FIDO-Sicherheitsschluessel
Was ist FIDO-Sicherheitsschluessel?
FIDO-SicherheitsschluesselHardware-Authenticator, der ueber FIDO U2F oder FIDO2/WebAuthn eine phishing-resistente Public-Key-Authentifizierung gegenueber Web- und Enterprise-Diensten leistet.
Ein FIDO-Sicherheitsschluessel ist ein kleines USB-, NFC- oder Bluetooth-Geraet, das private Schluessel in manipulationssicherer Hardware haelt und Authentifizierungs-Challenges der Relying Party signiert. Die FIDO Alliance definiert die zugrunde liegenden Protokolle: U2F als zweiten Faktor und FIDO2 (CTAP2 plus WebAuthn) sowohl als zweiten Faktor als auch als vollwertige passwortlose Credential, einschliesslich Passkeys. Weil die Signatur an den Origin der anfragenden Seite gebunden ist, vereiteln FIDO-Keys Echtzeit-Phishing und AiTM-Proxy-Angriffe, die OTP umgehen. Wichtige Anbieter sind Yubico, Google (Titan), Nitrokey, Feitian und SoloKeys; eingesetzt werden die Keys bei Microsoft, Google, GitHub, AWS und in staatlichen Identitaetssystemen.
● Beispiele
- 01
Eine YubiKey 5 als WebAuthn-Authenticator fuer ein GitHub- oder Microsoft-Entra-Konto registrieren.
- 02
FIDO2-Keys an Administratoren ausgeben, um phishing-resistente MFA fuer Cloud-Konsolen zu erzwingen.
● Häufige Fragen
Was ist FIDO-Sicherheitsschluessel?
Hardware-Authenticator, der ueber FIDO U2F oder FIDO2/WebAuthn eine phishing-resistente Public-Key-Authentifizierung gegenueber Web- und Enterprise-Diensten leistet. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet FIDO-Sicherheitsschluessel?
Hardware-Authenticator, der ueber FIDO U2F oder FIDO2/WebAuthn eine phishing-resistente Public-Key-Authentifizierung gegenueber Web- und Enterprise-Diensten leistet.
Wie funktioniert FIDO-Sicherheitsschluessel?
Ein FIDO-Sicherheitsschluessel ist ein kleines USB-, NFC- oder Bluetooth-Geraet, das private Schluessel in manipulationssicherer Hardware haelt und Authentifizierungs-Challenges der Relying Party signiert. Die FIDO Alliance definiert die zugrunde liegenden Protokolle: U2F als zweiten Faktor und FIDO2 (CTAP2 plus WebAuthn) sowohl als zweiten Faktor als auch als vollwertige passwortlose Credential, einschliesslich Passkeys. Weil die Signatur an den Origin der anfragenden Seite gebunden ist, vereiteln FIDO-Keys Echtzeit-Phishing und AiTM-Proxy-Angriffe, die OTP umgehen. Wichtige Anbieter sind Yubico, Google (Titan), Nitrokey, Feitian und SoloKeys; eingesetzt werden die Keys bei Microsoft, Google, GitHub, AWS und in staatlichen Identitaetssystemen.
Wie schützt man sich gegen FIDO-Sicherheitsschluessel?
Schutzmaßnahmen gegen FIDO-Sicherheitsschluessel kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für FIDO-Sicherheitsschluessel?
Übliche alternative Bezeichnungen: FIDO2-Key, Security Key, Hardware-Authenticator.
● Verwandte Begriffe
- identity-access№ 1230
WebAuthn
W3C-Standard-JavaScript-API, mit der Webanwendungen Nutzer über Public-Key-Credentials auf Plattform- oder Roaming-Authenticatoren registrieren und authentifizieren.
- identity-access№ 793
Passkey
Phishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
- identity-access№ 708
Multi-Faktor-Authentifizierung (MFA)
Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
- cryptography№ 739
Nitrokey
Open-Source-Sicherheitsschluessel des deutschen Herstellers Nitrokey GmbH, der FIDO2-, OpenPGP-, X.509-Smartcard- und OTP-Funktionen in einem USB-Token vereint.
- cryptography№ 1054
Smartcard
Eine kreditkartengrosse Karte mit eingebettetem Sicherheits-Mikrocontroller, die Credentials speichert und kryptografische Operationen ausfuehrt, fuer Kontaktkarten in ISO/IEC 7816 normiert.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.