Die vorliegende Fallstudie beschäftigt sich mit dem Erstellen eines Konzepts, wie FIDO2 als Authentifizierungsmethode auf der TravelFun-App implementiert werden könnte. Dazu werden die Anforderungen und Rahmenbedingungen an die Web-Applikation ermittelt und Vorschläge zur Konfiguration sowie Implementierung von FIDO2 gegeben. Zusätzlich wird erörtert, wie die Einhaltung der FIDO2 Vorgaben nach Abschluss verifiziert werden können.
Der Hauptteil gliedert sich in drei Teile. Im ersten Teil werden der Fall und die Anforderungen zur Lösung vorgestellt. Danach wird erklärt, was FIDO2 ist und welche Hauptkomponenten wichtig sind. Im darauffolgenden dritten Kapitel wird auf die verschiedenen Rollen und deren Zusammenspiel eingegangen. Konkrete Abläufe und Vorschläge zu Umsetzung werden im vierten Kapitel angesprochen. Es werden Vorschläge zur Konfiguration gegeben und Methoden gezeigt, wie man die Einhaltung der FIDO2 Vorgaben am Ende überprüfen kann. Die Arbeit endet mit einer Zusammenfassung und einer abschließenden Bewertung.
Inhaltsverzeichnis
1 Einleitung
1.1 Hintergrund
1.2 Zielsetzung
1.3 Aufbau der Fallstudie
2 FIDO2 als Methode für die Nutzerauthentifizierung
2.1 TravelFun GmbH
2.2 Was ist FIDO2?
2.3 Web Authentication API (WebAuthn)
2.4 Client to Authenticator Protocol (CTAP2)
2.5 Passkeys
3 Rollen
3.1 Authentifikator
3.2 FIDO2 Metadata Service
3.3 Relying Party Server (TravelFun Server)
3.4 Web-Client
4 Vorschlag zur Umsetzung
4.1 Registrierung
4.2 Authentifizierung
4.3 TravelFun Server
4.3.1 Cloud Lösung
4.3.2 Selbst-Hosting
4.3.3 Empfehlung
4.4 TravelFun Client
4.4.1 Empfehlung
4.5 Verifizierung der FIDO2 Einhaltung
4.5.1 Fido-Zertifizierungen
4.5.2 Testing
5 Schluss
5.1 Zusammenfassung
5.2 Bewertung
Zielsetzung & Themen
Ziel dieser Fallstudie ist die Entwicklung eines Konzepts zur Implementierung von FIDO2 als moderne Authentifizierungsmethode für die TravelFun-App, um die Sicherheit der Nutzerdaten zu erhöhen und ein komfortableres Login-Verfahren zu ermöglichen.
- Analyse der infrastrukturellen Anforderungen für FIDO2.
- Konzeption der technischen Umsetzung für Client und Server.
- Vergleich von Cloud-basierten und selbstgehosteten Implementierungsansätzen.
- Strategien zur Verifizierung der FIDO2-Konformität und Qualitätssicherung.
- Empfehlungen für die Migration der bestehenden Benutzerkonten.
Auszug aus dem Buch
2.2 Was ist FIDO2?
FIDO2 ist ein moderner Authentifizierungsstandard, der auf dem Public-Key-Verfahren basiert und dadurch eine stärkere und sicherere Form der Authentifizierung als herkömmliche Passwörter bietet. Er kombiniert die WebAuthn-Spezifikation des W3C und das Client to Authenticator Protocol (CTAP2) der FIDO-Allianz. Dieser Standard unterstützt biometrische Verfahren und Hardware-Sicherheitsschlüssel, um eine robuste Zwei-Faktor-Authentifizierung zu ermöglichen, wobei der Public-Key-Mechanismus die Integrität und Sicherheit der Benutzeridentifikation erheblich verbessert. Auf die Begriffe Authentifikator, Relying Party und Client wird im Kapitel 3 genauer eingegangen.
Zusammenfassung der Kapitel
1 Einleitung: Beschreibt die Motivation des Unternehmens TravelFun, die Sicherheitsinfrastruktur durch FIDO2 zu modernisieren, und definiert Zielsetzung und Aufbau der Arbeit.
2 FIDO2 als Methode für die Nutzerauthentifizierung: Grundlegende Erläuterung der FIDO2-Technologie, ihrer Hauptkomponenten (WebAuthn, CTAP2) und des Konzepts der Passkeys im Kontext der TravelFun GmbH.
3 Rollen: Detaillierte Betrachtung der Akteure einer FIDO2-Umgebung, bestehend aus Authentifikator, Metadata Service, Relying Party Server und Web-Client.
4 Vorschlag zur Umsetzung: Erarbeitet konkrete Implementierungsansätze für die Registrierung und Authentifizierung, einschließlich technischer Empfehlungen für Server-Bibliotheken und Client-Integration.
5 Schluss: Fasst die Ergebnisse der Fallstudie zusammen und bewertet die geplante Umsetzung sowie die strategische Einführung der FIDO2-Authentifizierung in zwei Phasen.
Schlüsselwörter
FIDO2, WebAuthn, CTAP2, Passkeys, Authentifizierung, TravelFun, Sicherheit, Public-Key-Verfahren, Zwei-Faktor-Authentifizierung, Registrierung, Cyber-Security, API, Client-Server-Architektur, Benutzeridentifikation.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der Konzeption einer passwortlosen Authentifizierung mittels FIDO2 für die mobile Anwendung des Unternehmens TravelFun.
Welche zentralen Themenfelder werden behandelt?
Die zentralen Themen sind der FIDO2-Standard, die technische Architektur der WebAuthn-API, das Zusammenspiel von Client und Server unter Berücksichtigung von Hardwaresicherheit und Best Practices.
Was ist das primäre Ziel des Konzepts?
Ziel ist es, das Sicherheitsniveau durch eine physisch oder biometrisch gestützte Zwei-Faktor-Authentifizierung zu heben und die Nutzerfreundlichkeit der App zu verbessern.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer Fallstudie, die technische Anforderungen analysiert, verschiedene Implementierungsansätze vergleicht und darauf basierend eine fundierte Technologie-Empfehlung abgibt.
Was umfasst der technische Hauptteil?
Der Hauptteil gliedert sich in die Rollenverteilung in FIDO2-Systemen, Anforderungen an die serverseitige REST-API sowie die notwendige Anpassung des Client-Frontends für die WebAuthn-Integration.
Welche Schlüsselbegriffe definieren die Arbeit?
Die Begriffe FIDO2, WebAuthn, Passkeys, Authentifikator und die Implementierung über Python-Libraries bzw. JavaScript-Schnittstellen sind zentral.
Warum wird für das TravelFun-Backend eine selbstgehostete Lösung empfohlen?
Die Wahl fiel auf die Open-Source-Library py_webauthn, da sie Unabhängigkeit von Cloud-Anbietern bietet, lizenzrechtlich sicher nutzbar ist und sich nahtlos in die bestehende Python-Infrastruktur integrieren lässt.
Wie sollte die Einführung laut Bewertung erfolgen?
Es wird eine schrittweise Einführung in zwei Phasen empfohlen, um Benutzer nicht durch einen sofortigen Entzug klassischer Login-Möglichkeiten bei Verlust des Authentifikators auszuschließen.
- Citation du texte
- Heribert Tellerfink (Auteur), 2024, Implementierung von FIDO2 als Authentifizierungsmethode in der TravelFun-App. Eine Fallstudie zur Konzepterstellung und Umsetzung, Munich, GRIN Verlag, https://www.grin.com/document/1459182
