Apple, Google, Microsoft unterstützen neue Initiative der FIDO-Allianz für "Passwordless Sign-Ins"

Sicherheit (Pexels, allgemeine Nutzung)[English]Am gestrigen 5. Mai war ja "World Password Day" – und aus dieser Sicht ist die Ankündigung der FIDO-Allianz,  das Internet sicherer und für alle nutzbar zu machen, nur folgerichtig. Von der FIDO Alliance und dem World Wide Web Consortium wurde ein Verfahren zur passwortlosen Benutzeranmeldung entwickelt. Apple, Google und Microsoft haben mit der FIDO-Allianz am 5. Mai 2022 nun Pläne angekündigt, die Unterstützung für einen gemeinsamen Standard für passwortlose Anmeldungen zu erweitern, der auf der FIDO-Lösung aufsetzt. Die neue Funktion soll es Websites und Anwendungen ermöglichen, Nutzern auf allen Geräten und Plattformen einheitliche, sichere und einfache passwortlose Anmeldungen anzubieten. Microsoft will bestimmten Funktionen bereits im Mai und Juni 2022 für Windows und den Microsoft Authenticator freigeben.


Anzeige

Die Verwendung von Kennwörtern zur Anmeldung an Webseiten erweist sich als eines der größten Sicherheitsprobleme im Internet. Zu oft fallen Nutzer auf Phishing-Versuche herein, oder Passwörter werden bei Hacks sowie Datenlecks erbeutet. Die Verwaltung mehrerer Passwörter ist für die Nutzer zudem umständlich. Das führt oft dazu, dieselben Passwörter bei verschiedenen Diensten wiederzuverwenden oder irgendwo zu speichern bzw. zu notieren. Diese Praxis kann zu kostspieligen Kontoübernahmen, Datenverletzungen und sogar gestohlenen Identitäten führen.

Eine Lösung wären Passwort-Manager, die zumindest die Verwaltung der Passwörter erleichtern. Aber auch dort hat es immer wieder Datenlecks und Probleme gegeben. Mit herkömmliche Formen der Zwei-Faktor-Authentifizierung gab es auch schrittweise Verbesserungen, und es gab eine branchenweite Zusammenarbeit, um Anmeldetechnologien zu entwickeln, die bequemer und sicherer als simple Passwörter sind.

Standard der FIDO-Alliance

Im Rahmen der FIDO-Alliance haben das World Wide Web Consortium W3C sowie hunderte von Technologieunternehmen und Dienstleistern aus der ganzen Welt haben an der Entwicklung der Standards für die passwortlose Anmeldung gearbeitet. Diese werden bereits von Milliarden von Geräten und allen modernen Webbrowsern unterstützt.

Apple, Google und Microsoft waren bisher bereits federführend bei der Entwicklung dieses erweiterten Funktionsumfangs. Die Plattformen dieser Unternehmen unterstützen bereits die Standards der FIDO Alliance, um die passwortlose Anmeldung auf Geräten zu ermöglichen. Die bisherigen Implementierungen erfordern jedoch, dass sich die Benutzer auf jeder Website oder App mit jedem Gerät anmelden müssen, bevor sie die passwortlose Funktionalität nutzen können.

Erweiterte passwortlose Anmeldung

Nun soll eine Erweiterung der Unterstützung für passwortlose Authentifizierungsstandards eingeführt werden, die durch die drei Unternehmen Apple, Google und Microsoft mitgetragen wird. Laut Ankündigung sollen die Plattformimplementierungen erweitert werden , um den Benutzern zwei neue Funktionen für nahtlose und sichere kennwortlose Anmeldungen zu bieten:

  • Ermöglichung des automatischen Zugriffs auf die FIDO-Anmeldedaten (von manchen als "Passkey" bezeichnet) auf vielen ihrer Geräte, auch auf neuen, ohne dass sie sich für jedes Konto neu anmelden müssen.
  • Benutzer können die FIDO-Authentifizierung auf ihrem Mobilgerät nutzen, um sich bei einer App oder Website auf einem Gerät in der Nähe anzumelden, unabhängig von der Betriebssystemplattform oder dem Browser, die sie verwenden.

Die breite Unterstützung dieses auf Standards basierenden Ansatzes durch die drei genannten Firmen wird es Dienstanbietern ermöglichen, FIDO-Zugangsdaten ohne Passwörter als alternative Anmelde- oder Kontowiederherstellungsmethode anzubieten und so das Nutzererlebnis zu verbessern. Es wird erwartet, dass diese neuen Funktionen im Laufe des kommenden Jahres auf den Plattformen von Apple, Google und Microsoft verfügbar sein werden.

