FIDO2, WebAuthn und CTAP. Wie gelingt Authentisieren ohne Passwörter?


Hausarbeit, 2019

35 Seiten, Note: 1,3


Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Theorieteil: Problemstellung und Ausgangslage
1.1 Authentisieren durch Passworter
1.2 Aktualisierung der Passwortregeln
1.3 Passwort-Speicher
1.4 Zwei-Faktor-Authentifizierung

2 Theorieteil: FIDO
2.1 Idee und Historie FIDO
2.2 Clientseitige Voraussetzung zur Nutzung FID
2.3 Serverseitige Voraussetzungen
2.4 Funktionsweise FID
2.4.1 Schlusselgenerierung
2.4.2 Public-Key-Verfahren
2.4.3 Skizzierung der Registrierung und Anmeldung
2.5 WebAuthn
2.5.1 Aufgaben der API im Detail
2.5.1.2 Ablauf eines Logins mit Authenticator
2.6 CTAP
2.6.3 TransportspezifischeKommunikation,
2.7 Bindung des Authenticators und Ersatz-Login-Moglichkeiten

3 Praxisteil: Passwortloser Login
3.2 Demoplattfbrmen
3.3 Mobilgerat

Anhänge

Anhang 2: FID02-Registrierungsanfrageund-antwort

Anhang 3: FID02-Authentifizierungsanfrage und -antwort

Abbildungsverzeichnis

Abbildung 1: modulares FIDO-Logo

Abbildung 2: Passwortloses Anmelden mit FID

Abbildung 3: Webauthn: API-Kommunikation bei Registrierung eines Nutzers

Abbildung 4: Webauthn: API-Kommunikation bei Authentifizierung

Abbildung 5: Abgrenzung CTAP und WebAuthn

Abbildung 6: Yubikey Security Key Series, Fa. Yubico

Abbildung 7: Registrierung

Abbildung 8: Schlusseloption

Abbildung 9: UV erfolgreich

Abbildung 10: Login erfolgreich WebAuthn.io

Abbildung 11: Registrierungsdialog WebAuthn.io

Abbildung 12: Bestiitigung Attestation

Abbildung 13: Hinweis auf UP-Bestatigung

Abbildung 14: erfolgreiche Registrierung webauthn.io

Abbildung 15: Abfrage UP

Abbildung 16: erfolgreicher Login webauthn.io

Abbildung 17 Gespeicherte Credentials webauthn.io (wiederholte Registrierung)

Abbildung 18: Ablaufplan Registrierung/Authentifizierung

Tabellenverzeichnis

Tabelle 1: Faktoren zur Authentifizierung bei 2FA

Tabelle 2: Dbersicht Abkiirzungen/Projektelemente FIDO-Allianz

Tabelle 3: Matrix der U2F/Webauthn Unterstiitzung aktueller Browser

Tabelle 4: Nutzer-Prasenz und -Verifikation

Tabelle 5: CTAP-API-Methoden

Tabelle 6: Testgerate und Softwareversionen

Abkürzungsverzeichnis

NIST National Institute of Standards and Technology (USA)

2FA Zwei-Faktor-Authentifizierung

OTP One-Time-Password (Generator), dt: Einmalpasswort

TPM Trusted-Platform-Module

FIDO Fast IDentity Online (Allianz)

FID02 Erweiterung der Funktionalitaten von Fast IDentity Online

U2F Universal-two-Facor, dt.: universeller zweiter Faktor

UAF Universal Authentification Framework

W3C World-Wide-Web-Consortium

USB Universal Serial Bus

BLE Bluetooth Low Energy

NFC Near Field Communication

WebAuthn Web-Authentification, API

API Application Programming Interface, dt.: Programmierschnittstelle

CTAP Client to Authenticator Protocol

SHA Secure Hash Algorithm

CBOR Concise Binary Object Representation

RP Relying Party

RPS Relying Party Server

UID Unique Identifier

1 Theorieteil: Problemstellung und Ausgangslage

Seit der Erfindung des Computers sind mehr und mehr Lebens- und Geschaftsbereiche mit der Datenverarbeitung eng verwoben, wenn nicht gar ganzlich durch Bits und Bytes „realisiert". Die Datenbestande und -systeme umfassen sensible Bereiche der Wirtschaft und auch des taglichen Lebens, nicht zuletzt das Projekt der elektronischen Gesund-heitsakte (eGA) und die Kritik1 daran zeigt die Gefahren der Digitalisierung hochstper-sonlicher Vorgange auf.

