Sichere Anmeldung ohne Passwort - jetzt auch mit Windows Hello

.

H

Herkömmliche Sicherheitsschlüssel ermöglichen zwar bereits eine gerätegestützte Benutzeranmeldung, wodurch sie mit Hilfe des zweiten Authentifizierungsfaktors insgesamt die Sicherheit erhöhen und diese zusätzlich dynamisch gestalten (der Zweitfaktor wird für jeden Anmeldevorgang neu errechnet bzw. abgeleitet). Jedoch bleibt die reguläre Authentisierung mittels Benutzernamen und Passwort als Erstfaktor davon unberührt. Ein Angreifer, der es auf den Benutzer oder seinen Rechner abgesehen hat, muss also zusätzlich noch den USB-angebundenen Sicherheitsschlüssel entwenden oder aber das Verfahren für die Ableitung des Zweifaktors brechen.

Doch es geht noch einfacher - zumal die eigentlichen kryptografischen Verfahren hinter der dynamischen Ableitung des Zweitfaktors durchaus solide sind und sich nicht unmittelbar aushebeln lassen. Die Angriffstechnik, die mit weniger Aufwand umgesetzt werden kann, ist bekannt unter dem Begriff “Phishing”. Dabei konzentriert sich der Angreifer darauf, den Anwender bzw. seinen Rechner insofern zu täuschen, als dass er sich in Aussehen und Form für die legitime Internetseite des jeweiligen Dienstes ausgibt, wie etwa Online Banking. Sobald der Anwender also ungeprüft auf einer solchen gefälschten Seite landet, wird er weiter in die Irre geführt, weil auch der Anmeldeprozess wie gewohnt abläuft: er wird zur Eingabe des Benutzernamens, des Passworts und eben auch des Zweitfaktors aufgefordert. Tatsächlich setzt sich die gefälschte Internetseite einfach parallel mit dem authentischen Zieldienst in Verbindung und holt dort eine aktuelle Kopie der Anmeldemaske ein, um sie dem Anwender vorzusetzen. Sobald der Anwender auch den Letzteren gutgläubig eingibt, hat der Angriff bereits erfolgreich funktioniert: er wird einfach von der Kommunikation abgeschnitten und die authentisierten Sitzungsdaten werden an den Angreifer umgeleitet – dieser übernimmt also regelrecht die Sitzung und nutzt den Zugang entsprechend zu seinem Vorteil aus.

FIDO - Besonders benutzerfreundlich

Neben diesem Sicherheitsaspekt erscheint uns die Zweifaktorauthentifizierung (2FA) noch immer nicht benutzerfreundlich genug, obwohl es ein Schritt in die richtige Richtung ist.
Mit dem neusten FIDO2 Verfahren WebAuthn und CTAP zusammen mit dem biometrischen Fingerabdruck hebt sich die G-Serie von TrustKey Solutions spürbar vom Wettbewerb ab. Nicht nur erreichen diese Produkte alleine auf der Geräteebene eine deutlich höhere seitens der FIDO Allianz zertifizierte Sicherheitsstufe (Level2), indem sie durch ihre von dem Rechner isolierte Umgebung immun gegen Keylogger, Viren, Trojaner oder andere PC-Schädlinge sind. Sie ermöglichen zudem eine sichere Anmeldung ganz ohne Passwort („true passwordless experience“) und damit ohne jegliche Anwenderinteraktion – bis auf die Freigabe per Fingerabdruck.

Diese Login Variante wird mittlerweile von vielen Onlinediensten wie PayPal, GitHub, Office 365 sowie der Windows 10 Benutzeranmeldung (Windows Hello) unterstützt.

TrustKey Solutions Inc. verwendet in all ihren FIDO2 USB-Sicherheitsschlüsseln den in Hardware abgesicherten Mikrocontroller MS500 der Muttergesellschaft eWBM Co. Ltd.
Dieser Mikrocontroller (MCU) verfügt über einen eigens abgesicherten Speicher, eine Selbstüberprüfung für ein sogg. „secure boot“ und alle erdenklichen Krypto-Funktionen in Hardware.

