In der letzten Woche habe ich mich einmal mit der Sicherheit meiner unterschiedlichen Benutzerkonten auf den unterschiedlichen Plattformen, Shops und Websites beschäftigt. Privat sowie beruflich nutze ich schon seit mehreren Jahren einen Passwortmanager mit ausschließlich starken Passwörtern. Doch ist dies auch umständlich, da man hier natürlich immer wieder mit einem Masterpasswort erst einmal die eigentliche Verwendung des Passwort-Managers freischalten muss.
Natürlich lassen sich schon seit geraumer Zeit Zugänge mit den unterschiedlichsten Methoden in einem so genannten Zwei-Faktor-Authentisierungs-Verfahren (2FA) absichern.
Diese bestehen entweder aus Access-Tokens, die per Knopfdruck eine eindeutige und nur für kurze Zeit gültige Zugangs ID erzeugen (siehe Foto), Apps für Smartphones, die diese Token simulieren (Google Authenticator, Microsoft Authenticator) oder so genannte "kryptographische Token". Dabei handelt es sich um Sticks, die meist per USB oder auch NFC-Technik angesprochen werden können und je nach Bauart mit einem einfachen Tastendruck, PIN oder Fingerabdruck freigeschaltet werden.
Genau so einen kryptographischen Token im FIDO2- Standard habe ich nun für mich getestet. Immer mehr Onlinedienste & Webseiten bieten die Absicherung mit solchen Token an und ich muss gestehen, es ist einfach nur bequem. Beim Login den Token, nach Aufforderung, in den USB-Port stecken oder als NFC-Gerät an das Smartphone halten und fertig, kein Passwort mehr und doch ist der Account sicherer als mit jedem ausgedachten Passwort.
Doch halt, ganz so einfach scheint es dann doch nicht zu sein! Spätestens wenn Du Dir Gedanken machst, wie Du wieder an Deine Accounts kommst, wenn mit dem Token einmal etwas sein sollte. Was ist, wenn er gestohlen wurde oder Du ihn verlierst? Was ist, wenn er einfach nicht mehr funktioniert? Genau zu diesem Szenario musst Du Dir auch Gedanken machen und jeden Account noch einmal mit einer sicheren Alternative absichern. Je nach Anbieter der Accounts bieten diese dazu unterschiedliche Verfahren. Google z.B. bietet Dir die Möglichkeit an, sichere "Einmalpasswörter" zum Ausdrucken zu generieren. Diese kannst Du Dir dann in den Safe oder einen anderen sicheren Platz legen. Bei anderen Anbietern bleibt dann nur die Möglichkeit entweder einen zweiten Token zu registrieren und/oder eine App auf dem Smartphone zusätzlich zu aktivieren.
Als alter Entwickler-Hase konnte ich es mir natürlich auch nicht entgehen lassen, den FIDO2- Standard gleich in ein privates Projekt zu implementieren, um diesen richtig verstehen zu können. Was nützt mir auch so ein toller Token, wenn ich mich damit nicht in meinem eigenen Projekt anmelden kann ;-) Und ganz den Empfehlungen anderer Entwickler habe ich dabei natürlich nicht bei 0 begonnen, sondern schon auf fertige FIDO2- Bibliotheken gesetzt.
Fazit
Bei FIDO2 handelt es sich um einen vielversprechenden Standard, der schon jetzt von den größten Softwareherstellern wie Microsoft, Apple und Google unterstützt wird und Stück für Stück mehr Sicherheit verspricht. Jedoch sollte auf jeden Fall ein mit Einführung solcher Token auch gleich ein Disaster Recovery Plan berücksichtigt werden.