Unabhangig von der Sensibilitat der Daten ergeben sich allgemein in der Informations-sicherheit Kategorien von Schutzzielen. Im vorliegenden Modell sind es die Authentizi-tat eines Objekts oder Subjekts, Datenintegritat, Informationsvertraulichkeit, Verfiig-barkeit sowie Verbindlichkeit2. Ein wesentlicher und gemeinsamer Aspekt zur Einhal-tung all dieser Schutzziele ist, dass nur autorisierte Objekte oder Subjekte (u.a. andere Rechnersysteme und/oder Personen) gemaB den definierten Berechtigungen auf die Da-ten allgemein zugreifen konnen und diirfen.

1.1 Authentisieren durch Passw ö rter

Bis heute ist eines der am meisten verbreiteten Verfahren zur Authentifizierung die Verwendung der Zugangsdaten (engl. credentials “ ) in Form eines Benutzernamens und Kennworts. Wahrend es sich beim Benutzernamen urn ein Geheimnis handelt, welches oftmals leicht zu ermitteln ist (bspw. E-Mail-Adresse, Name, allgemeines Identifikati-onsmerkmal wie Personal- oder Mitgliedsnummer, Spitzname), steht und fallt die Si-cherheitsarchitektur mit dem Geheimnisniveau des Kennworts. Nur wenn das Geheim­nis keinem Dritten zuganglich ist und dies auch nicht mit vergleichsweise geringem Aufwand zu erraten ist, sind die oben skizzierten Schutzziele uberhaupt erreichbar.

Genau das eigentlich geheime Kennwort stellt aktuell eines der Hauptprobleme in der Informationssicherheit dar. Es gibt heute mehr Passworter als friiher zu verwalten, da die Internetnutzung eine hohere Durchdringung erreicht hat. Mehr als 600 Milliarden Webpages verlangen sog. Logins3. Trotz Aufklarungskampagnen und Presseberichten finden sich weiterhin simpelste Passworter in den „Top 10" der Passwort-Leaks. So sind einfachste Zahlenfolgen wie ,,123" und ,,12345" national und international weiterhin mehrfach in diesen Negativ-Rankings vertreten4. Problematisch, well schnell erfolg-reich, sind hier vor allem die Angriffsmethoden des einfachen Ausprobierens (engl. brute-force-attacks)hiw. die Verwendung von W ö rterb ü chern (engl. dictionary-at­tacks) aus Standardsprachen und aus fruheren Sicherheitsvorfallen bekannt geworde-nen Passwortlisten (engl. password-breach-lists5 ).

1.2 Aktualisierung der Passwortregeln

Althergebrachte Passwortregeln stellten sich aber als kontraproduktiv heraus. So revi-dierte Bill Burr, einer der Mitautoren der Regeln fur Passworter der National Institute of Standards and Technology (NIST) in den USA [in der Version aus 2003], die ur-sprungliche Ansicht, dass eine hohere Komplexitat (Verwendung min. dreier von vier Zeichenkategorien aus GroB-, Kleinbuchstaben, Zahlen und Sonderzeichen bzw. Obfuskation durch ,,1337-speech-Syntax"6 ) und eine kurze Passwort-Lebensdauer die Sicherheit erhohe7. Doch aufgrund dieser „unbequemen" Hiirden wurde die Sicherheit durch eine Umgehung durch die Nutzer konterkariert, da diese trotz der Regeln die Kennworter simplifizierten, diese fur alle Logins unverandert ubernehmen und auch in notierter Form am Arbeitsplatz hinterlegten.

Die aktuelle Version dieses Regelwerks der NIST zur Digitalen Authentisierung8, die auch die Passwortempfehlungen ausweist (engl. Requirements by Authenticator Type: Memorized Secret Verifiers), setzt nun u.a. auf Akzeptanz von min. 64 Zeichen langen Passphrasen durch den Anbieter. Zudem sollen die groGten „Passwort-Sunden" durch eine entsprechende Validierung verhindert werden (Abgleich mit den o.g. Passwortlis­ten, Abgleich mit Worterbuchern, keine sich wiederholende Zeichen oder Folgen wie „aaaaa", „1234aaaa" usw., sowie Ausschluss von Ableitungen der Nutzernamen, des An-bieternamens und ahnlicher Kontextbegriffe).

