Im Beitrag Tipps zu Passwörtern und Passwortmanagern habe ich euch versprochen, Fido2 zu testen. Und tadaa!, heute ist es so weit.
Fido2 hat nichts damit zu tun, dass der Familienhund gestorben und durch einen Welpen ersetzt wurde, dem man bequemerweise den gleichen Namen wie dem Vorgänger gegeben hat. Nein, es ist ein Versuch, Passwörter im Netz überflüssig zu machen. Die Authentifizierung findet mit einem realen Schlüssel statt. Das kann ein spezielles Stück Hardware wie ein USB-Key oder auch eine smarte Uhr oder ein anderes Wearable sein. Ich habe Schlüssel von Yubikey getestet, die mir yubikey.ch zur Verfügung gestellt hat.
Die technischen Hintergründe sind reichlich komplex. Wenn ihr nichts dagegen habt, erspare ich es uns allen, sie hier im Blog auszubreiten. Man kann vieles davon in einem ausführlichen Schwerpunkt im «c’t Magazin» nachlesen; Ausgabe 18-2019, ab Seite 16: Abschied vom Passwort, Schlüssel zum Glück, Anmelde-Baukasten und Verschlossen, nicht verrammelt heissen die vier Artikel, die die Funktionsweise der Schlüssel, aber auch WebAuthn und anverwandte Dinge erklären.
Im Patentrezept-Video habe ich mich darauf beschränkt vorzuführen, wie es geht – denn die technischen Feinheiten dürfen uns Nutzer interessieren, können uns aber auch völlig egal sein. Denn seit ungefähr dreissig Jahren haben wir eh keine Chance mehr, die technische Komplexität unseres Alltags zu durchdringen. Das hat natürlich eine Reihe von Problemen – aber diese Diskussion wäre noch epischer als die Erklärungen zu Fido2 und WebAuthn.
Der Schlüssel als zweiter Faktor
Das Video zeigt konkret zwei Dinge: Es erklärt erstens, wie so ein Schlüssel als zweiter Faktor zum Einsatz kommt. Ich zeige es am Beispiel von Google. Analog funktioniert es mit vielen anderen Diensten. Verdienstvollerweise gibt es vom Hersteller der Schlüssel einen Katalog, in dem die Einrichtung für Dutzende von Webangeboten beschrieben ist: Von 1Password, Dropbox, WordPress oder Twitter bis hin zu Teamviewer, ProtonMail oder sogar Facebook. Einige Dienste vermisst man – Amazon zum Beispiel. Oder Schweizer Shopping-Websites wie Digitec.
Sicher einloggen – ganz ohne Passwort.
Allerdings lohnt es sich, auch immer noch zu googeln, ob ein Dienst den Sicherheitsschlüssel unterstützt. Bei Digitec wird man allerdings nicht fündig. Aber immerhin sieht man, dass in der Diskussion zur Zwei-Faktor-Authentifizierung der Wunsch nach Unterstützung der Yubikeys bereits aufgebracht wurde. Das steht und fällt damit, wie einfach oder komplex die Integration ist. Falls jemand damit Erfahrung hat, bitte gerne in den Kommentaren erörtern!
Das zweite Thema im Video ist der Stick als Ersatz des Passworts. Man kann das einerseits auf webauthn.io als Demo einmal durchspielen. Andererseits hat Microsoft die passwortfreie Anmeldung bei microsoft.com, für Office 365 und Windows Hello eingeführt.
Ganz ohne eigene Gedächtnisleistung funktioniert es nicht
Und das funktioniert tatsächlich – auch wenn es nicht so ist, dass man sein Hirn gar nicht mehr benutzen müsste. Man muss sich nämlich noch einen PIN-Code für seinen Sicherheitsschlüssel merken. Aber immerhin: Dieser Code schützt dann alle Konten, die mit dem Sicherheitsschlüssel verbunden sind – sodass man endlich ganz ohne schlechtes Gewissen einen Code für x Dienste nutzen kann.
Fazit: Mit der Zwei-Faktor-Authentifizierung machen die Sticks das Login eher umständlicher als einfacher. Aber das ist ein Zwischenschritt – der uns allerdings noch etwas erhalten bleiben dürfte. Ich rechne damit, dass es noch einige Jahre geht, bis die passwortlose Anmeldung auf breiter Basis verfügbar ist. Doch ich bin mir sicher, dass sie kommt. Und wenn man statt des Schlüssels auch die smarte Uhr mit NFC fürs Login benutzen kann, dann ist ein grosser Schritt gemacht. Und der kommt sowohl der Sicherheit als auch dem Komfort zugute.
Und eine aktuelle Ergänzung: Endlich baut Apple Fido2 auch bei Safari ein.