FIDO Passwortless Authentification Extensions

Neben der Ankündigung der FIDO-Allicance hat auch Microsoft eine entsprechende Ankündigung gemacht. Obiger Tweet weist auf diesen Techcommunity-Artikel hin. Dort beschreibt Microsoft Mitarbeiter Alex Simons (vom AZURE Team) die Pläne Microsofts etwas genauer.


Anzeige

Microsoft hat die  passwortlose Unterstützung für Windows 365, Azure Virtual Desktop und Virtual Desktop Infrastructure bereits implementiert. Diese Funktion befindet sich derzeit in den Preview-Builds für Windows 11 Insider und ist auch für Windows 10 auf dem Weg. Die neue Funktion Windows Hello for Business Cloud Trust soll die Bereitstellung von Windows Hello für hybride Umgebungen vereinfachen. Dieses neue Bereitstellungsmodell beseitigt die früheren Anforderungen für die Public Key Infrastructure (PKI) und die Synchronisierung öffentlicher Schlüssel zwischen Azure AD und lokalen Domänencontrollern.

Diese Verbesserung soll Verzögerungen zwischen der Bereitstellung von Windows Hello for Business und der Authentifizierung der Benutzer beseitigen. Der Plan: Die neue Funktion soll es einfacher machen, Windows Hello for Business für den Zugriff auf lokale Ressourcen und Anwendungen zu nutzen. Cloud Trust ist jetzt als Preview für Windows 10 21H2 und Windows 11 21H2 verfügbar.

Weiterhin soll der Microsoft Authenticator künftig auch mehrere Benutzerkonten für eine kennwortlose Anmeldung unterstützen. iOS-Nutzer sollen diese Funktion noch in im Mai 2022 bekommen, und die Funktion wird danach auch für Android verfügbar gemacht. Auch der zeitlich begrenzte Passcode Temporary Access Pass in Azure AD war, laut Microsoft, seit der öffentlichen Vorschau ein großer Erfolg bei Unternehmen. Nun wurden weitere Möglichkeiten zur Nutzung hinzugefügt. Microsoft bereitet sich aktuell auf die Veröffentlichung der Funktion im Sommer 2022 vor. Dazu dürfte die Vergabe temporärer Zugangspässe anstelle von Passwörtern bei der Einrichtung neuer Windows-Geräte gehören. Nutzer sollen in der Lage sein, einen temporären Zugangspass zur Erstanmeldung zu verwenden. Dann kann Windows Hello konfiguriert werden, und um ein Gerät mit Azure AD zu verbinden. Dieses Update soll im Juni 2022 verfügbar sein.

In diesem Artikel führt Microsoft ein Interview mit Libby Brown. Dieser ist ein Senior Product Manager, der die Bemühungen, Microsoft Azure Active Directory (Azure AD) Kunden mit passwortlosen Lösungen sicherer zu machen, in den letzten Jahren vorangetrieben hat.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, iOS, Sicherheit, Windows, Windows 10 abgelegt und mit Android, iOS, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Apple, Google, Microsoft unterstützen neue Initiative der FIDO-Allianz für "Passwordless Sign-Ins"

  1. mw sagt:

    FIDO2 ergibt nur dann einen Sinn, wenn die Keys in einem HSM wie dem nitrokey oder Yubikey gespeichert sind. Der wird dann zum "Schlüsselbund" und hat dieselben negativen Eigenschaften wie ein realer Schlüsselbund, z. B. Verlierbarkeit. Er kann aber auch ausfallen durch Defekt, das tritt bei realen Schlüsseln eher selten auf. Also heisst das, Redundanz, also einen 2. gleichen Key. Fragt sich ob der so einfach dupliziert werden kann und wie man die Kopie auf dem gleichen Stand halten kann. Natürlich können auch Angreifer dann den HSM duplizieren, wie bei den meisten normalen Schlüsseln auch. Bei der Nutzung von vielen verschiedenen Geräten wird das dann auch sehr unfreundlich und an bestimmten tragbaren Geräten, tut man sich schwer den HSM zu stecken. Mein fazit: eher unbrauchbar.
    Ich bleibe bei starken Passwörten und Keypass.