1.3 Passwort-Speicher

Einige der Ursachen fur die Auswahl „unsicherer" Passworter lassen sich mithilfe dedi-zierter Software eliminieren. Verschlusselte Passwort-Safes bieten die Moglichkeit, komplexe, langere und unikale Passworter online9 oder offline10 zu erstellen, zu verwal-ten und ggf. automatisch bei Login-Vorgangen in das jeweilige Formular bequem ein-zutragen. Geschiitzt sind diese Passwort-Speicher normalerweise durch ein sog. Master-Passwort, d.h. der Nutzer muss sich lediglich ein einziges Passwort merken. Diese Funk-tionalitaten wurden auch von einigen Browserherstellern in ihre Produkte implemen-tiert. Risiken liegen hier in der Informationssicherheit des jeweiligen zentralen Spei-chers bei Cloud-Losungen sowie in der eigenen Sicherheitsarchitektur bei selbst gehos-teten und gesicherten offline Passwort-Speichern.

1.4 Zwei-Faktor-Authentifizierung

Aufgrund der in 1.1 beschriebenen Unsicherheit sind Passorter allein, gerade in sensib-len Bereichen wie Online-Banking, E-Mail-Diensten und Onlinespeichern, nicht mehr ausreichend. Zunehmend in den letzten Jahren bieten immer mehr Anbieter optional die sog. Zwei-Faktor-Authentifizierung11 an (engl. „ 2-factor-authentificaion “ , kurz: „ 2FA “ ). Im besonders betrugsanfalligen Online-Zahlungsverkehr ist mit dem Zahlungs-diensteumsetzungsgesetz (nationale Umsetzung der europaischen „Payment Services Directive 2", kurz „PSD2") eine „starke Kundenauthentifizierung" in Form eines zweiten Faktors bei der Authentifizierung sogar verpflichtend12.

Der Name leitet sich daraus ab, dass zwei Stufen der Authentifizierung aus den drei folgenden Bereichen erfolgreich absolviert werden miissen:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Faktoren zur Authentifizierung bei 2FA

2 Theorieteil: FIDO2

2.1 Idee und Historie FIDO

Schon vor etwa 15 Jahren wurde vom Grander der Fa.13 14 Microsoft erklart, dass die Au-thentifizierung mittels Passwortes tot sei15. Sowohl kleine Anbieter16 als auch groBe „Player" wie Google (OAuth 2.0) und Facebook bieten sog. „Single-Sign-On-Services"17 an, die Passworteingaben zumindest auf das Mindeste reduzieren. Nach einer einmali-gen Authentifizierung beim jeweiligen Anbieter ist die Nutzung unzahliger weiterer unterstutzter Webservices ohne erneutes Einloggen moglich. Neben erheblicher Daten-schutzbedenken18 ist die Verknupfung der gesamten digitalen Identitat mit diesen hoch-kommerziellen Konzernen als „Zentrale Identity-Provider" ein Hauptkritikpunkt.

Die bisher geschilderten Sicherheitsprobleme mit Passwortern und Identitatsdiebstahl durch Servereinbruche und Missbrauch erbeuteter Zugangsdaten konnen durch eine Abschaffung dieser Authentifizierungsmethoden nach der Idee der „FIDO-Allianz" (Fast ©entity Online) der Vergangenheit angehoren. Die nicht kommerzielle Allianz wurde 201219 gegrundet und hat heute iiber 150 Internationale Konzerne und Institutionen als Mitglieder.

Die Idee hinter der neuen Authentifizierungsmethode soil zu einfacheren und sicheren Logins fiihren und Passworter kunftig obsolet machen. Technisch basiert diese Idee auf einer Kombination asynchroner Kryptographie (PKI-Verfahren20 ) und hardwarebasier-ter Sicherheitsmodule, wobei das notwendige Geheimnis (private Schlussel) zur Au­thentifizierung bauartbedingt nicht ausgelesen werden kann und das jeweilige Nutzer-gerat nicht mehr verlasst. Es gibt also keine „Shared-Secrets", die beide Kommunikati-onspartner hiiten mussten. AuBerdem sind mehrere Identitaten moglich, da grundsatz-lich eine anonyme Authentifizierung moglich ist.