Bedingt durch das ROE-Konzept (Restricted Operational Environment) der FIDO-Authentifizierungsgeräte verlassen persönliche Daten wie Fingerabdrücke und Login-Zertifikate (mit denen die eigentliche passwortlose Anmeldung durchgeführt wird) nie den sicheren internen Speicher. Zusätzliche Mechanismen, die den TrustKey Produkten die bisher höchste bekannte FIDO Zertifizierungsstufe (L2) bescheren, sichern darüber hinaus den internen Speicher samt Firmware gegen Manipulationen ab. Das Gerät gibt somit „nur“ den anfragenden Diensten die Authentizität vertraulich, belastbar und passwortlos bekannt, sodass der Benutzer im Wesentlichen nur noch durch seinen Fingerabdruck das Gerät bevollmächtigt bzw. autorisiert, die Authentisierung gegenüber dem Zieldienst in seinem Auftrag durchzuführen. Damit wird das bisher schwächste Glied – der menschliche Faktor also – komplett aus der sprichwörtlichen Kette entfernt, so dass selbst Phishing hier keine Anwendung mehr findet.

Die Geräte lassen sich nicht so einfach täuschen und bauen stets eine Ende-zu-Ende abgesicherte Verbindung zu dem jeweiligen Dienst auf, so dass nichts und niemand mehr dazwischengeraten kann. Diese immer noch leicht zu verkennende Tatsache in Verbindung mit dem Wegfall der Passwörter sowie jeglicher menschlicher Interaktion (abgesehen von der Autorisierung per Fingerabdruck) macht diese Technik aus jeder Sicht kompromisslos attraktiv.

Unsere FIDO Produktpalette

Die Produktpalette von TrustKey umfasst in der G-Serie mit biometrischem Fingerabdrucksensor die Modelle G310 (USB-A) und G320 (USB-C) und ohne Fingerabdruck (einfacher berührungssensitiver -Schalter) die Modelle T110 (USB-A) und T120 (USB-C). Diese Modelle unterstützen zudem die bewährten Verfahren der Zwei-Faktor-Authentifizierung U2F genannt bei FIDO (Universal Second Factor, FIDO1), (T)OTP-Generator (Time-Based One-Time-Password, bis zu 50 Speicherplätze für verschiedene Zieldienste) sowie WebAuthn (FIDO2).

In Kürze und im weiteren Jahresverlauf 2021 folgen noch die virtuelle Smartcard-Funktion und die Unterstützung der E-Mail-Verschlüsselung und digitalen Unterschrift mit dem PGP-Verfahren bzw. die direkte Nutzung des PGP-Verfahrens für Verschlüsselung und / oder Signieren von Dateien.
Als günstige Alternative kommt die T-Serie ohne Fingerabdrucksensor daher - stattdessen ist innerhalb dieser Modellreihe eine Berührungssensor verbaut. Hier ist zusätzlich eine vom Benutzer einzustellender PIN erforderlich, um die Authentifizierung bei Anmeldeprozessen zu bestätigen. Ansonsten ist der Funktionsumfang identisch und alle TrustKey Modelle werden selbstverständlich von Windows, Linux und MacOS unterstützt .

Neu! Die Windows Hello Funktion

Neu und den Modellen G310H (USB A) und G320H (USB C) vorbehalten, ist die Windows Hello Unterstützung und damit das Anmelden am Windows 10 Betriebssystem. Per Fingerabdruck erkennt Windows den Benutzer und gewährt diesem ohne jede weitere Interaktion Zugang zum Benutzerkonto bzw. Rechner.
Wie einfach und funktional diese Anwendung ist, zeigen wir ihnen auf unserem YouTube Channel.