Wie eine passwortlose Welt aussieht

Die heutige Einführung der passwortlosen Authentifizierung im Nextcloud Hub ist ein großer Schritt vorwärts für Organisationen, die die Verwendung von Kennwörtern reduzieren oder sogar ganz abschaffen wollen. Zusätzlich zu Windows Hello ist Nextcloud Hub der zweite populäre Dienst (der uns bekannt ist), der kennwortlose Anmeldungen unterstützt. Wie sieht eine passwortlose Welt mit WebAuthn und Nitrokeys aus? Lesen Sie weiter!

Was ist falsch an Passwörtern?

Lassen Sie uns kurz auf das Problem mit Passwörtern eingehen. Die Herangehensweise von XKCD an die Stärke von Passwörtern ist wahrscheinlich schon allzu bekannt; aber sie fasst immer noch zusammen, was bei vielen Passwörtern falsch läuft. Passwörter skalieren nicht mit der großen Anzahl von Accounts, die heutzutage jeder besitzt. Deshalb müssen Passwörter durch den Einsatz von Passwortmanagern und Zweifaktor-Authentifizierungsmethoden "verbessert" werden. Aber diese können kompliziert zu benutzen sein und werden daher nicht immer akzeptiert. Wie kann man es besser machen?

Schritt 1: Der Schlüssel zum Erfolg

Um eine passwortlose Welt zu schaffen, muss eine andere Art der Authentifizierung eingerichtet werden. Hier kommt FIDO2 ins Spiel, die vom W3C-Standard für WebAuthentifizierung/WebAuthn verwendete Authentifizierung. Diese Bezeichnungen kann man sofort vergessen. Es bedeutet, dass Sie anstelle eines Passworts einen USB-Schlüssel (oder eine andere Methode) wie den Nitrokey FIDO2 verwenden. Wenn Sie sich authentifizieren wollen, schließen Sie den Nitrokey an, geben dessen PIN ein, und schon kann es losgehen.

Das klingt wahrscheinlich einfach genug für Ihren Desktop im Büro. Aber was ist mit Ihrem Telefon oder Laptop? Müssen Sie den Nitrokey die ganze Zeit mit sich herumtragen? Eigentlich nicht.

Schritt 2: Zusätzliche Authentifizierungsmethode

Mobiltelefone und Betriebssysteme werden FIDO2-kompatibel, was bedeutet, dass sie sich mit ihren üblichen Methoden authentifizieren können - zum Beispiel mit einem Fingerabdruck, Ihrem Gesicht oder einem eingebauten TPM. Sie müssen dies einmal in Ihrer Anwendung konfigurieren, indem Sie sich mit Ihrem angeschlossenem Nitrokey anmelden. Danach scannen Sie einfach Ihren Fingerabdruck ein oder lassen die Gesichts-ID ihre Arbeit tun.

Für Windows Hello auf Ihrem Laptop gilt dasselbe. Melden Sie sich einmal mit Ihrem Nitrokey an und konfigurieren Sie dann Windows Hello für die zukünftige Passwortverwaltung. Beim nächsten Mal macht Ihr Gesicht den Trick und loggt Sie auf Ihrem Desktop oder in Nextcloud ein!

Profitieren Sie!

Mehr gibt es dazu nicht zu sagen. Sobald der Nitrokey FIDO2 einmal konfiguriert ist, leben Sie in einer schönen neuen Welt ohne Passwörter!

Wie funktioniert das wirklich?

Wie eliminiert WebAuthn Passwörter? Wenn ein Passwort eingegeben werden muss, fordert der Server den Browser zur Authentifizierung auf. Der Browser leitet diese Anfrage an den konfigurierten Nitrokey FIDO2 weiter. Der Nitrokey FIDO2 enthält einen kryptographischen Schlüssel, der das Gerät nie verlässt. Nach erfolgreicher Authentisierung mit die Geräte-PIN wird eine kryptographisch signierte Antwort über den Browser an den Server zurückgesendet, der dies verifiziert, und die Anmeldung ist abgeschlossen.

Handelt es sich um eine Zwei-Faktor-Authentifizierung?

Ist WebAuthn/FIDO2 dasselbe wie die Zwei-Faktor-Authentifizierung? Ja und nein. Sie kann als zweiter Faktor verwendet werden, um den Nachweis zu erbringen, dass der Benutzer einen Hardwareschlüssel besitzt oder sein Fingerabdruck dem entspricht, was erwartet wurde. Aber allein schon ein FIDO2-Gerät kann bereits zwei Faktoren liefern. Der Server, der nach Authentifizierung fragt, kann die Überprüfung mehrerer Faktoren anfordern, so dass ein konfigurierter Schlüssel vom Benutzer nicht nur das Anschließen, sondern auch die Eingabe einer PIN oder das Scannen eines Fingerabdrucks erfordert. Auf diese Weise ist WebAuthn selbst bereits ein Zwei-Faktor-Authentifizierungsschema und damit nicht nur einfach, sondern auch hochsicher. Die PIN ist pro USB-Schlüssel spezifisch und muss daher nicht für jede Webseite anders sein. Sie muss auch nicht lang und komplex sein, sondern eine sechsstellige PIN ist ausreichend sicher.

Update: Nextcloud Hub 19 fragt zwar die Geräte-PIN ab, überprüft diese aber nicht und realisiert daher noch keine Zwei-Faktor-Authentifizierung.

Warum sollte man einen FIDO2-USB-Schlüssel verwenden?

Im Vergleich zum TPM, das an einen einzelnen Computer gebunden ist, haben USB FIDO2-Schlüssel (z.B. Nitrokey FIDO2) die folgenden Vorteile:

• Nicht alle Computer enthalten ein TPM, das als FIDO2-Gerät verwendet werden kann (z.B. Linux).
• Ein USB-FIDO2-Schlüssel kann mit mehreren Computern verwendet werden. Die Benutzer müssen nicht jeden Computer konfigurieren und müssen sich nicht für jeden Computer eine andere PIN merken.
• In Fällen, in denen es sich um eine Firmennutzung handelt, kann es sein, dass einige Benutzer keinen Firmencomputer verwenden (z.B. Freiberufler, Heimbüro). In einem solchen Fall kann die Firma den Benutzern trotzdem einen FIDO2-USB-Schlüssel zur Verfügung stellen, um sich sicher bei ihren Diensten anzumelden.

Was ist, wenn Ihr Nitrokey FIDO2 verloren geht?

Bei Diensten, die eine kennwortlose Anmeldung unterstützen, müssen Sie mindestens eine andere Authentifizierungsmethode konfigurieren. Dies kann ein zweiter Nitrokey FIDO2, eine Telefonnummer oder andere Methoden sein. Diese dienen als Ausweichmethode für den Fall, dass Ihr Nitrokey FIDO2 verloren geht.

Worauf warten Sie noch?

Konfigurieren Sie Ihren Windows 10 Computer kennwortlos, holen Sie sich die neueste Version der Nextcloud Hub und bestellen Sie einen Nitrokey FIDO2 - und betreten Sie eine Welt ohne Kennwörter!