FIDO-Allianz

In diesem Rahmen hat die Allianz bis Ende 2014 zwei Standards entwickelt:

• Der Standard U2F (Universal Second Factor, dt.: „universeller zweiter Faktor“) dient zur Spezifikation von Hard- und Software für die Zwei-Faktor-Authentifizierung.
• Der Standard UAF (Universal Authentication Framework, dt.: „universelles Rahmenwerk zur Authentifizierung“) spezifiziert das dazugehörige Netzwerkprotokoll zur kennwortlosen Authentifizierung.

Am 9. Dezember 2014 wurde der erste Standard mit der Bezeichnung FIDO v1.0 veröffentlicht, der beide Spezifikationen enthält.^[3]

Im folgenden Jahr 2015 wurde die Initiative FIDO2 gestartet, in welcher sowohl U2F als auch UAF aufgingen und mit Erweitertungen unter Bezeichnungen wie Client to Authenticator Protocol und WebAuthn weiter bestehen.

Ursprünglich war geplant, dass Daten wie die eindeutige und geheime Primärschlüsselkennung eines Authentifikators (Security-Token) in Klartext nicht auslesbar sind und immer und ausschließlich am Authentifikator verbleiben.^[3] Dieses Grundprinzip wurde allerdings zugunsten des Komforts in bestimmten Implementierungen wie bei den auf FIDO2 basierenden und ohne physische Authentifikatoren auskommenden Passkeys verworfen.

Die für die Standards zertifizierten Produkte können von den Anbietern mit dem markenrechtlich geschützten Logo FIDO ready gekennzeichnet werden.^[4] Geeignete Hard- und Software kann sowohl in Betriebssysteme als auch in Webbrowser integriert werden.^[5] Im Februar 2015 kündigte Microsoft an, dass FIDO2 vom Betriebssystem Windows 10 unterstützt wird.^[6]

Zur Authentifizierung im Internet können hierbei drei grundsätzlich verschiedene Faktoren kombiniert werden:

• Wissen des Benutzers, wie zum Beispiel Kennwörter oder Persönliche Identifikationsnummern
• Besitztümer des Benutzers, wie zum Beispiel Security-Token nach dem CTAP1 (ehemals U2F) oder CTAP2-Standard
• Eigenschaften des Benutzers, wie zum Beispiel Fingerabdruck, Stimme, Aussehen

Registrierung

Bei der Registrierung der FIDO-Unterstützung zu einem Dienst wird auf dem Gerät des Benutzers jedes Mal ein Schlüsselpaar generiert. Der öffentliche Schlüssel wird an den Server gesendet und der private Schlüssel wird sicher im sogenannten FIDO-Authenticator gespeichert. Der Zugriff auf diesen Authenticator wird lokal gesichert. Dies kann durch biometrische Verfahren (beispielsweise Iris- oder Fingerabdruck-Scan), vorher erworbene USB-, NFC-, beziehungsweise Bluetooth-Security-Tokens oder andere Verfahren geschehen.^[3]

Anmeldung

Beim Anmeldevorgang verschlüsselt der entsperrte FIDO-Authenticator die Anfrage des Servers mit dem privaten Schlüssel und beantwortet mit dem erzielten Ergebnis die Anfrage. Der Server kann nun mittels des hinterlegten öffentlichen Schlüssels die Authentizität des Benutzers überprüfen und validieren.^[3]

Die meisten Mitglieder der FIDO-Allianz haben ihren Hauptsitz in asiatischen, europäischen oder nordamerikanischen Ländern. Viele Mitglieder der FIDO-Allianz sind multinationale Unternehmen.

Die sechs Gründungsmitglieder im Sommer 2012 waren: Agnitio, Infineon, Lenovo, Nok Nok Labs, PayPal und Validity Sensors.^[7]

Ende 2014 gehörten unter anderem auch die folgenden Unternehmen zu den Hauptmitgliedern der Allianz: Alibaba Group, Bank of America, Blackberry, Feitian, Google Inc., Mastercard, Microsoft, NXP Semiconductors, Oberthur, Qualcomm, RSA Security, Samsung, Synaptics, Visa Inc. und Yubico.^[8]

Unter anderem unterstützen folgende Unternehmen die Allianz: CA Technologies, Cherry, Dell, Gemalto, LG Electronics, Morpho Cards, Netflix, Österreichische Staatsdruckerei, plantronics, Safenet und SK Telecom.^[8]

Ende 2014 hatte die Allianz bereits mehr als 150 Mitglieder.^[9]

Am 5. Oktober 2015 ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Allianz beigetreten.^[10]

2022 wird auch Apple mit der Einführung von iOS 16, iPadOS 16 und macOS Ventura den FIDO2-Standard umsetzen.^[11]

• FIDO-Allianz (englisch)