Alle notwendigen Spezifikationen sind quelloffen und lizenzfrei, stehen somit einer weltweiten Nutzerbasis zur Verfugung.

Zunachst wurden Standards fur eine universelle Zwei-Faktor-Authentifizierung („FIDO-U2F") und ein universelles Framework fur Authentifizierung („FIDO-UAF") fest-gelegt. Diese wurden unter der Bezeichnung „FIDO vl.O" im Dezember 2014 veroffent-licht.

Der nachste evolutionare Schritt tragt den Projekt-Namen „FID02" (Joint-Project der „FIDO-Allianz" und des „W3C" (World-Wide-Web-Consortium) und erlaubt eine Au­thentifizierung ohne Passwort. Schon friih erhielt dieser Standard namhafte Unterstut-zung. So kundigte Microsoft bereits Anfang 2015, dass „FID02" vollstandig von Windows 10 unterstutzt werden soil21. Der noch junge Web-Standard erblickte das Licht der Welt durch die Publizierung durch das W3C im Marz 201922, in der vornehmlich die Details zur Internet-Komponente „WebAuthn-API" konkretisiert wurden (vgl. Tz. 2.5). Zum „FID02"-Projekt gehort auch der Standard „Client to Authenticator Protocol 2" („CTAP2", vgl. Tz. 2.6), der im Wesentlichen die Datenverbindung auf der Nutzerseite definiert, wo verschiedene Ubertragungswege zwischen Client und Hardware-Token moglich sind.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Ü bersicht Abk ü rzungen/Projektelemente FIDO-Allianz

2.2 Clientseitige Voraussetzung zur Nutzung FIDO2

Zu einem moglichen Durchbruch zum Erfolg konnte auch beitragen, dass auf der Nut­zerseite neben Windows 10 selbst auch fast alle gangigen Browser und auf der mobilen Seite die neueren Android-Gerate nativ die APIs unterstutzen. Lediglich Apple zogerte noch, da der hauseigene Service „Sign in with Apple23 " verbreitet werden sollte. Aber auch hier ist absehbar, dass die Zuriickhaltung Apples nicht auf Dauer Bestand haben wird. Ab 10S13 werden etwa mobile Gerate des Herstellers NFC-Token unterstiitzen24.

Abbildung in dieser Leseprobe nicht enthalten25

Tabelle 3: Matrix der U2F/Webauthn Unterst ü tzung aktueller Browser26

Neben den in der Tabelle genannten, gangigen Browsern sind auch weitere Hersteller bereits im Planungsprozess, urn den Standard zu implementieren.

Aber auch auf vielen weiteren Plattformen ist die Authentifizierung oder zumindest U2F moglich, da es auf dem Markt zahlreiche relativ kostengunstige Token gibt, die mittels ..Universal Serial Bus" (USB), „Bluetooth Low Energy" (BLE) oder „Near Field Commu­nication" (NFC) mit dem Endgerat kommunizieren (externer Authentifikatior). Im Han­del befindliche kompatible Token sind anhand des registrierten Logos der FIDO-Allianz erkennbar:

Anmerkung der Redaktion: Abbildung 1 wurde aus urheberrechtlichen Gr ünden entfernt.

Abbildung 1: modulares FIDO-Logo27

Sofern die Client-Workstation ein TPM auf dem Mainboard hat, ist FID02 unter Windows 10 auch ohne weitere Hardware, also auch ohne Token, moglich (interner Authentifikator). Die meisten aktuellen Gerate haben standardmaBig TPM verbaut.

Bei den mobilen Geraten dominiert Android den Markt. Hier sind bei aktuellen Geraten auch TPM vorhanden, die dort „Secure Element" heiGen.

2.3 Serverseitige Voraussetzungen

Ein erfolgsversprechender Faktor bei FID02 ist die relativ einfache Implementation in bereits bestehende Dienste. Grundsatzlich sind alle Dienste, die mit Logins ausgestattet sind, fur FID02 geeignet. Ein Setup mit einem einfachen AMP-Server (Apache, MySQL, PHP) reicht daher bereits aus.

Zur einfachen Umsetzung existieren bereits unzahlige Frameworks und Pakete, die je nach Vorliebe des Systembetreuers eingesetzt werden konnen.

Die Demoseite „webauthn.io" bietet einige direkte Verlinkungen auf Open-Scource-Bib-liotheken der Sprachen/Frameworks Go, Java, JavaScript, .NET, Python und Ruby an.

