FIOD2-Passschlüssel für MFA

FIDO2-Einsatz im Unternehmen

Verfasst von
Denis Okpara

August 15, 2024

Erfahren Sie mehr über das Produkt, die Preise und Funktionen von AuthN by IDEE.

Beantragen Sie eine kostenlose Demo heute!

Inhaltsverzeichniss

Was ist der FIDO2-Standard und warum sollte sich Enterprise Care darum kümmern?

FIDO Authentication, entwickelt von der FIDO Alliance, ist ein Authentifizierungsstandard, der auf Kryptografie mit öffentlichen Schlüsseln basiert und darauf abzielt, die Abhängigkeit der Welt von Passwörtern zu verringern, um das Internet besser abzusichern.


FIDO2 ist ein Standard, den viele Anbieter und Organisationen einhalten möchten, um bei der Authentifizierung das höchstmögliche Sicherheitsniveau zu erreichen.

In diesem Beitrag werden wir uns mit den Ratschlägen der FIDO Alliance befassen, die entwickelt wurde, um den Einsatz des FIDO2-Standards im Unternehmen zu unterstützen. Die Beratung konzentriert sich auf zwei Untergruppen des Standards: WebAuthn (Passkeys) und die FIDO2-Sicherheitsschlüssel. Wir werden die Empfehlungen und deren Umsetzung sowie die damit verbundenen Herausforderungen erörtern.

Was ist ein Passkey?

Zuerst. Was ist ein Hauptschlüssel? Ein Hauptschlüssel (oder WebAuthn) ist eine Untergruppe des FIDO2-Standards, der auf dem eingebauten Hardware-Kryptografiechip eines Geräts basiert, ohne dass ein externes Gerät erforderlich ist. Es wurde als Methode zur Authentifizierung ohne Passwörter eingeführt und wird von Plattformanbietern wie Google, Microsoft und Apple unterstützt.

Es funktioniert, indem zwei Schlüssel erstellt werden: ein öffentlicher und ein privater. Der private Schlüssel bleibt für ein Gerät gesperrt und der öffentliche Schlüssel wird auf dem Server des Identitäts- oder Plattformanbieters gespeichert. Wenn ein Benutzer versucht, sich anzumelden und auf sein Konto zuzugreifen, wird der private Schlüssel verwendet, um die Anmeldeanforderung digital zu signieren. Der öffentliche Schlüssel wird verwendet, um die digital signierte Anmeldeanfrage zu verifizieren und den Zugriff zu gewähren. Das bedeutet, dass die öffentlichen Schlüssel ohne den gerätespezifischen privaten Schlüssel nutzlos sind. Wenn der Benutzer sein Gerät entsperrt, um sich anzumelden, zeigt dies, dass der Benutzer die Kontrolle über das Gerät hat. Die digitale Signatur, die mit dem privaten Schlüssel signiert ist, der nur auf diesem Gerät vorhanden ist, zeigt, dass der Benutzer den privaten Schlüssel und das Gerät besitzt. Das Entsperren des Geräts mit biometrischen Daten oder einer PIN ist der erste Faktor, der Besitz und die Kontrolle über den privaten Schlüssel/das Gerät sind der zweite Faktor. Auf diese Weise wird MFA (Multi Factor Authentication) erreicht. Klingt soweit gut.

FIDO2-Strategie: Eine Zusammenfassung

Es gibt viele technische Details. Wir haben die schwere Arbeit durchgemacht und gedacht, wir geben einen Überblick über die wichtigsten Punkte in einer leicht verdaulichen Liste.

Strategie für den Einsatz

Hier finden Sie eine Zusammenfassung, wie der Einsatz gemäß den Empfehlungen von FIDO erfolgen sollte.

1. Unternehmen sollten Passkey via Identity Provider (IdP) unterstützen, damit es in allen Unternehmensanwendungen verbreitet wird.

2. Wenn ein Single-Sign-On (SSO) verwendet wird, um mehrere Anwendungen und Dienste zu verbinden, kann das Hinzufügen von Hauptschlüsselunterstützung für den Identity Provider (IdP) die Unterstützung von Passkeys auf zahlreiche Verbundanwendungen übertragen. Dadurch entsteht ein umfangreiches Ökosystem von Diensten, die Passkeys unterstützen, wobei der Schwerpunkt der technischen Entwicklung auf dem SSO-IdP liegt.

3. Unternehmen sollten überlegen, ob Benutzer, die zwischen mehreren gemeinsam genutzten Geräten wechseln, die Hauptschlüssel aller gemeinsam genutzten Geräte synchronisieren, Hardwareschlüssel verwenden oder den Hybrid-Flow verwenden sollten, um ihren Arbeitsstil bestmöglich zu unterstützen.

  • Wenn Benutzer auf gemeinsam genutzten Geräten mit einem einzigen Konto (oder Profil) arbeiten, sind auf der Plattform registrierte Hauptschlüssel oder Anmeldeinformationsmanager nicht geeignet. Für dieses Szenario werden gerätegebundene Hauptschlüssel (Hardware-Sicherheitsschlüssel) empfohlen.
  • Wenn der Benutzer ein Mobilgerät bei sich trägt, sollten Sie erwägen, einen Hauptschlüssel auf dem Gerät zu registrieren und den geräteübergreifenden Authentifizierungsablauf zur Authentifizierung von Benutzern zu verwenden.

4. Unternehmen mit moderater Sicherheit können all ihre Benutzer unterstützen, indem sie synchronisierte Hauptschlüssel für ihre Standardbenutzer implementieren, um Passwörter zu ersetzen, und dann Hardware-Sicherheitsschlüssel für Benutzer mit hohen Rechten und deren Zugriff auf Ressourcen verwenden, für die ein Höchstmaß an Sicherheit erforderlich ist.

  • Die Implementierung beider Hauptschlüsseltypen in derselben Authentifizierungsdomäne stellt jedoch eine zusätzliche Herausforderung dar, sodass Unternehmen zusätzliche Maßnahmen ergreifen müssen, um sicherzustellen, dass beim Zugriff auf Ressourcen der richtige Hauptschlüsseltyp verwendet wird. So muss beispielsweise sichergestellt werden, dass ein Benutzer mit hohen Rechten beim Zugriff auf eine Ressource, für die ein hohes Maß an Sicherheit erforderlich ist, einen Hardware-Sicherheitsschlüssel und keinen synchronisierten Hauptschlüssel verwendet.
  • In föderierten Authentifizierungsumgebungen kann dies mithilfe von Standards wie OpenID Connect kommuniziert werden.

5. Synchronisierte Hauptschlüssel wären keine gute Lösung für Organisationen, die ein höheres Maß an Sicherheit benötigen, und sie sollten nach Hardware-Sicherheitsschlüsseln suchen, um diese Anwendungsfälle zu unterstützen.

6. Organisationen können die Registrierung nur einer bestimmten Gruppe von Authentifikatoren zulassen.

Strategie für das Wiederherstellungsmanagement:

1. Die FIDO Alliance empfiehlt die folgende zweistufige Strategie für die Verwaltung der Kontowiederherstellung:

  • Mehrere Authentifikatoren pro Konto (Reduzierung der Anforderungen an die Kontowiederherstellung)
  • Führen Sie die Identitätsprüfungs- und Benutzer-Onboarding-Mechanismen erneut aus (tatsächliche Ausführung der Kontowiederherstellung)

2. Wenn Unternehmen Hardware-Sicherheitsschlüssel verwenden, sollten sie zwei pro Benutzer angeben, um eine Sicherungskopie der Anmeldeinformationen zu ermöglichen. Wenn ein Benutzer seinen Hardwareschlüssel verliert, muss er eine Sicherungskopie aller auf dem Gerät gespeicherten Anmeldeinformationen erstellen oder eine Kontowiederherstellung durchführen.

3. Solange ein Passwort für das Benutzerkonto aktiv ist, kann sich der Benutzer nach dem oben beschriebenen Self-Provisioning nach dem Verlust seiner Anmeldeinformationen erholen. Dieser Schritt ist nur erforderlich, wenn der Benutzer seine Anmeldeinformationen von seinem Hauptschlüsselanbieter nicht wiederherstellen kann.

Die Herausforderungen des FIOD2-Ansatzes

Alle Maßnahmen, die unternommen werden, um Unternehmen sicherer zu machen, weniger abhängig von Passwörtern zu sein (die, seien wir ehrlich, veraltet sind), oder Industriestandards einzuführen, sind sicherlich ein Schritt in die richtige Richtung. Der FIDO2-Ansatz birgt jedoch Herausforderungen und immer noch Schwachstellen. Hier ist unsere Meinung.

Synchronisierte Hauptschlüssel erstellen eine Abhängigkeit

Synchronisierte Hauptschlüssel stellen eine Abhängigkeit vom Hauptschlüsselplattformanbieter und seiner Synchronisationsstruktur her. Jeder Anbieter implementiert seine eigene Synchronisationsstruktur, die eigene Sicherheitskontrollen und -mechanismen zum Schutz der Anmeldeinformationen vor Missbrauch umfasst.

Passwörter können mit anderen Benutzern geteilt werden

Passwörter können mit anderen Benutzern geteilt werden, wenn sie nicht hardwarebunden sind. Das bedeutet, dass jeder auf einem beliebigen Gerät den Hauptschlüssel verwenden kann, um sich in das Konto einzuloggen. Dies könnte zur Kontoübernahme führen, was eines der Ergebnisse ist, vor denen dieser Standard zu schützen versucht.

Unternehmen können Geräte und/oder Anmeldeinformationen nicht im Auge behalten

Derzeit gibt es keine Standards oder Systeme, die es Unternehmen ermöglichen, den Überblick darüber zu behalten, auf welchen Geräten diese Anmeldeinformationen erstellt oder gespeichert wurden. Es gibt auch keine Mechanismen, anhand derer festgestellt werden kann, wann die Anmeldeinformationen mit einer anderen Person geteilt wurden.

Die Folge ist, dass Unternehmen für die Sicherheit ihrer Vermögenswerte auf Plattformen wie Google und Apple angewiesen sind. Dies stellt eine große Bedrohung für die allgemeine Sicherheit des Unternehmens dar, da die Mitarbeiter die Passkeys mit persönlichen Geräten synchronisieren und sie möglicherweise sogar an Hacker verkaufen können, wie Lapsus$ als Gegenleistung für einen Teil des Lösegelds. Darüber hinaus haben Regierungen die Befugnis, die Plattformen aufzufordern, alle Passwörter auszuhändigen, mit denen sie dann auf die Konten von Personen zugreifen könnten.

Fallback zum Passwort

Mehrere Authentifikatoren pro Konto kosten Geld und können es sich die meisten Unternehmen daher nicht leisten. Außerdem gibt es keine Garantie dafür, dass nicht zwei Authentifikatoren gleichzeitig gestohlen werden oder verloren gehen.

Aus diesem Grund verlassen sich die meisten Unternehmen auf Passwörter als Fallback-Methode. Das bedeutet, dass FIDO2 genauso sicher ist wie die Fallback-Wiederherstellungsmethode (in diesem Fall das Passwort). Dies öffnet die Tür für Phishing mit Anmeldeinformationen und passwortbasierte Angriffe.

Unternehmensbescheinigung

Synchronisierte Hauptschlüssel implementieren keine Bescheinigung, was bedeutet, dass sie keine geeignete Lösung für Szenarien mit stark privilegierten Benutzern sind, die ein höheres Maß an Sicherheit erfordern, oder für Organisationen, die Enterprise Attestation implementieren möchten.

Abschließend

Abschließend begrüßen wir die Bemühungen, alles sicherer zu machen, voll und ganz. Wir sind uns einig, dass Passwörter überflüssig sind und die Industrie neue Wege finden muss, um Benutzer privat und sicher zu authentifizieren. Standards wie FIDO2 sind bei diesem Unterfangen äußerst hilfreich und tragen dazu bei, Kontinuität und Sicherheit für verschiedene Lösungen zu gewährleisten.

Es ist jedoch wichtig, dass es niemals als angekreuztes Kästchen angesehen wird und dass eine hundertprozentige Ausfallsicherheit gewährleistet ist. FIDO2 ist ein Authentifizierungsstandard. Er deckt nicht den gesamten Identitätszyklus ab, der die Registrierung, das Hinzufügen eines Geräts, die Wiederherstellung und die Hardwarespeicherung von FIDO2-Schlüsseln umfassen muss. Wenn FIDO2 falsch implementiert ist, kann es nicht vor allen Phishing- und AiTM-Angriffen mit Anmeldeinformationen schützen.

Phishing-resistent ist nicht dasselbe wie Phishing-sicher.
Wenn Organisationen garantieren wollen Phishing-sichere Authentifizierung, sie sollten nach Lösungen wie AuthN von IDEE suchen.

Um mehr zu erfahren, eine Demo buchen bei uns. Wir würden Ihnen gerne alles zeigen.

Referenzen:

  1. https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO_EDWG-Spring-2023_Paper-4_-Authentication-for-Moderate-Assurance-Use-Cases_FINALv3.docx-1FINAL.pdf 
  2. https://media.fidoalliance.org/wp-content/uploads/2019/02/FIDO_Account_Recovery_Best_Practices-1.pdf 
  3. https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-2_Replacing-Password-Only-Authentication_FINALv3.docx.pdf 
  4. https://media.fidoalliance.org/wp-content/uploads/2023/06/June-26-FIDO-EDWG-Spring-2023_Paper-1_Introduction-FINAL.docx.pdf 

Verwandte Beiträge

Wenn Ihnen unsere Inhalte hier gefallen, werden Sie die Inhalte lieben, die wir auf LinkedIn teilen.

Wenn dir unsere Inhalte gefallen
folgen Sie uns auf LinkedIn

Folge uns
linkedin icon white