Es ist eine einfache Erkenntnis: ohne Log-In stehen viele Bereiche des World Wide Web und insbesondere eine Vielzahl von Diensten, seien es Messenger, Informationsangebote oder Online-Banking, Nutzer:innen nicht zur Verfügung. Mit jedem neuen Account geben Nutzer:innen aber Daten aus der Hand und müssen sich neue Passwörter merken. Dabei ist allgemein bekannt, dass Passwörter eine eher unsichere Variante des Logins sind, weshalb eine Vielzahl neuer Verfahren in Anwendung und Erprobung ist. An diesem Punkt setzten die Überlegungen von Fabian Schwarz an. „Wir wollten den Login-Prozess in Webservices für Nutzer:innen so einfach und gleichzeitig so sicher wie möglich machen“, erzählt er. Das Ziel von Schwarz und seinen Kollegen war bisherige Standards einer breiten Masse verfügbar und sicher nutzbar zu machen. In ihrem Fokus stand dabei der FIDO2- Standard zur 2-Faktor-Authentifizierung, der von der internationalen FIDO-Allianz entwickelt wurde. FIDO ist die Abkürzung für „Fast Identity Online“.
Die Besonderheit des FIDO2-Standards ist, dass er für die Authentifizierung auf zusätzliche Hardware-Komponenten zurückgreift. Das kann etwa ein sogenannter Security-Token in Form eines USB-Sticks sein, der darüber hinaus auch noch mit einem Fingerabdruckscanner gesichert sein kann, aber auch ein Smartphone mit neuesten Sicherheitsstandards. FIDO2 greift auf den W3C-Web-Authentication-Standard (WebAuthn) und das Client-to-Authenticate-Protocol (CTAP) der FIDO-Allianz zurück. Die Authentifizierung erfolgt mit einem privaten und einem öffentlichen Schlüssel, welche vom Security-Token generiert werden. Während die privaten Schlüssel nie den Security-Token verlassen, werden die öffentlichen Schlüssel auf den jeweiligen Servern der genutzten Webservices hinterlegt. Nutzer:innen verwenden die privaten Schlüssel um eine Authentifizierung zu beantragen, welche von den Webservices durch Nutzung der öffentlichen Schlüssel sicher überprüft und zugeordnet werden können.
Nachteile bisheriger Verfahren
Mit dem FIDO2-Standard können Passwörter durch den Einsatz von Hardware-gestützten Security-Tokens ergänzt werden. Langfristig wird mit den FIDO2-Tokens, wie z.B. dem YubiKey der Firma Yubico, das Ziel verfolgt, eine vollständig passwortlose Authentifizierung zu ermöglichen. Obwohl dies laut Schwarz eine begrüßenswerte Entwicklung ist, gibt es seiner Ansicht nach jedoch auch eine Reihe von Nachteilen. So gibt es etwa den Kostenfaktor, weil sich Nutzer:innen neue Hardware-Komponenten beschaffen müssen beispielsweise in Form von Hardware Security-Tokens oder Smartphones mit neuesten Sicherheitsstandards. Darüber hinaus wirkt sich der hohe Sicherheitsstandard negativ auf die Benutzerfreundlichkeit aus. Denn wenn der Security-Token, wie z.B. der USB-Stick, mit den gespeicherten Login-Daten verloren geht, ist auch ein Login nicht mehr möglich, womit der Zugang zu den eigenen Online-Accounts blockiert ist. Verfahren zum Wiederherstellen des Zugangs existieren zwar, haben jedoch meist Sicherheitslücken, so Schwarz, oder verursachen zusätzliche Nutzerkosten, etwa durch die Vorabregistrierung eines Backup-Tokens. Die Herausforderung für die Entwicklung eines neuen Verfahrens war, diese Nachteile zu umgehen.