2.4 Funktionsweise FIDO2

2.4.1 Schlüsselgenerierung

Dreh- und Angelpunkt der digitalen Identitat ist das Geheimnis, welches mit dem Au-thenticator verbunden ist. Dieser kann entweder in Form eines separaten Hardware-Tokens sein, aber auch als sog. Plattform Authenticator von den Betriebssystemen wie Android (Hardwaremodul/Secure-Element) und Windows 10 (TPM) bereitgestellt wer­den. Aus diesem Geheimnis und der Domain des jeweiligen Dienstes wird ein geheimer Schlussel generiert und der offentliche Schlussel abgeleitet28. Dieses Schlusselpaar ist das Ergebnis einer Hash-Operation („Keyed-Hash Message Authentication Code", „Secure Hash Algorithm 256bit", HMAC-SHA256), wobei das Geheimnis, ahnlich wie bei einem „gesalzenen" Passwort-Hash, der Message vor der Berechnung hinzugefugt wird.

2.4.2 Public-Key-Verfahren

Bei FID02 werden mehrere Public-Key-Verfahren genutzt. Es handelt sich um ein sog. asymmetrisches Verfahren. Allgemein beschrieben hat jeder der Kommunikations-partner jeweils einen offentlichen und einen privaten Schlussel. Genutzt werden die entsprechenden Algorithmen sowohl fur digitale Unterschriften, auch Signaturen ge-nannt (Absender- und Inhaltsverifikation), als auch fur digitale Verschlusselung (Nach-richtengeheimnis). Beim FID02-Projekt steht die Signaturmoglichkeit im Vordergrund. Hierbei wird ein offentlicher Schlussel (engl.: public key) publiziert. Die Nachricht wird vom Absender mit dem Geheimnis (privater Schlussel, engl. private key) durch die Ver-wendung eines Krypto-Algorithmus signiert. Jedermann kann nun mithilfe des offent­lichen Schlussels die Nachricht zum einen inhaltlich auf Manipulation priifen. Jedwede Veranderung wird grundsatzlich durch die Verifikation aufgedeckt. Sofern dem Aus-steller des offentlichen Schlussels vertraut wird und dieser dem Aussteller des Public-Key zweifelsfrei zugeordnet werden kann (bspw. durch Zertifizierung oder handisch durch Vergleich von eindeutigen Merkmalen, den sog. fingerprints"), kann zum ande-ren die Absenderidentitat verifiziert werden.

Auf diesem Grundprinzip basieren verschiedene Verfahren und Algorithmen, von de-nen viele, je nach verwendeter Schlussellange, noch heute als sicher gelten29. Bei FID02 wird aus Grunden der Abwarts-Kompatibilitat noch das veraltete RSA-Verfahren (1977, Rivest-Shamir-Adleman) unterstutzt. StandardmaBig wird das von der NIST zertifizierte „ECDSA P-256"-Verfahren30 (Elliptic Curve Digital Signature Algorithm, dt. Elliptische-Kurven-Kryptographie fur Digitale Signatur Algorithmen) verwendet.

2.4.3 Skizzierung der Registrierung und Anmeldung

Bei einer Registrierung bei einem kompatiblen Anbieter wird der offentliche Schlussel des Nutzers beim (Web-)Server, hinterlegt. In den Spezifikationen wird der Server des Diensteanbieters auch „Relying Party"(dt. vertrauensw ü rdige Partei) genannt.

Bei jeder Anmeldung am Server schickt der Server zunachst eine sog. „Challenge"(dt. Aufgabe), eine Zufallszahl, an den Client. Dort wird die „Challenge" mit dem privaten Schlussel des Clients signiert und an die „Relying Party" (RP) zuriickgeschickt. Der Ser­ver validiert die Antwort mithilfe des hinterlegten offentlichen Schlussels und bei posi-tivem Ergebnis erfolgt der Login.

Anmerkung der Redaktion: Abbildung 2 wurde aus urheberrechtlichen Gr ünden entfernt.

Abbildung 2: Passwortloses Anmelden mit FIDO231

2.5 WebAuthn

Der Kern der FID02-Spezifikation32 ist „WebAuthn". Es handelt sich um eine standar-disierte Programmierschnittstelle (API), die auf Basis von JavaScript die Kommunika-tion zwischen dem Client-Webbrowser und der jeweiligen „Relying Party" in Form von JSON-Objekten33 (JavaScript-Object-Notation) abwickelt. Dabei werden keinerlei Ge-heimnisse ausgetauscht, was „Phishing- bzw. Man-In-The-Middle-Angriffe" konzeptio-nell wirkungslos macht.

