Warum U2F wichtig ist: Wie es funktioniert und warum Sie es brauchen.

FIDO U2F ist wichtig, um Ihren Authentifizierungsprozess zu sichern. Es schützt Ihr Konto vor böswilliger Übernahme, einschließlich Phishing. Stellen Sie sicher, dass Sie nie den Zugang zu Ihrer Online-Identität verlieren!

Warum U2F wichtig ist: Schütze deine Anmeldedaten!

Als Sicherheitsexperten empfehlen wir, dass Sie Ihre Konten mit der Zwei-Faktor-Authentifizierung U2F schützen. Sie benutzen einen Schlüssel, um Ihre Haustür oder Ihr Auto abzuschließen. Genauso müssen Sie einen Schlüssel verwenden, um Ihre Online-Konten abzuschließen, da diese genauso wertvoll sind und genauso viel Schutz benötigen. Die Sicherung Ihrer digitalen Konten mit einem U2F-Hardwareschlüssel ist die sicherste Option, um Ihre Anmeldedaten zu schützen! In diesem Beitrag erklären wir, warum U2F wichtig ist und wie es funktioniert.


FIDO U2F erklärt

tl;dr: U2F ist wichtig, da es die sicherste Option zum Schutz Ihrer Konten ist. Aktivieren Sie es, wo immer möglich.

Tatsächlich ist U2F so wichtig, dass jeder E-Mail-Dienst es unterstützen sollte.

Der Grund dafür ist einfach: Ihr E-Mail-Konto ist das Tor zu Ihrer Online-Identität. Dienste wie Amazon, Twitter, PayPal und andere sind mit Ihrem E-Mail-Konto verknüpft, und die Passwörter zu diesen Diensten können leicht zurückgesetzt werden, wenn ein böswilliger Angreifer Zugang zu Ihrem Postfach erhalten hat.

Genau davor schützt Sie FIDO U2F. Wenn Sie es für Ihr E-Mail-Konto, z. B. bei Tutanota, aktivieren, wird es für böswillige Angreifer nahezu unmöglich sein, Ihr Postfach zu übernehmen.

Was ist FIDO U2F (Universal 2nd Factor)? - Die Definition

U2F ist ein offener Authentifizierungsstandard, der einen Schlüssel für mehrere Dienste verwendet. Er vereinfacht und erhöht die Sicherheit von 2FA (Zwei-Faktor-Authentifizierung), da keine Treiber oder Client-Software benötigt wird.

Die universelle Zwei-Faktor-Authentifizierung bezieht sich auf ein separates Gerät, das einen geheimen, zusätzlichen Schlüssel enthält, der für die Anmeldung bei Ihren digitalen Konten erforderlich ist. Anstatt einen bestimmten Code (OTP) einzugeben, müssen Sie nur ein Gerät als zweiten Faktor anschließen.

U2F vs 2FA

U2F ist nicht dasselbe wie 2FA: 2FA ist eine Zwei-Faktor-Authentifizierung, die alle Methoden für den zweiten Faktor umfasst (SMS, TOTP, U2F und mehr). U2F ist eine Möglichkeit von vielen, die Zwei-Faktor-Authentifizierung einzurichten - allerdings die sicherste!

Was sind die Vorteile von U2F?

  1. Schnelle Authentifizierung: Geringere Zeit für die Authentifizierung
  2. Starke Sicherheit: Keine Kontoübernahmen, wenn vollständig implementiert
  3. Mehrere Auswahlmöglichkeiten: Zugang zu fast 1.000 Anwendungen und Diensten

Was sind die Nachteile?

Es gibt einen wesentlichen Nachteil von U2F-Lösungen im Vergleich zu TOTP (das ein gemeinsames Geheimnis verwendet): Bei U2F gibt es keine Möglichkeit, Wiederherstellungscodes von gemeinsam genutzten Geheimnissen zu sichern.

Wenn ein Hardwareschlüssel verloren geht, ist es nicht mehr möglich, sich bei den Diensten und Anwendungen anzumelden, die ursprünglich mit diesem Hardwareschlüssel gesichert waren. Daher bieten die meisten Dienste eine Möglichkeit, die Anmeldedaten zurückzusetzen, um den Zugang wiederherzustellen.

Tutanota bietet zum Beispiel einen Wiederherstellungscode an, der zusammen mit dem richtigen Passwort eingegeben werden muss, um einen verlorenen U2F-Hardwareschlüssel zurückzusetzen (in diesem Fall: zu entfernen). Außerdem ist es in Tutanota möglich, mehrere Hardwareschlüssel zu registrieren. Geht ein Schlüssel verloren, kann sich der Benutzer immer noch mit einem der anderen registrierten U2F-Schlüssel anmelden.

Warum ist U2F wichtig?

Zwei-Faktor-Authentifizierung in Tutanota. Zwei-Faktor-Authentifizierung in Tutanota.

U2F Sicherheit

U2F - Second-Factor-Authentifizierung mit einem Hardware-Sicherheitsschlüssel - ist die sicherste Methode, um Ihre Online-Konten vor bösartigen Angriffen zu schützen.

Sie ist auch sicherer als die Second-Factor-Authentifizierung per OTP oder TOTP, weshalb wir von Tutanota dringend empfehlen, einen Hardware-Schlüssel zu aktivieren, um Ihre verschlüsselte Mailbox zu schützen.

Wie schützt U2F vor Phishing?

U2F sichert Ihre Anmeldedaten so ab, dass niemand Ihre Konten übernehmen kann - auch nicht nach einem erfolgreichen Phishing-Angriff.

Phishing-E-Mails werden immer raffinierter, was das Risiko, auf solche Angriffe hereinzufallen, erhöht. Der Absender der Phishing-E-Mail versucht in der Regel, Sie dazu zu bringen, auf einen Link zu klicken, über den Sie Ihr Passwort eingeben sollen. Sollte dies geschehen, kann der Angreifer Ihr Passwort leicht stehlen und Ihr Konto übernehmen.

Wenn jedoch ein zweiter Faktor wie U2F auf Ihrem Konto aktiviert wurde, ist das Passwort für den Angreifer nutzlos und Ihr Konto ist sicher.

Darüber hinaus ist eine U2F-aktivierte Benutzeranmeldung an den Ursprung gebunden, d. h. nur die echte Website kann sich mit dem Schlüssel (zweiter Faktor) authentifizieren. Die Authentifizierung schlägt auf jeder gefälschten Phishing-Website fehl, selbst wenn der Benutzer sie für echt gehalten hat.

Warum sollten Sie einen zweiten Faktor aktivieren?

  1. U2F erhöht den Schutz Ihrer Konten (z. B. E-Mail, Drive, Konten in sozialen Medien).
  2. U2F ist die sicherste Version der Zwei-Faktoren-Authentifizierung.
  3. Ein U2F-Gerät erstellt einen kryptografischen Schlüssel, um Ihr Konto zu entsperren.
  4. Phishing-Angriffe werden mit U2F nahezu unmöglich.

Wie funktioniert U2F?

Für den Nutzer ist U2F ganz einfach. Sie können denselben U2F-Hardwareschlüssel für alle Ihre Konten aktivieren, z. B. bei Tutanota, Amazon oder Twitter. Wenn Sie sich anmelden, geben Sie Ihren Benutzernamen und Ihr Passwort ein und müssen dann nur noch den USB-ähnlichen Hardwareschlüssel in Ihr Gerät stecken und antippen, um den Authentifizierungsprozess abzuschließen.

Technisch gesehen ist der Vorgang viel komplexer. Die Fido Alliance erklärt den Prozess wie folgt:

“Das U2F-Gerät und -Protokoll müssen den Datenschutz und die Sicherheit des Benutzers gewährleisten. Im Kern des Protokolls verfügt das U2F-Gerät über eine Fähigkeit (idealerweise in einem sicheren Element), die ein herkunftsspezifisches öffentliches/privates Schlüsselpaar erzeugt. Das U2F-Gerät gibt den öffentlichen Schlüssel und ein Schlüsselhandle während der Benutzerregistrierung an den ursprünglichen Online-Dienst oder die Website weiter.

”Später, wenn der Benutzer eine Authentifizierung durchführt, sendet der ursprüngliche Online-Dienst oder die Website den Key Handle über den Browser an das U2F-Gerät zurück. Das U2F-Gerät verwendet den Key Handle, um den privaten Schlüssel des Benutzers zu identifizieren, und erstellt eine Signatur, die an den Ursprung zurückgeschickt wird, um das Vorhandensein des U2F-Geräts zu verifizieren. Der Key Handle ist also einfach ein Identifikator für einen bestimmten Schlüssel auf dem U2F-Gerät."

"Das vom U2F-Gerät während der Registrierung erzeugte Schlüsselpaar ist herkunftsspezifisch. Während der Registrierung sendet der Browser dem U2F-Gerät einen Hash des Ursprungs (Kombination aus Protokoll, Hostname und Port). Das U2F-Gerät sendet einen öffentlichen Schlüssel und ein Schlüsselhandle zurück. Sehr wichtig ist, dass das U2F-Gerät die anfragende Herkunft im Key Handle kodiert."

"Später, wenn der Benutzer versucht, sich zu authentifizieren, sendet der Server das Schlüsselhandle des Benutzers zurück an den Browser. Der Browser sendet dieses Schlüsselhandle und den Hash des Ursprungs, der die Authentifizierung anfordert. Das U2F-Gerät vergewissert sich, dass es diesen Key Handle an diesen bestimmten Ursprungs-Hash ausgegeben hat, bevor es einen Signiervorgang durchführt. Bei einer Nichtübereinstimmung wird keine Signatur zurückgegeben. Diese Herkunftsprüfung stellt sicher, dass die öffentlichen Schlüssel und Key Handles, die von einem U2F-Gerät an einen bestimmten Online-Dienst oder eine bestimmte Website ausgegeben wurden, nicht von einem anderen Online-Dienst oder einer anderen Website (d. h. einer Website mit einem anderen Namen in einem gültigen SSL-Zertifikat) verwendet werden können. Dies ist eine kritische Datenschutzeigenschaft - vorausgesetzt, der Browser funktioniert wie er soll, kann eine Website die Identität mit dem U2F-Gerät eines Benutzers nur mit einem Schlüssel verifizieren, der von diesem bestimmten U2F-Gerät an diese bestimmte Website ausgestellt wurde. Wäre diese Herkunftsprüfung nicht vorhanden, könnten ein öffentlicher Schlüssel und ein Key Handle, die von einem U2F-Gerät ausgestellt wurden, als ‘Supercookie’ verwendet werden, der es mehreren konspirierenden Websites ermöglicht, die Identität eines bestimmten Benutzers eindeutig zu überprüfen und zuzuordnen."

"Der Benutzer kann dasselbe Gerät auf mehreren Websites verwenden - es dient somit als physischer Web-Schlüsselbund des Benutzers mit mehreren (virtuellen) Schlüsseln für verschiedene Websites, die von einem physischen Gerät aus bereitgestellt werden. Durch die Verwendung des offenen U2F-Standards kann jeder beliebige Browser (oder jedes Betriebssystem) mit U2F-Unterstützung mit jedem U2F-kompatiblen Gerät des Nutzers kommunizieren, um eine starke Authentifizierung zu ermöglichen.”


Geschichte

Universal 2nd Factor (U2F) ist ein offener Standard, der die Zwei-Faktor-Authentifizierung (2FA) mit speziellen Universal Serial Bus (USB)- oder Near Field Communication (NFC)-Geräten stärkt und vereinfacht. Nachfolger ist das FIDO2-Projekt, das den W3C-Standard für Web-Authentifizierung (WebAuthn) und das Client to Authenticator Protocol 2 (CTAP2) der FIDO Alliance umfasst.

Ursprünglich wurde der Standard von Google und Yubico unter Mitwirkung von NXP Semiconductors entwickelt, wird aber jetzt von der FIDO Alliance allein verwaltet.

Eine Liste aller Dienste, die U2F-Schlüssel unterstützen, finden Sie hier.

Ziel: Starke Authentifizierung und Datenschutz für das Web

Das U2F-Ökosystem wurde entwickelt, um eine starke Authentifizierung für Benutzer im Internet zu ermöglichen und gleichzeitig die Privatsphäre des Benutzers zu schützen.

Der Benutzer trägt ein “U2F-Gerät” als zweiten Faktor bei sich, mit dem er sich bei seinen Online-Konten anmeldet. Auf diese Weise können diese Konten sicher gehalten werden, auch vor Phishing-Angriffen.

U2F-Hardwareschlüssel sind eine große Errungenschaft, da sie dafür sorgen, dass Menschen und ihre Online-Konten im Internet sicher sind.


Vergleich der verschiedenen Optionen für die Zwei-Faktor-Authentifizierung (2FA)

Sicherheitsgerät: U2F

  • Sicherste Option
  • Der private Schlüssel wird lokal auf dem U2F-Gerät gespeichert
  • Garantiert Schutz gegen Man-in-the-Middle-Angriffe (MITM) und Phishing
  • Erfordert ein Hardware-Gerät
  • Keine manuelle Eingabe erforderlich

Authenticator-App: TOTP

  • Eine App generiert Codes, die nur für einen kurzen Zeitraum gültig sind (Google Authenticator, Authy, etc.)
  • Manuelle Eingabe bei jeder Anmeldung erforderlich
  • Erfordert kein Hardware-Gerät
  • Schützt die Anmeldung auf dem mobilen Gerät nicht, da die App auf dem mobilen Gerät einen zweiten Faktor generiert

Authenticator-App: HOTP

  • Eine App generiert Codes, die für immer gültig sind (Google Authenticator, Authy, etc.)
  • Codes müssen sicher gespeichert werden
  • Manuelle Eingabe bei jeder Anmeldung erforderlich
  • Erfordert kein Hardware-Gerät
  • Die Anmeldung über ein mobiles Gerät ist nicht geschützt, da die App auf dem mobilen Gerät einen zweiten Faktor erzeugt

SMS-Code

  • Code wird per SMS verschickt
  • Manuelle Eingabe bei jeder Anmeldung erforderlich
  • Am wenigsten sicher, da SMS leicht abgefangen werden können
  • Erfordert kein Hardware-Gerät
  • Schützt die Anmeldung über ein mobiles Gerät nicht, da die SMS auf dem mobilen Gerät einen zweiten Faktor enthält