#115 - Was steckt hinter FIDO und FIDO2?

09/13/19 • 5 min

IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert

Die Abkürzung FIDO steht für Fast IDentity Online und ermöglicht, vereinfacht formuliert, eine starke und sichere Authentifizierung im Internet- und das ganz ohne Passwörter.

Wie sie bereits wissen, gilt die Kombination von Benutzername und Passwort längst nicht mehr als der heilige Gral, wenn es um die sichere Authentifizierung im Internet geht.

So wurde 2013 die FIDO-Allianz gegründet. Die gemeinnützige Organisation hat das Ziel gemeinsam mit vielen verschiedenen Unternehmen, offene und lizenzfreie Standards für die weltweite Authentifizierung im Internet zu entwickeln und so die Online-Sicherheit signifikant zu erhöhen.

Um dieses Ziel zu erreichen, hat die FIDO-Allianz bis 2014 zwei lizenzfreie Standards entwickelt, die unter den Namen U2F und UAF bekannt sind.

U2F ist die Abkürzung für universeller zweiter Faktor. Der Standard beschreibt eine allgemeine Zwei-Faktor-Authentifizierung. Das bedeutet, dass man mit U2F bereits existierendes Verfahren zur Benutzerauthentifizierung mit einem zusätzlichen Faktor absichert. Diese Erweiterung kann z.B. die Benutzung eines Tokens beispielsweise ein USB-Stick sein, welches Informationen beinhaltet die die Authentifizierung erst ermöglichen.
Der zweite Standard ist UAF, was für universelles Rahmenwerk zur Authentifizierung steht. Der Standard beschreibt, wie man sich im Internet ohne Passwort authentifiziert. Hierzu können biometrische Verfahren zum Einsatz kommen, sodass ein Benutzer aufgefordert wird sich z.B. per Fingerabdruck an einem Gerät zu authentifizieren. Das Besondere an diesem Verfahren ist, dass der Fingerabdruck nicht an den Server weitergeleitet wird, sondern nur zu einer lokalen Authentifizierung beiträgt, sprich der Nutzer authentifiziert sich nur gegenüber einem lokalen Gerät, einem sogenannten FIDO Authenticator. Das kann beispielsweise ein Smartphone sein. Nach der lokalen Authentifizierung wird von dem Gerät die asymmetrische Kryptographie verwendet, um den Benutzer am Server authentifizieren zu können.

Mit dem FIDO2 Projekt wurden die beiden FIDO-Standards U2F und UAF weiterentwickelt.

FIDO2 besteht aus einer Web-Authentifizierungsspezifikation, bekannt als WebAuthn, welches für die Browser-Server-Kommunikation zuständig ist und das entsprechende Client-to-Authenticator-Protokoll, kurz CTAP-Protokoll, welches die Browser-Authenticator-Kommunikation definiert.

Der neue FIDO2-Standard ersetzt das herkömmliche Passwort und führt folgende Sicherheitslevel für die Authentifizierung ein:

Die Ein-Faktor-Authentifizierung: Hier wird das Passwort durch den Besitz des Authenticators ersetzt.
Die Zwei Faktor Authentifizierung: Hier wird das Passwort durch den Authenticator und die Kenntnis über eine PIN, die zuvor im Authenticator gesetzt wurde, ersetzt.

Die Ergänzung zu den bisherigen Standards besteht darin, dass mit FIDO2 nicht nur der Besitz des Authenticators, sondern durch die Verwendung eines PIN für den Token auch Wissen nachweisbar ist und damit gänzlich auf Passwörter verzichtet werden kann.

Wie funktioniert der Authentifizierungsprozess nun genau?