Die Spezifikationen richten sich u.a. sowohl an Entwickler von Clients, namentlich Browserhersteller, als auch an Entwickler von Webapplikationen und regeln daruber hinaus die Mindestfunktionalitaten und optionalen Features der sog. „User-Agents", „Authenticators" und „Relying Parties".

2.5.1 Aufgaben der API im Detail

2.5.1.1 Ablauf der Registrierung

Schritt 0: Initiiert wird die erstmalige Registrierung oder erneute Registrierung bei ei-nem Wechsel des Authenticators, aber auch bei Verwendung eines zusatzlichen Gerats, durch den Nutzer. Dies geschieht mittels Angabe eines gewiinschten User-Namens auf der Weboberflache des Diensteanbieters und Bestatigung iiber die zugehorige Schalt-flache.

Schritt 1: Im ersten eigentlichen Step ubermittelt der Relying Party Server (RPS) die sog. „PublicKeyCreationOptions", die zunachst einmal aus einer kryptografischen Challenge enthalten. Es handelt sich hierbei um einen min. 16 Bytes langen Zufallswert34, der zwingend auf der geschiitzten Hardware der Relying Party mit ausreichender Entropie generiert werden muss.

Als VorsichtsmaBnahme dient die Vorgabe hinsichtlich der Challenge-Art und -Her-kunft der Verhinderung von sog. „Reply-Attacken", bei denen unter Beriicksichtigung der verwendeten Hardware und des gleichen Timings versucht wird, generierte „Pseudo-Zufallszahlen" zu rekonstruieren und somit die Ausstellung von quasi identi-schen Schliisselpaaren zu wiederholen, um Klone dieser zu erhalten. Damit ware das Geheimnis nicht mehr sicher.

Des Weiteren enthalten die PublicKeyCreationOptions u.a. noch Informationen iiber den gewahlten Usernamen und dem zugeordneten Unique Identifier (UID), der hier Use-rlD heifit. Der RPS ubermittelt auch Daten iiber ihn selbst, insbesondere den Domain-namen, der stets mit „https:" beginnen muss. Verbindungen ohne Transportverschliis-selung sind nicht vorgesehen.

Ubermittelt werden diese Daten in Form von Objekten iiber die RP JavaScript Applika-tion zur Interpretation an den Client-Browser weitergeleitet.

Die WebAuthnAPI der hier behandelten Spezifikation sorgt fur den reibungslosen Ab-lauf bei dem Austausch der Daten-Objekte zwischen dem RP und dem Client-Browser, im weiteren Verlauf auch auf dem Riickkanal.

Schritt 2: Der Authenticator, unabhangig davon ob vom Betriebssystem bereitgestellt oder als externer Token eingebunden, erhalt die in Schritt 1 beschriebenen Daten wei­tergeleitet. AuGerdem einen „ClientDataHash", einen SHA256-Hashwert, der eine seri-ell angeordnete Liste der Daten iiber den Browser bzw. Client im Allgemeinen enthalt und in der Eigenschaft „type" mittels String „webauthn.create" dem Authenticator die Aufforderung signalisiert, ein neues Schlusselpaar zu erzeugen.

Schritt 3: Als Geheimnisspeicher erstellt der Authenticator also fur jeden neuen Regist-rierungsvorgang, der fur jede abweichende (Sub-)Domain und jede weitere Identitat notwendig ist, einen eigenen privaten und offentlichen Schlussel. Der RSP kann die „U-ser-Verification" bestimmen.

Es ist meistens der Fall, dass die Keys im Authenticator gespeichert werden, dies ist iiber das Flag ..resident key" wahlbar, Standard ist „true".

