Authentifizierung und Sicherheit

FIDO2-Einsatz im Unternehmen

FIOD2 Passkeys für MFA

FIDO2-Einsatz im Unternehmen

Geschrieben von
Dennis Okpara

18. Juli 2023

Erfahren Sie mehr über das Produkt, Preise und Funktionen von AuthN by IDEE.

Fordern Sie noch heute eine kostenlose Demo an!

Verwandte Artikel

Microsoft APT Phishing-Verletzung - Ihre nächsten Schritte

CitrixBleed-Angriffe

Was ist transitives Vertrauen?

Schnellste MFA - Integration in Sekundenschnelle: Zeigen. Klicken. Geschützt.

Inhaltsübersicht

Rubrik 2
Rubrik 3

Was ist der FIDO2-Standard und warum sollte er für Unternehmen von Bedeutung sein?

Die von der FIDO Alliance entwickelte FIDO-Authentifizierung ist ein Authentifizierungsstandard, der auf Public-Key-Kryptografie basiert und darauf abzielt, die weltweite Abhängigkeit von Passwörtern zu verringern und das Internet besser abzusichern.

FIDO2 ist ein Standard, den viele Anbieter und Organisationen anstreben, um bei der Authentifizierung das höchstmögliche Sicherheitsniveau zu erreichen.

In diesem Beitrag befassen wir uns mit den Empfehlungen der FIDO Alliance, die zur Unterstützung der Einführung des FIDO2-Standards in Unternehmen geschaffen wurde. Die Empfehlungen konzentrieren sich auf zwei Untergruppen des Standards - WebAuthn (Passkeys) und die FIDO2-Sicherheitsschlüssel. Wir werden die Empfehlungen und deren Umsetzung sowie die damit verbundenen Herausforderungen diskutieren.

Was ist ein Hauptschlüssel?

Zunächst einmal. Was ist ein Hauptschlüssel? Ein Passkey (oder WebAuthN) ist eine Untergruppe des FIDO2-Standards, die sich auf den eingebauten kryptografischen Hardware-Chip eines Geräts stützt, ohne dass ein externes Gerät erforderlich ist. Es hat sich als Methode zur Authentifizierung ohne Passwörter durchgesetzt und wird von Plattformanbietern wie Google, Microsoft und Apple unterstützt.

Dabei werden zwei Schlüssel erstellt: ein öffentlicher und ein privater. Der private Schlüssel bleibt an ein Gerät gebunden, und der öffentliche Schlüssel wird auf dem Server des Identitäts- oder Plattformanbieters gespeichert. Wenn ein Benutzer versucht, sich anzumelden und auf sein Konto zuzugreifen, wird der private Schlüssel verwendet, um die Anmeldeanfrage digital zu signieren, der öffentliche Schlüssel wird verwendet, um die digital signierte Anmeldeanfrage zu verifizieren und den Zugang zu gewähren. Das bedeutet, dass die öffentlichen Schlüssel ohne den gerätespezifischen privaten Schlüssel nutzlos sind. Wenn der Benutzer sein Gerät entsperrt, um sich anzumelden, zeigt er, dass er die Kontrolle über das Gerät hat. Die digitale Signatur, die mit dem privaten Schlüssel signiert ist, der nur auf diesem Gerät existiert, zeigt, dass er im Besitz des privaten Schlüssels und des Geräts ist. Die Entsperrung des Geräts mittels biometrischer Daten oder PIN ist der erste Faktor, der Besitz und die Kontrolle des privaten Schlüssels/Geräts ist der zweite Faktor. Auf diese Weise wird MFA (Multi-Faktor-Authentifizierung) erreicht. Klingt so weit gut.

FIDO2-Strategie: Eine Zusammenfassung 

Es gibt eine Menge technischer Details. Wir haben uns die Mühe gemacht und einen Überblick über die wichtigsten Punkte in einer leicht übersichtlichen Liste gegeben. 

Strategie für den Einsatz

Hier ist eine Zusammenfassung, wie die Einführung gemäß den Empfehlungen der FIDO erfolgen sollte.

1. Unternehmen sollten den Passkey über Identity Provider (IdP) unterstützen, damit er sich in den Unternehmensanwendungen verbreitet.

2. Wenn ein Single-Sign-On-Mechanismus (SSO) verwendet wird, um mehrere Anwendungen und Dienste zu föderieren, kann das Hinzufügen von Passkey-Unterstützung zum Identity Provider (IdP) die Unterstützung für Passkeys auf zahlreiche föderierte Anwendungen übertragen und so ein reichhaltiges Ökosystem von Diensten schaffen, die Passkeys unterstützen, wobei sich die technischen Bemühungen auf den SSO IdP konzentrieren.

