zeit brauche ich, um den Text Genier-neutral zu verfassen.”

            Dazu kommt, dass die Diskussion hier vermeindlich nur von Männern diskutiert wird.

          6. @sebastian: Wie ich schon in meinem Ursprungspost und in allen danach schrieb: es geht mir nicht um das Gendern *alleine*. Ich kritisiere die Faktenfreiheit der Artikel (Übersetzung: die Verfasserin hat sich keine Mühe gegeben zu recherchieren) *in* *Kombination* *mit* *Gendern*. Wie kaix schon richtig erkannt hat und schrieb: es ist erkennbar, dass die Priorität der Verfasserin in ihrem Bemühen liegt, korrekt zu Gendern, und nicht darin, die Leser mit interessanten Artikeln und hilfreichen Fakten zu versorgen. Diese Kombination ist lächerlich und darf zurecht kritisiert werden. Das gibt einfach kein gutes Bild für appgefahren ab.

  2. Was nan über Fido 2 wissen sollten: Der große Vorteil liegt in einer deutlich höheren Sicherheit verglichen mit einem Log-in per Passwort. Der Nachteil: Sie müssen den Sicherheitsschlüssel immer zur Hand haben, wenn Sie sich einloggen möchten. Darum wird Fido 2 erst dann wirklich bequem, wenn es per Smartphone funktioniert, das viele Nutzer meist dabeihaben.
    Wie der Log-in mit Fido 2 genau abläuft, bestimmt der Onlinedienst, bei dem Sie sich einloggen. So kann bereits das Anstecken des Fido-2-Sticks und ein Tastendruck für eine Anmeldung genügen. Zusätzlich können aber noch PIN-Code, Passwort oder ein biometrisches Merkmal gefordert werden. Wenn Sie für Fido 2 Ihren Fingerabdruck oder ein anderes biometrisches Merkmal nutzen, dann bleiben diese Daten auf dem Gerät gespeichert.
    Sie können keine Sicherungskopie Ihres Fido-2-Schlüssel erstellen. Das schließt der Standard aus. Darum ist es wichtig, eine alternative Methode für den Log-in zu besitzen. Das kann ein zweiter Hardware-Schlüssel sein oder aber ein Passwort. Dann ist allerdings der besondere Schutz des passwortlosen Log-ins wieder etwas geschwächt. Wer statt seines Smartphones doch lieber einen Hardwareschlüssel nutzen möchte, wird bei einem der drei Hersteller ab rund 25 Euro fündig: Nitrokey UG , Solokeys  oder Yubikey . Achtet darauf, dass der Key auch für den Fido-2-Standard zertifiziert ist oder zumindest damit funktioniert. Der Grund: Es gibt noch Angebote nach dem Standard 1.2. PC-Welt

      1. @tux: Wie immer, danke Dir für Deine Mühe, mit der Du die Infos recherchiert hast, die eigentlich im Artikel hätten sein sollen.

        1. Ich kann noch ergänzen: Bei Registrierung eines Geräts wird ein asymmetrisches Schlüsselpaar erzeugt (also ein öffentlicher- und ein privater Schlüssel), der öffentliche Schlüssel wird an den Server geschickt, der private Schlüssel verbleibt auf dem Gerät (Smartphone, USB-Stick, …). Der private Schlüssel ist dein Passwortersatz. Es gibt zwei Vorteile: Der Schlüssel ist deutlich komplexer als ein normales Passwort sein könnte und bedingt durch die Art und Weise dieser Authentifizierung, können auch keine sensiblen Informationen abgefangen werden (bei der Authentifizierung per Passwort wird das Passwort an den Server übertragen, der Schutz des Passworts ist also abhängig von der Transportverschlüsselung). Die Einbeziehung biometrischer Verfahren zur „Anmeldung“ bezieht sich lediglich auf die Entschlüsselung deines privaten Schlüssels auf deinem Gerät, weil der selbstverständlich nicht unverschlüsselt auf dem Gerät liegen sollte. Im Endeffekt ist das wie ein Passwort-Manager, den man entschlüsselt um daraus das Passwort zu entnehmen. Damit dieses Verfahren so funktioniert, müssen Webseite und Endgerät erkennen, dass beide kompatibel sind. Wenn man iCloud.com auf dem iPhone/iPad aufruft, wird auch keine klassische Anmeldemaske mehr angezeigt und man kann sich per Face- oder TouchID anmelden. Darum geht es in der Erweiterung des FIDO Standards.

          Der Google Chrome Browser hatte als einer der ersten Browser ein Crypto-Modul integriert, wodurch solche Schlüsselpaare auf dem Gerät generiert werden konnten. Das ist auch der Grund, warum man bei Elster Online in der Anfangszeit unbedingt den Chrome verwenden musste, wenn man ein Zertifikat für die Abgabe seiner Steuererklärung generieren wollte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Copyright © 2022 appgefahren.de