Grundsatzlich gibt es zwei verschiedene Modi, die sicherstellen, dass eine Registrierung oder ein Loginvorgang durch den Nutzer veranlasst ist. „User Presence" (UP) bedeutet, dass ein Nutzer durch eine einfache Bestatigung (bspw. Klick auf eine Schaltflache „OK" oder einen Tastendruck bei einem externen Token) seinen Vorgang autorisiert. Dies soil verhindern, dass Registrierungen und Login-Prozeduren ohne das Wissen und Wollen des Nutzers ausgefuhrt werden, was eventuell bei Angriffsszenarien denkbar ware. Eine hohere Anforderung bietet der Modus „User Verification" (UV). Dabei kann der Nutzer seine Identitat, je nach Endgerat, durch weitere Faktoren bestatigen (PIN, Passwort, Ge-sichtserkennung,Fingerabdrucksensor).

Die vom RSP geforderte UV hat drei mogliche Sicherheitsstufen:

- required: Freigabe nur mit erfolgreicher Verifikation
- preferred: Freigabe erwunscht, aber nicht zwingend
- discouraged: keine Freigabe moglich

Durch die beiden Flags UV und UP sind daher folgende Kombinationen moglich:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 4: Nutzer-Pr ä senz und -Verifikation35

[...]


1 Vortrag von Martin Tschirsich auf dem 35. Kongress des Chaos Computer Clubs. All Your Gesund- heitsakten Are Belong To Us (27.12.2018). https://www.youtube.com/watch?v=82HfhlAItiQ (Video [zuletzt abgerufen am 17.11.2019])

2 Vgl. Prof. Dr. Rieger. Einfuhrung in die Informatik. S. 12 If

3 Vgl. Peter Schmidt. Das Passwort ist nicht tot zu kriegen. Security-Insider (07.12.2016) https://www.security-insider.de/das-passwort-ist-nicht-tot-zu-kriegen-a-565391/ [zuletzt abgerufen am 17.11.2019]

4 Vgl. u.a. t3n-News. Die 10 meistgenutzten Passworter 2018. https://t3n.de/news/beliebteste-passwoer- ter-2018-1133707/ [zuletzt abgerufen am 17.11.2019]

5 Passworter prufbar bspw. auf https://haveibeenpwned.com/Passwords mit „Torrent-Downloads" der Breach-Lists [zuletzt abgerufen am 17.11.2019], (aber: Kritik hinsichtlich Eingabe aktuell verwendeter „scharfer" Passworter!)

6 Verschleierung durch Verwendung den Buchstaben ahnlich aussehender Zahlen und Sonderzeichen wie J" fur X oder „3" fur ein gespiegeltes „E", „$" fur „S" usw.

7 Vgl. Robert McMillan. Wall Street Journal. The Man Who Wrote Those Password Rules Has a New Tip: N3v$r Ml-d! (07.08.2017). https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-ml-d-1502124118 [zuletzt abgerufen am 17.11.201919]

8 NIST Special Publication 800-63B -5.1.1.2 Memorized Secret Verifiers (Juli 2017). https://pages.nist.gOv/800-63-3/sp800-63b.html#memsecret [zuletzt abgerufen am 17.11.2019]

9 Bspw. Online-Dienst Lastpass. https://www.lastpass.com/de [zuletzt abgerufen am 17.11.2019]

10 Bspw. Open-Source-Losung Keepass. https://keepass.info/ [zuletzt abgerufen am 17.11.2019]

11 Vgl. Bundesamt fur Sicherheit in der Informationstechnik (BSI). Sicheres Einloggen Leichtgemacht. https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/2FA-zwei-faktor-authentisierung.html [zuletzt abgerufen am 17.11.2019]

12 Vgl. Deutsche Bundesbank. PSD2 ab 14.09.2019 (mit Moratorium wegen Benken des deutschen On line-Einzelhandels). https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434 [zuletzt abgerufen am 17.11.2019]

13 One-Time-Password-Generator, dt . Einmalpasswort-Generator

14 Trusted-Platform-Module, in moderner Hardware verbauter Sicherheitschip, vgl. https://de.wikipedia.org/wiki/Trusted_Platform_Module [zuletzt abgerufen am 17.11.2019]

15 Vgl. ZDnet.com. Gates: The password is dead (16.11.2004) https://www.zdnet.com/article/gates-the-password-is-dead/ [zuletzt abgerufen am 17.11.2019]

16 Vgl. COM-Magazin: Project Mirror. Dashlane will Passworter abschaffen (04.01.2018). https://www.com-magazin.de/news/sicherheit/dashlane-passwoerter-abschaffen-1457180.html [zuletzt abgerufen am 17.11.2019]

17 Single-Sign-On: Einmalige Authentifizierung bei einem Anbieter und Nutzung weiterer Drittanbieter auf Basis dieser Anmeldung ohne weitere Login-Eingaben.

