Passwortloser Login mit Fido2 – The next level of authentication

 

Mich überrascht es immer wieder, wie langsam Innovationen ihren Weg in den User-Alltag finden. Die passwortlose Authentifizierung ist hierfür ein gutes Beispiel. Schon längst keine absolute Neuheit mehr, aber dennoch unterrepräsentiert im Daily Business.

 

Ich bin überzeugt davon, dass sich die Art und Weise, wie Menschen sich einloggen, langfristig ändern wird – und Fido2 wird dabei eine zentrale Rolle spielen.

 

Warum beschäftigt mich das Thema?

Ganz einfach: Passwörter machen das Leben von Millionen Nutzern täglich schwerer.

 

Nutzer haben im Durchschnitt über 90 Accounts1 , die Hälfte der Passwörter wird aus Bequemlichkeit wieder verwendet. Und ein bedeutendes Drittel aller Vorgänge im Online-Shopping wird nur deshalb nicht abgeschlossen, weil das Passwort vergessen wurde.

 

Ich kann das alles nachvollziehen. Passwörter sind insgesamt einfach eine schlechte User-Experience im digitalen Alltag: sowohl für Mitarbeiter als auch für Konsumenten. Der Fehler liegt nicht bei den Nutzern – die sind schließlich auch nur Menschen. Unsere Aufgabe als UX-Designer ist es, die Anwendungen besser zu machen.

Bye, bye, Passwort!

Es wird also endlich Zeit für eine schnelle und trotzdem sichere Authentifizierungsmethode, um den Alltag der Menschen zu erleichtern und den Umsatz zu steigern. Aber wie?

Hallo, Fido2!

Die Idee wurde tatsächlich bereits 2009 in einem Meeting von PayPal und Validity Sensors geboren.2 Es sollte ein Industriestandard entwickelt werden, mit dem sich Nutzer lokal auf ihrem Gerät mit Hilfe der Public Key Kryptographie authentifizieren können – ganz ohne Passwort. Daraufhin wurde die Fido Alliance ins Leben gerufen, um diesen offenen und lizenzfreien Standard zu entwickeln. Als Resultat der Entwicklung ist die Verwendung der sogenannten Fido2-Spezifikation möglich. Die „2“ verweist auf die neuste Version der Fido-Spezifikationen.

Namensherkunft

Der Name „Fido“ steht für Fast IDentity Online. Fido kommt auch aus dem Lateinischen und bedeutet „trauen, vertrauen, sich auf etwas verlassen“3

An der Entwicklung sind die wichtigsten digitalen Player beteiligt: Google, Amazon, Apple, Facebook,  Intel, Microsoft – um nur ein paar zu nennen. Dass all diese Firmen daran mitwirken, gibt mir das Gefühl, dass Fido2 in naher Zukunft enorm an Bedeutung gewinnen wird.

 

So funktioniert Fido2 aus Nutzersicht

Für den Nutzer bedeutet Fido2, dass er sich mit einem einzigen Endgerät sicher, schnell und bequem einloggen kann.

 

Voraussetzung: Der Nutzer muss dieses Gerät in seinem Profil einmalig für seinen Account freischalten.

Login Flow Fido2

  1. Nutzernamen eingeben.
  2. Authentifizierung über präferierte passwortlose Methode
    (Biometrics oder Security Key)
  3. Erfolgreicher Login

 

Fido2 Authenticators können in zwei Kategorien eingeteilt werden:

 

  • Built-in Biometrics: In das Gerät eingebaute, biometrische Verfahren wie „Windows Hello“ oder „FaceID“.
  • Hardware Security Keys, die auf mehreren Geräten verwendet werden können und Abhilfe schaffen, wenn das Gerät keine Built-in Biometrics vorweisen kann.

