Zum Inhalt springen

FIDO – entdeckt, erklärt

FIDO

Prüfungen nach den FIDO-Sicherheitsstandards

Authenticator und biometrische Benutzerverifizierungen sollen die Authentifizierung für User im Internet sicherer, schneller und einfacher machen – vorausgesetzt diese erfüllen selbst gewisse Sicherheitsstandards. Die FIDO-Allianz hat speziell für diese Authentifizierungslösungen offene Standards entwickelt, mit denen Hersteller deren Sicherheit objektiv belegen können.

Kontakt aufnehmen

Was ist FIDO?

Die 2013 gegründete FIDO-Allianz (Fast Identity Online) hat es sich zum Ziel gesetzt, die Online-Sicherheit durch einfachere und sicherere Verfahren der Authentifizierung maßgeblich zu verbessern. Hierfür wurden in Form von Standards Mechanismen definiert, die die Abhängigkeit von Passwörtern reduzieren und eine stärkere Authentifizierung gewährleisten sollen.

Sichere Authentifizierung

Mögliche Prüfgegenstände nach FIDO

Biometrische Komponenten

Als derzeit einziges Labor in Deutschland prüfen wir Biometrie-basierte Authentifizierungslösungen auf ihre Sicherheit. Dazu ziehen wir weltweit anerkannte Leistungsstandards für die Prüfung biometrischer Komponenten heran und führen sowohl Online-, als auch Offline-Live-Tests durch.

Authenticator

Wie gut ist der private Schlüssel auf dem Authenticator vor unerlaubten Zugriffen und Manipulationen geschützt? Dieser Frage gehen wir im Rahmen von Labor-Prüfungen intensiv nach. Im Zentrum steht dabei die Authenticator-Security, die zum Erhalt eines Zertifikates bestimmte Sicherheitsstandards erfüllen muss.

Besonderheiten von FIDO

  • Es existieren drei FIDO-Standards: FIDO UAF, FIDO U2F und FIDO 2 (WebAuthN/CTAP2)
  • Die FIDO-Standards ebnen den Weg für eine passwortlose Zukunft 

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Häufig gestellte Fragen (FAQ)

Was Sie über FIDO wissen müssen

Prüfung durch die FIDO-Allianz selbst:

Level 1:

  • Bewertung des Authenticators im Hinblick auf den Schutz vor einfachen Angriffen
  • Schutz vor Phishing, Verstößen gegen die Anmeldeinformationen des Servers und Man-in-the-Middle-Angriffen (MiTM)

Level 1+:

  • Bewertung des Authenticators im Hinblick auf den Schutz vor einfachen Angriffen
  • Nutzung von White-Box-Kryptographie und anderen Techniken, um das Betriebssystem vor Störungen zu schützen

Prüfungen durch ein akkreditiertes Sicherheitslabor wie TÜVIT:

FIDO: Level 2

  • TÜVIT-Leistungen: Designprüfung
  • Bewertung des Authenticators im Hinblick auf den Schutz vor Störungen des Geräte-Betriebssystems und gegen größere Angriffe
  • Hardware- und Software-Anforderungen: Das Gerät muss eine eingeschränkte Betriebsumgebung (ROE) unterstützen oder an sich eine eingeschränkte Betriebsumgebung sein, beispielsweise eine Trusted Execution Environment (TEE).
  • Beispiele: Apps in Kombination mit der Nutzung eines nach FIDO Level 2 zertifizierten Handys; USB-, BLE- oder NFC-Token

FIDO: Level 2+

  • TÜVIT-Leistungen: Durchführung von Penetrationstests, Berechnung des Angriffspotentials
  • Bewertung des Authenticators im Hinblick auf den Schutz vor Störungen des Geräte-Betriebssystems und gegen größere Angriffe
  • Hardware- und Software-Anforderungen: Das Gerät muss eine eingeschränkte Betriebsumgebung (ROE) unterstützen oder an sich eine eingeschränkte Betriebsumgebung sein, beispielsweise eine Trusted Execution Environment (TEE).
  • Beispiele: Apps in Kombination mit der Nutzung eines nach FIDO Level 2 zertifizierten Handys; USB-, BLE- oder NFC-Token

FIDO: Level 3

  • TÜVIT-Leistungen: Designprüfung, Durchführung von Penetrationstests, Berechnung des Angriffspotentials
  • Bewertung des Authenticators im Hinblick auf den Schutz vor erweiterten Software- und Hardwareangriffen
  • Schutz erfasster Geräte vor Angriffen auf die Platine
  • Hardware- und Software-Anforderungen: Verguss der Platine, Programmpakete liegen auf dem Speichermodul, Verschlüsselter Arbeitsspeicher (RAM)…
  • Beispiele: USB-, BLE- oder NFC-Sicherheits-Token, die entsprechende Sicherheitselemente oder andere Mittel zur Abwehr von Hardware-Angriffen nutzen

FIDO: Level 3+

  • TÜVIT-Leistungen: Designprüfung, Durchführung von Penetrationstests, Berechnung des Angriffspotentials
  • Bewertung des Authenticators im Hinblick auf den Schutz vor erweiterten Software- und Hardwareangriffen
  • Verteidigung erfasster Geräte vor Angriffen auf Chipebene
  • Hardware- und Software-Anforderungen: Schutz gegen Fehlerinjektion (Chip) und invasive Angriffe
  • Beispiele: USB-, BLE- oder NFC-Sicherheits-Token, die entsprechende Sicherheitselemente oder andere Mittel zur Abwehr von Hardware-Angriffen nutzen

Faktoren, die miteinander kombiniert werden können:

  • Wissen des Benutzers, z.B. Kennwörter oder persönliche Identifikationsnummern
  • Besitz des Benutzers, z.B. Security-Token
  • Biometrie des Benutzers, z.B. Fingerabdruck, Stimme, Aussehen

Benutzerverifikation: Faktoren, die miteinander kombiniert werden können:

  • Wissen des Benutzers, z.B. Kennwörter oder persönliche Identifikationsnummern
  • Besitz des Benutzers, z.B. Security-Token
  • Biometrie des Benutzers, z.B. Fingerabdruck, Stimme, Aussehen

Benutzerverifikation: Faktoren, die miteinander kombiniert werden können:

  • Wissen des Benutzers, z.B. Kennwörter oder persönliche Identifikationsnummern
  • Besitz des Benutzers, z.B. Security-Token
  • Biometrie des Benutzers, z.B. Fingerabdruck, Stimme, Aussehen

Noch nicht fündig geworden?

ISO 27001
Informationssicherheit für KRITIS