18 Vgl. u.a. FAZ. Missbrauch programmiert (28.03.2014). https://www.faz.net/aktuell/technik-motor/digi tal/login-mit-facebook-kann-gefaehrlich-werden-12860066.html [zuletzt abgerufen am 17.11.2019]

19 Vgl. History of FIDO Alliance, https://fidoalliance.org/overview/history/ [zuletzt abgerufen am 17.11.2019]

20 Public-Key-Infrastructure, Organisation offenflicher und privater Krypto-Schlussel zur sicheren Ver schlusselung und Authentifizierung

21 Vgl. Golem.de. Windows 10 erhalt Anmeldestandard Fido (17.02.2015). https://www.go- lem.de/news/microsoft-windows-10-erhaelt-anmeldestandard-fido-1502-112407.html [zuletzt abgerufen am 17.11.2019]

22 Vgl. Web Authentication. An API for accessing Public Key Credentials Level 1 (04.03.2019) https://www.w3.org/TR/webauthn-l/ [zuletzt abgerufen am 17.11.2019]

23 Vgl. Apple. The fast, easy way to sign in to apps and websites, https://developer.apple.com/sign-in- with-apple/ [zuletzt abgerufen am 17.11.2019]

24 Vgl. Golem.de. FTD02 & Co: Apple offnet iPhone-NFC fur Sicherheitsschlussel. https://www.heise.de/mac-and-i/meldung/FID02-Co-Apple-oeffnet-iPhone-NFC-fuer-Sicherheits-schluessel-4532783.html [zuletzt abgerufen am 17.11.2019]

25 Symbol fur: „aktueU in Entwicklung"

26 Vgl. c't - Magazin fur Computertechnik. Heise-Verlag. Ausgabe 18/2019. Seite 31

27 https://fidoalliance.org/fido-trademark-license-agreement-exhibit-a/ [zuletzt abgerufen am 17.11.2019]

28 Vgl. c't - Magazin fur Computertechnik, a.a.O.

29 Vgl. kontrare Vision: c't - Magazin fur Computertechnik - Ausgabe 01/2019 - Quantensichere Schlus- sel dringend gesucht

30 Vgl. Patrick D. Gallagher et al. Digital Signature Standard (DSS) / FIPS PUB 186-4. https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf [zuletzt abgerufen am 17.11.2019]

31 Vgl. c't - Magazin fur Computertechnik. Heise-Verlag. Ausgabe 18/2019. Seite 18

32 Vgl. W3C. Web Authentication. An API for accessing Public Key Credentials Level 1, a.a.O.

33 Vgl. Douglas Crockford. The JavaScript Object Notation QSON) Data Interchange Format (2017). RFC8259, https://tools.ietf.org/html/rfc8259 [zuletzt abgerufen am 17.11.2019]

34 Vgl. W3C. Web Authentication. An API for accessing Public Key Credentials Level 1. § 13.1, a.a.O.

35 Vgl. FIDO-Allianz. Client to Authenticator Protocol (CTAP) 30.01.2019. § 5.2. https://fidoalli- ance.org/specs/fido-v2.0-ps-20190130/fido-client-to-authenticator-protocol-v2.0-ps-20190130.html [zuletzt abgerufen am 17.11.2019]

Ende der Leseprobe aus 35 Seiten

Details

Titel
FIDO2, WebAuthn und CTAP. Wie gelingt Authentisieren ohne Passwörter?
Hochschule
Hochschule Albstadt-Sigmaringen; Albstadt  (Fakultät Informatik)
Veranstaltung
Internet Grundlagen
Note
1,3
Autor
Jahr
2019
Seiten
35
Katalognummer
V583678
ISBN (eBook)
9783346217967
ISBN (Buch)
9783346217974
Sprache
Deutsch
Schlagworte
fido, passwörter, sicherheit, authentisieren, ctap, webauthn, fido2, ctap2, u2f
Arbeit zitieren
Marc Kasberger (Autor), 2019, FIDO2, WebAuthn und CTAP. Wie gelingt Authentisieren ohne Passwörter?, München, GRIN Verlag, https://www.grin.com/document/583678

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: FIDO2, WebAuthn und CTAP. Wie gelingt Authentisieren ohne Passwörter?



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden