Welche Sicherheits-Level gibt es im Rahmen einer FIDO-Zertifizierung und was genau verbirgt sich hinter der Abkürzung eigentlich? Wir haben die wichtigsten Fakten für Sie zusammengefasst.
Wofür steht FIDO?
Fast IDentity Online (FIDO) ermöglicht dank Zwei-Faktor-Authentifizierung (U2F) ein sicheres und unkompliziertes Login-Erlebnis. Somit ist eine sichere Authentifizierung, ganz ohne Passwörter, schon lange keine Zukunftsmusik mehr, sondern bereits Realität. Der (Sicherheits-)Schlüssel zum Erfolg: Ein Authenticator, der vom User – beispielsweise durch einen Fingerabdruck-Scan oder das physische Betätigen eines Security-Tokens – lokal entsperrt werden muss. Der auf dem Gerät gespeicherte, private Schlüssel wird dann mit dem öffentlichen Schlüssel auf dem Server abgeglichen. Passen die beiden Schlüssel zueinander, öffnet der Authenticator dem User die Online-Tür zu einer Website oder App. Für jeden Dienst befindet sich dabei ein separates Schlüsselpaar im Authenticator. Vergessene oder mehrfach verwendete Passwörter gehören damit der Vergangenheit an.
Benutzerverifikation: Faktoren, die miteinander kombiniert werden können:
- Wissen des Benutzers, z.B. Kennwörter oder persönliche Identifikationsnummern
- Besitz des Benutzers, z.B. Security-Token
- Biometrie des Benutzers, z.B. Fingerabdruck, Stimme, Aussehen
Sicherheitsstandards der FIDO-Allianz
Die 2013 gegründete FIDO-Allianz hat es sich zum Ziel gesetzt, die Online-Sicherheit durch einfachere und sicherere Verfahren der Authentifizierung maßgeblich zu verbessern. Hierfür wurden in Form von Standards Mechanismen definiert, die auf Public-Key-Kryptographie basieren. Auf diese Weise soll die Abhängigkeit von Passwörtern reduziert und eine stärkere Authentifizierung gewährleistet werden. Herstellern entsprechender Authentifizierungslösungen ermöglichen die offenen Standards es, die Sicherheit ihrer Produkte objektiv zu belegen.
Die unterschiedlichen Sicherheits-Level im Überblick
Prüfung durch die FIDO-Allianz selbst:
- Level 1:
• Bewertung des Authenticators im Hinblick auf den Schutz vor einfachen Angriffen
• Schutz vor Phishing, Verstößen gegen die Anmeldeinformationen des Servers und Man-in-the-Middle-Angriffen (MiTM)
- Level 1+:
• Bewertung des Authenticators im Hinblick auf den Schutz vor einfachen Angriffen
• Nutzung von White-Box-Kryptographie und anderen Techniken, um das Betriebssystem vor Störungen zu schützen
Prüfungen durch ein akkreditiertes Sicherheitslabor wie TÜViT:
- Level 2:
• TÜViT-Leistungen: Designprüfung
• Bewertung des Authenticators im Hinblick auf den Schutz vor Störungen des Geräte-Betriebssystems und gegen größere Angriffe
• Hardware- und Software-Anforderungen: Gerät muss eine eingeschränkte Betriebsumgebung (ROE), wie beispielsweise eine Trusted Execution Environment (TEE), unterstützen oder an sich eine eingeschränkte Betriebsumgebung sein, beispielsweise ein USB-Token oder eine Smart Card
- Level 2+:
• TÜViT-Leistungen: Durchführung von Penetrationstests, Berechnung des Angriffspotentials
• Bewertung des Authenticators im Hinblick auf den Schutz vor Störungen des Geräte-Betriebssystems und gegen größere Angriffe
• Hardware- und Software-Anforderungen: Gerät muss eine eingeschränkte Betriebsumgebung (ROE), wie beispielsweise eine Trusted Execution Environment (TEE), unterstützen oder an sich eine eingeschränkte Betriebsumgebung sein, beispielsweise ein USB-Token oder eine Smart Card
- Level 3:
• TÜViT-Leistungen: Designprüfung, Durchführung von Penetrationstests, Berechnung des Angriffspotentials - Bewertung des Authenticators im Hinblick auf den Schutz vor erweiterten Software- und Hardwareangriffen
• Schutz erfasster Geräte vor Angriffen auf die Platine
• Hardware- und Software-Anforderungen: Verguss der Platine, Programmpakete liegen auf dem Speichermodul, Verschlüsselter Arbeitsspeicher (RAM)…
- Level 3+:
• TÜViT-Leistungen: Designprüfung, Durchführung von Penetrationstests, Berechnung des Angriffspotentials - Bewertung des Authenticators im Hinblick auf den Schutz vor erweiterten Software- und Hardwareangriffen
• Verteidigung erfasster Geräte vor Angriffen auf Chipebene
• Hardware- und Software-Anforderungen: Schutz gegen Fehlerinjektion (Chip) und invasive Angriffe
Erfolgreich zertifizierte Produkte können mit dem Logo „FIDO certified“ gekennzeichnet werden.
Sie haben noch Fragen oder interessieren sich für eine Prüfung nach den FIDO-Sicherheitsstandards? Kontaktieren Sie uns gerne!