Den Authentifizierungsprozess übernimmt ein Challenge-Response-Verfahren, wobei der Browser bei Authentifizierung an Webseiten die Rolle eines Relays übernimmt. Im Detail verhält sich das wie folgt:

Die Webseite sendet eine Challenge an den Client-Browser, dieser leitet die Challenge mit weiteren Daten an den Authenticator weiter.
Der Authenticator fragt die bei der Registrierung zuvor eingerichtete Zugangsberechtigung (privater Schlüssel) ab und überprüft Wissen des Benutzers (PIN). Sind diese Schritte erfolgreich, erzeugt er eine digitale Signatur der Challenge und übergibt diese an den Browser.
Der Browser reicht die signierte Challenge an die Webseite weiter, welche die Signatur überprüft und bei erfolgreicher Verifizierung den Client authentifiziert

Der Vorteil von der FIDO- Authentifizierung ist, dass sie auf die fortschrittlichere Challenge-Response Technik setzen, bei der das geteilte Geheimnis (der Private-Key) den Authenticator nicht verlässt und damit nicht übertragen werden muss. Dies hat vor allem beim Kompromittieren eines Endgeräts beträchtliche Vorteile, da Malware wie Keylogger keine Chance bekommen, Informationen abzugreifen, die eine Authentifizierung bei einem Dienst ermöglichen.

Auf der anderen Seite muss man für den Fall eines Authenticator-Verlusts wichtige Vorkehrungen treffen: Entweder man richtet mehrere Authenticatoren ein, um sich im Falle eines Verlustes nicht auszusperren oder man muss auf Restore Codes zurückgreifen.

Ein letztes Wort zum Schluss: In einer Zeit, in der sich die Online-Sicherheitslage drastisch verschlechtert, wird die Erfindung und Einführung von offenen Authentifizierungsstandards immer wichtiger. Geräte, die mit FIDO und FIDO2 kompatibel sind, bieten das Höchstmaß an Schutz v...

Die Abkürzung FIDO steht für Fast IDentity Online und ermöglicht, vereinfacht formuliert, eine starke und sichere Authentifizierung im Internet- und das ganz ohne Passwörter.

Wie sie bereits wissen, gilt die Kombination von Benutzername und Passwort längst nicht mehr als der heilige Gral, wenn es um die sichere Authentifizierung im Internet geht.

Um dieses Ziel zu erreichen, hat die FIDO-Allianz bis 2014 zwei lizenzfreie Standards entwickelt, die unter den Namen U2F und UAF bekannt sind.

U2F ist die Abkürzung für universeller zweiter Faktor. Der Standard beschreibt eine allgemeine Zwei-Faktor-Authentifizierung. Das bedeutet, dass man mit U2F bereits existierendes Verfahren zur Benutzerauthentifizierung mit einem zusätzlichen Faktor absichert. Diese Erweiterung kann z.B. die Benutzung eines Tokens beispielsweise ein USB-Stick sein, welches Informationen beinhaltet die die Authentifizierung erst ermöglichen.
Der zweite Standard ist UAF, was für universelles Rahmenwerk zur Authentifizierung steht. Der Standard beschreibt, wie man sich im Internet ohne Passwort authentifiziert. Hierzu können biometrische Verfahren zum Einsatz kommen, sodass ein Benutzer aufgefordert wird sich z.B. per Fingerabdruck an einem Gerät zu authentifizieren. Das Besondere an diesem Verfahren ist, dass der Fingerabdruck nicht an den Server weitergeleitet wird, sondern nur zu einer lokalen Authentifizierung beiträgt, sprich der Nutzer authentifiziert sich nur gegenüber einem lokalen Gerät, einem sogenannten FIDO Authenticator. Das kann beispielsweise ein Smartphone sein. Nach der lokalen Authentifizierung wird von dem Gerät die asymmetrische Kryptographie verwendet, um den Benutzer am Server authentifizieren zu können.

Mit dem FIDO2 Projekt wurden die beiden FIDO-Standards U2F und UAF weiterentwickelt.

Der neue FIDO2-Standard ersetzt das herkömmliche Passwort und führt folgende Sicherheitslevel für die Authentifizierung ein:

Die Ein-Faktor-Authentifizierung: Hier wird das Passwort durch den Besitz des Authenticators ersetzt.
Die Zwei Faktor Authentifizierung: Hier wird das Passwort durch den Authenticator und die Kenntnis über eine PIN, die zuvor im Authenticator gesetzt wurde, ersetzt.

Wie funktioniert der Authentifizierungsprozess nun genau?

Die Webseite sendet eine Challenge an den Client-Browser, dieser leitet die Challenge mit weiteren Daten an den Authenticator weiter.
Der Authenticator fragt die bei der Registrierung zuvor eingerichtete Zugangsberechtigung (privater Schlüssel) ab und überprüft Wissen des Benutzers (PIN). Sind diese Schritte erfolgreich, erzeugt er eine digitale Signatur der Challenge und übergibt diese an den Browser.
Der Browser reicht die signierte Challenge an die Webseite weiter, welche die Signatur überprüft und bei erfolgreicher Verifizierung den Client authentifiziert

Vorherige Episode

#114 - Was ist eigentlich GrandCrab?

Bei GandCrab handelt es sich um einen Verschlüsselungstrojaner- und er ist mittlerweile die am weitesten verbreitete Ransomware der Welt.

Die GandCrab-Ransomware-Familie trat im Januar 2018 zum ersten Mal in Erscheinung. Die gefährliche Ransomware arbeitet nach einem „Affiliate-Modell“: Das bedeutet, dass die GrandCrab- Entwickler die Ransomware interessierten Kunden als „Ransomware-as-a-Service“ zur Verfügung stellen und dafür einen Teil des Gewinns erhalten.

Die beliebte Ransomware-Familie wird mittlerweile über unterschiedliche Wege verbreitet. Zu den häufigsten Angriffsvektoren gehören Spam-E-Mails, Exploit-Kits und zugehörige Malware-Kampagnen.

Doch in den meisten Fällen versteckt sich GrandCrab in gefälschten Bewerbungsanschreiben, denen eine verschlüsselte Archivdatei (etwa .rar oder .zip) und eine als angebliche .pdf-Datei getarnte .exe-Datei beigefügt ist. Den Empfängern wird dann das zum Öffnen der Archivdatei nötige Passwort im Text der E-Mail oder einer ebenfalls beigefügten .txt-Datei mitgeteilt

Ähnlich wie beim Vorgänger GoldenEye, der im Jahr 2016 nach ganz ähnlichem Prinzip agierte, geben sich die Angreifer als Jobsuchende aus. Doch während die Bewerbungsanschreiben bei GoldenEye noch massenhaft Rechtschreib- und Grammatikfehler aufwiesen, sieht dies bei GandCrab ganz anders aus: Die E-Mails sind tadellos und lassen keine Annahme zum Betrug zu.

Wie auch schon bei GoldenEye, werden bei GrandCrab-Angriffen die Empfänger dazu verleitet, das gefälschte Bewerbungsanschreiben im Anhang zu öffnen. Dabei handelt es sich in der Regel um eine .doc, sprich eine veraltete Word-Datei. Sobald die Empfänger das Dokument öffnen, erscheint ein täuschend echter Hinweis im Microsoft Office Design. Darin werden die Empfänger aufgefordert, den Kompatibilitätsmodus zu aktivieren, da es sich bei diesem vermeintlichen Dokument um ein veraltetes Format handelt. Sobald die Empfänger dieser Aufforderung nachkommen, wird die Ausführung von Makros zugelassen und mithilfe von Windows-Bordmitteln die eigentliche Ransomware von einer zuvor gekaperten Webseite heruntergeladen und ausgeführt. GrandCrab wiederum verschlüsselt die Festplatte und ersetzt den Desktop-Hintergrund mit einem Bild der Lösegeldforderung.

Im vergangenen Jahr übertraf GrandCrab andere Ransomware-Varianten in ihrer Popularität und Viralität. Einige GandCrab-Nutzer begannen Unternehmen über exponierte Remote-Desktop-Protocol-Instanzen anzugreifen oder sich direkt mit gestohlenen Domänen-Anmeldeinformationen anzumelden. Nach der Authentifizierung auf einem kompromittierten PC führten die Angreifer die Ransomware manuell aus und wiesen sie an, sich über ein ganzes Netzwerk zu verteilen. Sobald das Netzwerk infiltriert war, beseitigten sie ihre Spuren und kontaktieren die Betroffenen mit einem Entschlüsselungsangebot.

Schon damals veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik eine Warnung.

Darin heißt es: Ransomware ist und bleibt eine ernstzunehmende Bedrohung. Das Vorgehen der Cyber-Kriminellen im aktuellen Fall zeigt zudem, dass technische Gegenmaßnahmen konsequent und durchdacht umgesetzt werden müssen. Sensibilisierungsmaßnahmen für Mitarbeiterinnen und Mitarbeiter sollten außerdem zum Standardfortbildungsprogramm in Unternehmen gehören, insbesondere dort, wo auch E-Mails von unbekannten Absendern mit unbekannten Dateianhängen geöffnet werden müssen, wie es in Personalabteilungen der Fall ist. Viele Unternehmen leiden unter dem Fachkräftemangel und freuen sich über jede Bewerbung, die sie erhalten. Dies sollte jedoch nicht zu Nachlässigkeiten bei der Cyber-Sicherheit führen."

Bevor wir nun zum Ende unsere heutigen Podcasts kommen, möchte ich Ihnen noch einige Tipps zum Schutz vor Ransomware mit auf den Weg geben:

Implementieren Sie eine Sicherheitslösung mit mehrschichtiger Anti-Ransomware-Abwehr, um eine GrandCrab- Infektion sowie andere Malware-Infektionen zu verhindern.
Sichern Sie Ihre Daten regelmäßig
Vermeiden Sie das Öffnen von E-Mail-Anhängen unbekannter E-Mails

Und im Falle einer gelungenen Infektion, sollten Sie den Forderungen der Angreifer auf keiner Weise nachkommen. Sichern Sie stattdessen die verschlüsselten Informationen und verständigen Sie die Polizei.

Kontakt: Ingo Lücker, [email protected]

Nächste Episode

#116 - Was ist eigentlich Libra?

Seit einigen Wochen sorgt Facebook ́s geheimnisvolle Libra für helle Aufregung. Doch was verbirgt sich hinter Libra?

Libra ist eine geplante Digitalwährung von Facebook, die in der ersten Jahreshälfte 2020 auf den Markt kommen soll. Sie wurde als sogenannter „Stablecoin“ konzipiert. Das bedeutet, dass die Währung an einen Währungskorb traditioneller Währungen wie US-Dollar oder Euro, sowie stabiler Vermögenswerte, darunter kurzfristig fällige Staatsanleihen gebunden ist. Dadurch lässt sich eine allzu große Volatilität, sprich Wertschwankungen, vermeiden.

Eines der Hauptziele von Libra ist es, denjenigen, die kein Bankkonto haben, den Zugang zu mehr finanziellen Instrumenten und Ressourcen zu ermöglichen. Außerdem soll die neue Währung Zahlungswege vereinfachen, schneller machen sowie Sicherheit und Stabilität schaffen.

Das Libra-Ökosystem wird durch die Organisation Libra Association, mit Hauptsitz in Genf, betrieben und kontrolliert. Zu den 28 Gründungsmitgliedern gehören unter anderen Facebook Inc., Spotify, Paypal, Vodafone, eBay, Visa, Mastercard, Stripe, Lyft, Uber, Coinbase und Kiva.

Zusätzlich hat Facebook die Tochterfirma Calibra gegründet, die ein gleichnamiges Wallet – also eine digitale Geldbörse – für die Währung entwickeln und diese in WhatsApp und Facebook Messenger integrieren soll.

Wie funktioniert Facebook’s Libra?

Libra ist eine Kryptowährung, die auf der Blockchain-Technologie basiert.

Mal angenommen wir geben ein Libra aus. Dann wird auf der Libra-Blockchain eine Transaktion ausgeführt. Die Blockchain ist wie eine Art Buchführung, auf der gespeichert wird, wie viele Libras ausgegeben wurden und an wen bzw. an welche Adresse. Allerdings findet diese Buchführung nicht in einem Computer statt, sondern auf vielen gleichzeitig.

Allerdings ist die Libra-Blockchain, im Gegensatz zu anderen Kryptowährungen wie beispielsweise Bitcoin, nur Mitgliedern der Libra Association und eventuell der Aufsichtsbehörden zugänglich.

Anders formuliert, bei Libra kann nicht jeder am Netzwerk teilhaben, sondern nur diejenigen die zugelassen wurden. Wer Mitglied werden will, muss 10 Mio. USD haben, eine bestimmte Größe von Rechenkapazitäten auf Servern mitbringen und noch andere Auflagen erfüllen, insbesondere die Reichweite bzw. die Relevanz für Zahlungen haben. Zunächst sollen jedoch nur bis zu 100 Mitglieder aufgenommen werden.

Kommen wir nun zur nächsten wichtigen Frage: Wie kann man Libra nutzen?

Um Libra nutzen zu können, benötigen Sie zunächst eine digitale Geldbörse, die sogenannte Calibra Wallet. Sobald Ihnen die Wallet zur Verfügung steht, können sie mit klassischen Währungen wie Dollar, Euro oder Yen bei autorisierten Tauschbörsen Libras kaufen und anschließend mit ihnen bezahlen. Laut Facebook können Verbraucher den Libra für Zahlungen innerhalb des Netzwerks und in Online-Shops nutzen. Zu den ersten Akzeptanzstellen dürften die Mitglieder der Libra Association gehören wie zum Beispiel. eBay, Spotify und Uber.

Last but not Least: Welche Vorteile haben Verbraucher überhaupt, wenn sie Libra einsetzen und welche Risiken müssen sie beim Einsatz beachten?

Nun, in erster Linie richtet sich Libra vor allem an Menschen, die über Ländergrenzen hinweg Geld überweisen wollen. Libra bietet kostengünstige Peer-to-Peer-Geldtransfers in beliebiger Höhe und über jede Entfernung. Ein anderes Anwendungsszenario ist beispielsweise die schnelle Überweisung von Geld unter Freunden, etwa beim Aufteilen einer Rechnung. Außerdem bringt es ein Netzwerk und damit Stabilität mit. Möglicherweise lässt sich Libra sogar für die Buchführung verwenden. Darüber hinaus bietet Libra ein stabiles Instrument zur Wertaufbewahrung mit geringen Risiken aus Wechselkursschwankungen des Reservekorbs (wenn auch ohne Zinsen).

Trotz dieser Vorteile gehen Inhaber von Libras eine Reihe von Risiken ein:

Erstens die Wertsicherung des Libra basiert auf einem Währungskorb. Entsprechend hat der Inhaber des Libra ein Wechselkursrisiko, das um so größer ist, je geringer die Gewichtung seiner Heimatwährung im Währungskorb des Libra ist. Liegt z. B. der Anteil des Euro im Währungskorb 30 %, so erwirbt der Anleger in Libra aus dem Euroraum faktisch 30 % Euro und 70 % Fremdwährung.
Zweitens, der Inhaber von Libras hat keinen direkten Anspruch auf Auszahlung in etablierten Währungen. Es gibt stattdessen einen Währungshandel zwischen Libra und anderen Währungen.
Drittens, die Reserven werden nicht in Bargeld oder Sichteinlagen gehalten, sondern in festverzinslichen Anleihen. Im Fall eines Bankansturms, wenn viele Anleger gleichzeitig aus dem Libra aussteigen wollen und die Reserve hierzu genutzt werden soll, ist diese nicht sofort liquide und der Verkauf ist mit einem Wertverlust verbunden.

Fazit:

Libra ist eine spannende Innovation am globalen Finanzmarkt und mittelfristig sicherlich auch eine weitere Zahlungsmöglichke...