Von FIDO2 zu FeIDo
Der Ausgangspunkt von Schwarz und seinen Kollegen ist eine einfache aber umso überzeugendere Idee: Die Nutzung von Dingen, die fast alle Bürger:innen zur Verfügung haben, wie ein Personalausweis und ein Handy. „Wir haben uns angeschaut, wie man elektronische Personalausweise oder Reisepässe für diesen Anwendungsfalls nutzen kann, ohne dass sensible Nutzerdaten, die in den Pässen enthalten sind, an die Betreiber:innen der Websites gehen“, erklärt Schwarz. Sie wollten sich den Umstand zu nutzen machen, dass moderne Handys über die NFC-Technik, also die kontaktlose Datenübertragung mittels Radiowellen, auch eIDs auslesen können. Gebraucht wird nur noch ein NFC-fähiges Smartphone, worunter fast alle handelsüblichen Apple- und Android-Handys fallen, aber eben keine extra Hardware mehr. „Benötigt wird dann nur noch eine kleine Zwischen-App, die den Leseprozess durchführt und Daten an unseren speziell abgesicherten Service übermittelt“, so Schwarz weiter. Genau dies haben die Forscher als Prototyp umgesetzt und diesen dann erfolgreich verschiedenen theoretischen Sicherheitsüberprüfungen unterzogen.
Anonymer Log-In als erweitertes Anwendungsfeld
Schwarz und Kollegen sehen im FeIDo-Verfahren aber noch weitere Vorteile, die aus dem Arbeiten mit den Daten aus den eIDs resultieren. Entscheidend ist dabei, dass im FeIDo-Verfahren diese Daten zwar ausgelesen, aber nicht weitergegeben werden. Dies unterscheidet FeIDo von anderen Verfahren, die ebenfalls persönliche Nutzerdaten von eIDs zur Authentifizierung nutzen. Damit werden auch neue Anwendungsfelder für FeIDo denkbar, wie etwa das Überprüfen von Altersbeschränkungen beim Login bei speziell geschützten Webservices. „Wir können mit unserer App eine anonyme Anmeldung ermöglichen, bei der aber unser Dienst gleichzeitig einen Nachweis führt, dass der Nutzer volljährig ist“, erklärt Schwarz. Einschränkend führt er hinzu, dass für eine Nutzung dieser Variante jedoch Änderungen bei den Applikationen der Webservices nötig sind. „Dies wäre jedoch problemlos möglich“, so Schwarz weiter. Für Webservices ohne Zusätze wie Altersabfrage könnte das Log-In Verfahren des Prototyps der CISPA-Forscher direkt zum Einsatz kommen.
Gutes Feedback auf Konferenz CCS
Zum ersten Mal vorgestellt wurde das Paper auf der ACM Conference on Computer and Communications Security (CCS), die vom 14. bis 19. November 2022 in Los Angeles stattfand. Das Interesse am Thema war dort sehr groß: „Es gab so viele Fragen, dass die Zeit gar nicht ausgereicht hat“, erzählt Schwarz. Auch in Reaktion darauf publizierten Schwarz und Kollegen ein Extended Paper. Schwarz selbst hat sich mittlerweile anderen Forschungsthemen zugewandt. Die Ergebnisse seiner Forschung, also konkret der Prototyp der Anwendung, sind jedoch Open Source und damit frei verfügbar. „Das Ganze war von uns so aufgebaut, dass es möglichst frei als Community Project nutzbar ist, wie etwa ein Tor-Browser“, erklärt er. Ziel ist, dass die Community solch einen Dienst kostenfrei zur Verfügung stellen kann. Schwarz würde sich freuen, wenn sich Kolleg:innen oder Unternehmen des Projektes annehmen und den Prototyp weiterentwickeln würden.
Weitere, am CISPA entstandene Paper, die sich mit dem FIDO2-Standard beschäftigen, sind etwa „How Not to Handle Keys: Timing Attacks on FIDO Authenticator Privacy” von CISPA-Faculty Lucjan Hanzlik, oder „Is FIDO2 the Kingslayer of User Authentication? A Comparative Usability Study of FIDO2 Passwordless Authentication“ von CISPA-PhD Sanam Ghorbani Lyastani.