    • Pat Rick sagt:

      Danke für dein Kommentar. Ist schon intressant, auf News Portalen loben alle diese Technik in den Himmel, weil bequemer.

      Auf Tech-Seiten merkt man dan aber, das das genau nicht so ist, wie das MS, Apple und Google verkaufen wollen ^^ an sich wäre die idee ja nicht schlecht, aber so hat es einfach zu viele Fehlerquellen…

      Bin so froh das es solche seiten gibt, danke Herr Born

  2. Günter Born sagt:

    Bei der Zweifaktor-Authentifizierung gibt es ja das Problem, dass man sich aussperrt, wenn der zweite Faktor nicht verfügbar ist (z.B. Handy ider FIDO-Lösung wie Yubi-Key verloren, gestohlen, vergessen, kaputt). Bei Google habe ich bei der Umstellung auf 2FA eine Liste mit Reaktivierungskennwörtern für den Authenticator bekommen.

    An dieser Stelle noch ein Tipp: Die Kollegen von heise haben sich um die Sicherung der Zweifaktor-Authentifizierung (2FA) einige Gedanken gemacht und folgende Artikel veröffentlicht.

    Zwei-Faktor-Authentifizierung: Kein Frust bei Verlust
    Google Authenticator: Backup erstellen

  3. Holger Vogel-Otto sagt:

    Hallo zusammen.

    Als absoluter Gegner von Passwortmanagern suche ich aktuell nach ein paar Sicherheitsvorfällen, die meine Abneigung untermauern… Gibt es hierzu etwas "Input" seitens der Gemeinschaft?

    Viele Grüße aus dem Sauerland

    HVO

  4. Luzifer sagt:

    Naja ist doch wirklich sicher, verlier ich meinen Sicherheitskey (Verlust; Diebstahl; Defekt) komm ich auch nicht mehr an meine Daten. Wenn das keine absolute Sicherheit ist! ;-P

    Die Leute wissen einfach nicht was sie wollen. Schreien nach Sicherheit, wen sie dann die absolute Sicherheit kriegen ist auch nicht recht.

  5. janil sagt:

    Es würde schon helfen, wenn viele nur ihren Kopf bzw. Denkapparat einschalten oder gebrauchen würden…

  6. Karel sagt:

    Mir persönlich würde es schon reichen, wenn man wenigstens bei zentralen und sensiblen Seiten flächendeckend 2-Faktor-Authentifizierung einsetzen könnte.
    Und wenn es dann noch einheitlich wäre… (nicht mal TOTP, mal SMS, mal Mail, …)
    Aber Congstar, Telekom, Vodafone, div. Versicherungen, … bieten das ja noch immer nicht an.
    Ich bin kein Jurist, aber wäre eine 2-Faktor-Absicherung nicht eigentlich das, was der von der DSGVO geforderte Stand der Technik ist?

    • Trevis sagt:

      > … flächendeckend … Und wenn es dann noch einheitlich wäre… Congstar, Telekom, Vodafone, div. Versicherungen, …

      Keine Sorge, Du musst nur noch etwas abwarten. Mittelfristig wird man wohl ohne eine zentral koordinierte persönliche digitale ID nicht mal mehr generell ins Internet kommen und alles, aber auch wirklich alles im Alltag sonst wird daran geknüpft werden, einfach, praktisch, passwordless, gläsern. Klingt weit hergeholt und utopisch? Wie gesagt, einfach abwarten und Entwicklung euID und weitere Ansätze verfolgen.

      • Karel sagt:

        Vielleicht falsch verstanden? Ich will keinen Unified-Login, sondern flächendeckend die Möglichkeit, 2FA zu nutzen. Und möglichst mit einem standardisierten Verfahren. Natürlich mit unterschiedlichen Schlüsseln dazu.

  7. Josef sagt:

    ich hab' mir einen Yubikey(artigen) beschafft und finde das Konzept genial.
    ABER: ich arbeite im Alltag an zwei PCs, SmartPhone und Tablet.
    Aufwand beim Installieren stört mich nicht, aber wenn ich mich von beiden PCs an der gleichen Anwendung anmelden will, muss ich den Stick umstecken -> Showstopper. (Die Anwendung kann immer nur einen Stick auf einmal)
    Und Smartphone und Tablet sind ganz raus.

    Das Problem mit den Passworten ist real, aber FIDO2 war zu kurz gehupft, und was ich gerade lese, geht mir – so weit ich es verstehe – zu weit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.