3. Unternehmen sollten abwägen, ob Benutzer, die sich zwischen mehreren gemeinsam genutzten Geräten bewegen, Passkeys über alle gemeinsam genutzten Geräte hinweg synchronisieren, Hardware-Schlüssel verwenden oder den hybriden Fluss nutzen sollten, um ihren Arbeitsstil am besten zu unterstützen.  

  • Wenn Benutzer auf gemeinsam genutzten Geräten mit einem einzigen Konto (oder Profil) arbeiten, sind auf der Plattform registrierte Passkeys oder Credential Manager nicht geeignet. Für dieses Szenario werden gerätegebundene Passkeys (Hardware-Sicherheitsschlüssel) empfohlen. 
  • Wenn der Benutzer ein mobiles Gerät mit sich führt, sollten Sie einen Passkey auf dem Gerät registrieren und den geräteübergreifenden Authentifizierungsfluss zur Authentifizierung der Benutzer verwenden.  

4. Organisationen mit mäßiger Sicherheit können alle Benutzer unterstützen, indem sie synchronisierte Passwörter für ihre Standardbenutzer einführen, um Passwörter zu ersetzen, und dann Hardwaresicherheitsschlüssel für hochprivilegierte Benutzer und deren Zugriff auf Ressourcen verwenden, die die höchste Sicherheitsstufe erfordern.   

  • Die Implementierung beider Arten von Passkeys in derselben Authentifizierungsdomäne stellt jedoch eine zusätzliche Herausforderung dar, die von Organisationen zusätzliche Schritte erfordert, um sicherzustellen, dass beim Zugriff auf Ressourcen der richtige Typ von Passkey verwendet wird. So muss beispielsweise sichergestellt werden, dass ein hoch privilegierter Benutzer beim Zugriff auf eine Ressource, die ein hohes Maß an Sicherheit erfordert, einen Hardwaresicherheitsschlüssel und keinen synchronisierten Schlüssel verwendet.  
  • In föderierten Authentifizierungsumgebungen kann dies über Standards wie OpenID Connect kommuniziert werden.  

5. Synchronisierte Passkeys sind keine gute Lösung für Unternehmen, die ein höheres Maß an Sicherheit benötigen, und sie sollten Hardware-Sicherheitsschlüssel verwenden, um diese Anwendungsfälle zu unterstützen.

6. Organisationen können die Registrierung nur einer bestimmten Gruppe von Authentifikatoren erlauben.  

Strategie für das Management der Erholung: 

1. Die FIDO Alliance empfiehlt die folgende zweistufige Strategie für die Wiederherstellung von Konten:   

  • Mehrere Authentifikatoren pro Konto (Verringerung des Bedarfs an Kontowiederherstellung)  
  • Wiederholung des Identitätsnachweises/Nutzer-Onboarding-Mechanismen (tatsächliche Durchführung der Kontowiederherstellung)  

2. Bei der Verwendung von Hardwareschlüsseln sollten Unternehmen zwei pro Benutzer bereitstellen, um ein Backup der Zugangsdaten zu ermöglichen. Wenn ein Benutzer seinen Hardwareschlüssel verliert, muss er eine Sicherungskopie haben oder eine Kontowiederherstellung für alle auf dem Gerät gespeicherten Anmeldedaten durchführen.

3. Solange ein Kennwort für das Benutzerkonto aktiv ist, kann der Benutzer den Verlust der Zugangsdaten durch die oben beschriebene Selbstbereitstellung beheben. Dieser Schritt ist nur erforderlich, wenn der Benutzer nicht in der Lage ist, seine Anmeldedaten von seinem Passkey-Anbieter wiederherzustellen.

Die Herausforderungen des FIOD2-Ansatzes

Jeder Schritt, der unternommen wird, um Organisationen sicherer zu machen, weniger abhängig von Passwörtern (die, seien wir ehrlich, veraltet sind), oder um Industriestandards einzuführen, ist sicherlich ein Schritt in die richtige Richtung. Der FIDO2-Ansatz birgt jedoch noch Herausforderungen und Schwachstellen. Hier ist unsere Meinung dazu.

Synchrone Passkeys schaffen eine Abhängigkeit

Synchronisierte Passkeys schaffen eine Abhängigkeit vom Anbieter der Passkey-Plattform und dessen Synchronisationsstruktur. Jeder Anbieter implementiert seine eigene Synchronisationsstruktur, die eigene Sicherheitskontrollen und -mechanismen umfasst, um Anmeldedaten vor Missbrauch zu schützen. 

Passkeys können mit anderen Benutzern geteilt werden

Passkeys können mit anderen Benutzern geteilt werden, wenn sie nicht hardwaregebunden sind. Das bedeutet, dass jeder auf jedem beliebigen Gerät den Hauptschlüssel verwenden kann, um sich bei dem Konto anzumelden. Dies könnte zu einer Übernahme des Kontos führen, was eines der Ergebnisse ist, vor denen diese Norm zu schützen versucht. 

Unternehmen können keine Übersicht über Geräte und / oder Anmeldedaten

Derzeit gibt es keine Standards oder Systeme, mit denen Unternehmen nachverfolgen können, auf welchen Geräten diese Anmeldedaten erstellt und gespeichert wurden. Es gibt auch keine Mechanismen, mit denen festgestellt werden kann, wann die Zugangsdaten an eine andere Person weitergegeben wurden.

Die Folge ist, dass die Organisationen für die Sicherheit ihrer Ressourcen von Plattformen wie Google und Apple abhängig sind. Dies stellt eine große Bedrohung für die Gesamtsicherheit des Unternehmens dar, da die Mitarbeiter die Passwörter mit ihren persönlichen Geräten synchronisieren und sie möglicherweise sogar an Hacker wie Lapsus$ verkaufen können, um einen Teil des Lösegelds zu erhalten. Darüber hinaus haben Regierungen die Möglichkeit, von den Plattformen die Herausgabe aller Passwörter zu verlangen, die sie dann für den Zugriff auf die Konten der Menschen verwenden könnten. 

Rückgriff auf das Passwort

Mehrere Authentifikatoren pro Konto kosten Geld, was sich die meisten Unternehmen nicht leisten können. Außerdem gibt es keine Garantie dafür, dass nicht zwei Authentifikatoren gleichzeitig gestohlen oder verloren werden können.

Die meisten Organisationen müssen sich daher auf Passwörter als Ausweichmethode verlassen. Das bedeutet, dass FIDO2 so sicher ist wie die Ausweichmethode (in diesem Fall das Passwort). Dies öffnet die Tür für Credential Phishing und passwortbasierte Angriffe.

Unternehmens-Attestierung 

Synchronisierte Passkeys implementieren keine Bescheinigung, was bedeutet, dass sie keine geeignete Lösung für Szenarien mit hoch privilegierten Benutzern sind, die ein höheres Maß an Sicherheit benötigen, oder für Organisationen, die Enterprise Attestation implementieren möchten.  

Fazit 

Zusammenfassend lässt sich sagen, dass wir die Bemühungen, alles sicherer zu machen, sehr begrüßen. Wir sind ebenfalls der Meinung, dass Passwörter überflüssig sind und dass die Industrie neue Wege finden muss, um die Nutzer privat und sicher zu authentifizieren. Standards wie FIDO2 sind in diesem Bestreben äußerst hilfreich und tragen dazu bei, Kontinuität und Sicherheit über verschiedene Lösungen hinweg zu gewährleisten.

Es ist jedoch wichtig, dass sie nie als ein Kästchen betrachtet werden, das man ankreuzen kann und das eine 100-prozentige Ausfallsicherheit garantiert. FIDO2 ist ein Authentifizierungsstandard. Er befasst sich nicht mit dem gesamten Lebenszyklus der Identität, der die Registrierung, das Hinzufügen eines Geräts, die Wiederherstellung und die Hardwarespeicherung von FIDO2-Schlüsseln umfassen muss. Wenn FIDO2 falsch implementiert wird, kann es nicht gegen alle Phishing- und AiTM-Angriffe auf Anmeldeinformationen schützen.

Phish-resistent ist nicht dasselbe wie phish-sicher. Wenn Organisationen eine phish-sichere Authentifizierung garantieren wollen, sollten sie sich nach Lösungen wie AuthN von IDEE umsehen.

Um mehr zu erfahren, buchen Sie eine Demo bei uns. Wir würden uns freuen, Ihnen alles zu zeigen.

Referenzen :

  1. https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO_EDWG-Spring-2023_Paper-4_-Authentication-for-Moderate-Assurance-Use-Cases_FINALv3.docx-1FINAL.pdf 
  2. https://media.fidoalliance.org/wp-content/uploads/2019/02/FIDO_Account_Recovery_Best_Practices-1.pdf 
  3. https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-2_Replacing-Password-Only-Authentication_FINALv3.docx.pdf 
  4. https://media.fidoalliance.org/wp-content/uploads/2023/06/June-26-FIDO-EDWG-Spring-2023_Paper-1_Introduction-FINAL.docx.pdf 

Sicherheit der Authentifizierung
Dennis Okpara

Chef-Sicherheitsarchitekt | Digital Identity SME | ISO 27001 | SOC2 | Cyber Mentor | Exponential Thinker

https://www.getidee.com/blog/fido2-deployment-in-the-enterprise
Beitrag teilen
linkedin-Symbol weiß

Verwandte Beiträge

Wenn Ihnen unsere Inhalte hier gefallen, werden Sie auch die Dinge lieben, die wir auf LinkedIn teilen.

Wenn Ihnen unsere Inhalte gefallen
folgen Sie uns auf LinkedIn

Folgen Sie uns
linkedin-Symbol weiß