FIDO: 2-Faktor-Authentisierung für die Massen [Sponsored Talk]

Regelmäßig werden neue Lecks in Nutzerdatenbanken bekannt. Spätestens seitdem das NIST sich als Urheber der Empfehlung komplexer Passwortregeln entschuldigt, das all dies die Probleme nicht gebessert hat, ist es Zeit dem klassischen Passwort allein "Leb wohl" zu sagen.

Egal wie kompliziert oder lang das Passwort ist, sobald es einmal in einer zurückrechenbaren Form an die Öffentlichkeit gelangt ist, ist es verbrannt. Anwender neigen außerdem dazu komplizierte Passwörter bei mehreren Diensten gleichzeitig zu verwenden.

Das führt dazu, dass ein Datenreichtum bei der Konkurrenz die eigenen Nutzer kompromittiert. Um dem vorzubeugen, sind die jeweiligen Dienste gefragt dem Benutzer Mittel und Wege an die Hand zu geben sich selbst und somit auch das wechselseitige Vertrauen zu schützen.

Schon heute erlauben Anbieter wie Google, Github, Dropbox, Facebook und Dashlane die Verwendung von FIDO Tokens zur Absicherung des eigenen Accounts. Das Passwort wird hierbei nicht ersatzlos gestrichen aber durch ein Stück "Haben" auf Benutzerseite ergänzt.

Im Vortrag wird Christian Kahlo das FIDO-U2F-Protokoll erläutern, die aktuelle Unterstützung beleuchten und Wege zur Integration in Enterprise-Applikationenaufzeigen.

Vorkenntnisse

* Fragestellungen der Benutzerauthentifizierung sollten bekannt sein
* Beispiele sind clientseitig in JavaScript, serverseitig in Java, aber auch für .NET-, Node.js- u.a. Entwickler leicht verständlich
* Für den schnellen Selbstversuch ein Android-Handy mit installiertem Google Authenticator (keine Einrichtung von Konten notwendig)

Lernziele

* Hintergründe von FIDO, Funktionsweise, richtiger Einsatz
* Verständnis für die 2-Faktor-Authentisierung und verbundene Prozesse
* Umsetzbarkeit in eigenen Projekten