FIDO2-Schlüssel mit Fingerabdrucksicherung!
Hardwaretoken zur Benutzerauthentifizierung lassen sich durch Fingerabdruckerkennung sichern. Wir haben einige FIDO2-kompatible Exemplare in verschiedenen Szenarien getestet.
Die alleinige Sicherung einer IT-Ressource durch die Kombination von Benutzername und Passwort ist geradezu eine Einladung für Hacker. Nicht ohne Grund ist für viele Szenarien mittlerweile eine Zwei-Faktor-Authentifizierung sogar vom Gesetzgeber vorgeschrieben, meist realisiert durch eine Kombination von Besitz und Wissen. Hardwaretoken mit USB- oder NFC-Interface samt darauf vorhandener Schlüssel sind eine verbreitete Implementierung des Faktors Besitz, der Freigabemechanismus bildet den Faktor Wissen, wenn es sich um eine PIN handelt, beziehungsweise den Faktor Benutzereigenschaft bei einem biometrischen Verfahren wie dem Fingerabdruck.
Definiert ist dies in den Standards U2F (Universal 2nd Factor) und UAF (Universal Authentication Framework), die die Grundlagen von FIDO (Fast Identity Online) bilden. Beherrschen die Token zudem das WebAuthn-Protokoll und sind FIDO2-kompatibel, ist der Zugang zum dienstleistenden Server nicht nur ohne Passwort möglich, sondern auch gegen Phishing geschützt, da die Serveradresse in die Schlüsselgenerierung eingeht. Die Übermittlung der Daten vom Token bedarf dann einer gesonderten Autorisierung durch eine PIN oder einen Fingerabdruck.