Fido2 Authenticators

Vorteile von Fido2 auf einen Blick:

  • Browserfähig: Biometrischer Login ist durch Fido2 nun endlich auch für Browseranwendungen möglich. Chrome, Edge, Firefox jeweils für Android, Windows und macOS sind bereits dabei. Welche Browser in welchem Umfang Fido im Detail unterstützen ist hier nachzulesen.
  • 2FA: Besonders spannend finde ich, dass Fido2 auch als zweiter Faktor genutzt werden kann: Die Hardware ist etwas, was der User besitzt. Die Biometrie ist etwas, was der Nutzer ist. Durch diese Kombination haben wir eine 2-Faktor-Authentifizierung am gleichen Gerät.
  • Sicher: Ähnlich wie bei persönlichen, biometrischen Authentifizierungsdaten moderner Smartphones verlassen die Login-Credentials niemals das Gerät und werden auf keinem Server gespeichert. Das macht es besonders sicher und die Privatsphäre des Nutzers wird geschützt.
  • Kostenreduktion: Ohne Passwörter wird es weniger Support-Tickets geben und die IT- Abteilung kann ihre Zeit sinnvoller nutzen.
  • Bequem: User können sich bequemer und schneller einloggen: ohne Passwort, per Gesichts-Scan, Fingerprint, Spracheingabe oder durch das Verwenden eines USB-Sticks (Security Key).
  • Ein Gerät: Anders als bei Logins via Authenticator-Apps können Nutzer durch Fido2 an ein und demselben Gerät bleiben.

Herausforderungen mit Fido2:

  • Browser-Readiness: Viele Browser unterstützen Fido2, aber nicht alle haben den gleichen Entwicklungsstand. Es könnte daher noch ein wenig dauern, bis alle bei diesem Thema auf dem gleichen Level sind.
  • Recovery-Option: Wenn der Nutzer ein Gerät verliert oder ein neues bekommt, muss sich der Nutzer auch ohne Fido2 irgendwie ausweisen. Auch hier muss nicht zwangsläufig das Passwort in die Presche springen (e.g. SMS, Magic Link) – eine Option ist es aber. Wenn Fido2 etabliert wird, muss an eine adäquate Recovery-Funktion gedacht werden.
  • One Device Logic: Für den Nutzer ist Fido2 neu. Aus diesem Grund könnte es sein, dass er nicht versteht, dass die Registrierung nur für dieses eine Gerät gilt. Eine transparente und gute Kommunikation ist daher sehr wichtig.
  • Das richtige Wording: Da Fido2 noch kein etablierter Begriff ist, ist die Benennung des Buttons für den passwortlosen Login etwas tricky. Entweder wird die Auswahl zwischen Security Key und biometrischen Optionen von einem generischen, vorgeschalteten Button namens „Passwortloser Login“ oder „Skip Password“ angeboten oder man zeigt dem Nutzer direkt die Optionen mit mehreren Buttons, z.B. „Windows Hello“ und „Security Key“. Von dem Begriff „Platform Authenticator“ würde ich generell abraten. Die Nutzer wissen in der Regel nicht, was sich dahinter verbirgt.

Die Zukunft des Logins ist passwortlos – und Fido2 ebnet den Weg

Die Überlegung ist ganz einfach: Je weniger Steps ein Mitarbeiter benötigt, um sich in seine arbeitsrelevanten Systeme einzuloggen, desto effizienter wird sein Arbeitstag. Dazu kommt: Wer kein Passwort eingeben muss, kann es nicht vergessen und muss kein Support-Ticket eröffnen. Genau das Gleiche gilt auch für User eines Onlineshops. Wer sich ohne großen Aufwand einloggen kann, wird mit einer weitaus höheren Wahrscheinlichkeit auch seinen Kaufprozess abschließen. Im direkten Vergleich gewinnt das Passwort nur beim Punkt der Gewohnheit, in allen anderen Kategorien wie Sicherheit, User Experience und Effizienz verliert es haushoch gegen Fido2.

 

Aktuell arbeite ich in einem Kundenprojekt, in dem wir Fido2 einführen und die Reaktionen sind durchweg positiv. Mit Fido2 gibt es eine nachhaltige, einfache und plattformübergreifende Möglichkeit, eine bessere Login-Experience im Daily Business zu etablieren – sie ist für den Nutzer nicht nur bequemer, sondern auch viel sicherer als “hallo1234”.

 


1: https://fidoalliance.org/what-is-fido/

2: https://fidoalliance.org/overview/history/

3: https://de.pons.com/%C3%BCbersetzung/latein-deutsch/fido

Autor

Julia Weiler

Weitere Artikel

How to: SAP IDM mit CDC verbinden und profitieren
SAP Customer Data Platform – des Kunden bester Freund sein