So funktionieren FIDO und FIDO2/WebAuthn
Testen auf webauthn.io
Haben Sie ein neueres Android-Handy oder einen Windows-10-PC mit aktiviertem Windows Hello (Fingerabdruck, PIN, Gesichtserkennung)? Dann surfen Sie damit mal mit dem Browser Edge oder Google Chrome auf die Webseite webauthn.io. Dort können Sie das Registrieren und Einloggen mit einem FIDO2-Schlüssel ausprobieren. Tippen Sie irgendeinen Benutzernamen ein. Wählen Sie bei Authenticator Type im Falle des Smartphones oder Windows-10-PCs die Option Platform (TPM). Klicken Sie auf Register. Nun fragt Ihr Gerät nach dem Fingerabdruck oder einer PIN, den/die Sie auf dem Gerät verwenden. Fertig – Sie sind registriert. Das Einloggen geht dann genauso einfach: Tippen Sie den Benutzernamen ein, tippen Sie auf Login, nun fragt beispielsweise das Android-Handy nach einem Fingerabdruck – voilà. Die auf der Site webauthn.io für Testzwecke angelegten Benutzernamen werden übrigens nach 24 Stunden gelöscht.
Ganz so einfach ist es leider bei den meisten Diensten noch nicht. Viele unterstützen nur U2F und akzeptieren den FIDO2-Schlüssel des Geräts oder des zusätzlich einsteckbaren Keys nur als zweiten Faktor, etwa anstelle einer SMS oder Mobile-ID.
Ein weiteres Problem ist auch, dass jeder PC und jedes Smartphone natürlich einen eigenen Kryptochip besitzt. Darum werden Sie dennoch für jeden Dienst mindestens eine weitere Login-Möglichkeit einrichten müssen. Hier können Sie weiterhin auf ein gutes Passwort und Zwei-Faktor-Authentifizierung setzen. Oder Sie registrieren für diese Dienste einen oder besser zwei separat erhältliche FIDO2-Schlüssel, wie zum Beispiel jene von Yubico (die YubiKey-5-Serie). Einen der Schlüssel werden Sie stets dabeihaben und können sich daher an jedem PC in diese Konten einloggen.
Gegenprobe auf dem Smartphone
Bild 2: Nur Sekunden, nachdem wir den YubiKey auf die Handy-Unterseite halten, sind wir eingeloggt
Quelle: PCtipp.ch