FIDO-Authentifizierung

Eine Darstellung der an der Authentifizierung beteiligten Entitäten: Ein Server, ein Webbrowser und ein Gerät.

Die FIDO-Authentifizierung (Fast IDentity Online) ist eine Reihe von Standards für eine schnelle, einfache und starke Authentifizierung.

Diese Standards werden von der FIDO Alliance entwickelt, einem Branchenverband mit Vertretern verschiedener Organisationen, darunter Google, Microsoft, Mozilla und Yubico. Die Standards ermöglichen eine phishing-resistente, kennwortlose und Multi-Faktor-Authentifizierung. Sie verbessern Online-UX, indem sie die Implementierung und Verwendung einer starken Authentifizierung vereinfachen.

Einige der beliebtesten Tools und Apps im Internet verwenden bereits die FIDO-Authentifizierung, darunter Google Accounts, Dropbox, GitHub, Twitter und Yahoo Japan.


  • Benutzer gewinnen. Benutzer profitieren von Authentifizierungsabläufen, die schnell und sicher sind.

  • Entwickler gewinnen. App- und Webentwickler können einfache APIs verwenden, um Benutzer sicher zu authentifizieren.

  • Unternehmen gewinnen . Websitebesitzer und Dienstanbieter können ihre Benutzer effektiver schützen.

Wie funktioniert die FIDO-Authentifizierung?

In einem FIDO-Authentifizierungsablauf verwendet eine vertrauende Partei APIs, um mit dem Authentifikator eines Benutzers zu interagieren.

Verlassende Partei

Eine Darstellung einer sicheren Verbindung zwischen einer Web-App und einem Webserver.

Die vertrauende Partei ist Ihr Dienst, der aus einem Back-End- Server und einer Front-End- Anwendung besteht .

Anwendung

Während eines Authentifizierungs- oder Registrierungsflusses verwendet die Anwendung clientseitige APIs wie WebAuthn und FIDO2 für Android , um Benutzeranmeldeinformationen mit dem Authentifikator zu erstellen und zu überprüfen.

Dazu muss eine kryptografische Abfrage vom Server an den Authentifikator übergeben und die Antwort des Authentifikators zur Überprüfung an den Server zurückgegeben werden.

Server

Der Server speichert die Anmeldeinformationen und Kontoinformationen des Benutzers mit öffentlichem Schlüssel.

Während eines Authentifizierungs- oder Registrierungsflusses generiert der Server eine kryptografische Abfrage als Antwort auf eine Anforderung von der Anwendung. Anschließend wird die Antwort auf die Herausforderung bewertet.

Die FIDO Alliance führt eine Liste zertifizierter Produkte von Drittanbietern, einschließlich Serverlösungen. Eine Reihe von Open-Source-FIDO-Servern ist ebenfalls verfügbar. Weitere Informationen finden Sie unter WebAuthn Awesome .

Authentifikator

Ein Benutzer ist dabei, sich bei einer Web-App auf einem mobilen Gerät anzumelden.

Ein FIDO- Authentifikator generiert Benutzeranmeldeinformationen. Ein Benutzeranmeldeinformation hat sowohl eine öffentliche als auch eine private Schlüsselkomponente. Der öffentliche Schlüssel wird für Ihren Dienst freigegeben, während der private Schlüssel vom Authentifikator geheim gehalten wird.

Ein Authentifikator kann Teil des Geräts des Benutzers oder eine externe Hardware oder Software sein.

Der Authentifikator wird in zwei grundlegenden Interaktionen verwendet: Registrierung und Authentifizierung .

Anmeldung

Wenn sich ein Benutzer in einem Registrierungsszenario für ein Konto auf einer Website anmeldet, generiert der Authentifikator ein neues Schlüsselpaar, das nur für Ihren Dienst verwendet werden kann. Der öffentliche Schlüssel und eine Kennung für den Berechtigungsnachweis werden auf dem Server gespeichert.

Authentifizierung

In einem Authentifizierungsszenario muss der Authentifizierer den privaten Schlüssel des Benutzers nachweisen, wenn ein Benutzer auf einem neuen Gerät oder nach Ablauf seiner Sitzung zum Dienst zurückkehrt. Dazu wird auf eine vom Server ausgegebene kryptografische Abfrage reagiert.

Um die Identität des Benutzers zu überprüfen, verwenden einige Arten von Authentifikatoren biometrische Daten wie Fingerabdrücke oder Gesichtserkennung. Andere verwenden eine PIN. In einigen Fällen wird ein Kennwort verwendet, um den Benutzer zu überprüfen, und der Authentifikator bietet nur eine Zweitfaktorauthentifizierung.

Nächste Schritte

Nehmen Sie ein Codelab:

Lerne mehr über: