„Unsere Spezifikationen markieren einen Wendepunkt für den Umgang mit Passwörtern und PINs“, erklärt Michael Barrett, Präsident der FIDO Alliance. „Die Pioniere der FIDO Alliance können mit Fug und Recht behaupten, die ‚Nach-Benutzername+Passwort-Ära‘ eingeläutet zu haben, die sich im Bereich der Online-Services und des E-Commerce schon deutlich bemerkbar macht.“
Laut dem Verizon-Datensicherheitsreport waren schwache oder gestohlene Anmeldedaten bei 76 Prozent der analysierten Datenschutzverletzungen ein zentraler Faktor. Auch Ponemon Research und PwC berichten, dass Umfang und Schwere der Datenmissbrauchsfälle kontinuierlich zunehmen. Im Fokus der Datenkriminalität stehen zentralisierte Datensätze mit persönlichen und sensiblen Informationen, die zugleich auch am anfälligsten für besonders massive Angriffe sind. Da die bestehenden Passwortsysteme immer neue Verlustrisiken bergen, definieren die FIDO Spezifikationen eine Reihe starker Authentifizierungsmechanismen, die offen, skalierbar und interoperabel sind und die Abhängigkeit von Ein-Faktor-Systemen wie Benutzername und Passwörtern verringern.
Die Spezifikationen stellen einen neuen Standard für Geräte, Server und Client-Software, einschließlich Browsern, Browser-Plug-Ins und nativen App-Subsystemen zur Verfügung. Auf diese Weise kann jede Website oder Cloud-Anwendung Schnittstellen mit einer großen Bandbreite existierender oder künftiger FIDO-fähiger Authentifikatoren bilden. Diese reichen von Biometrie bis zu Hardware-Token und können von privaten Anwendern, Unternehmen, Dienstleistern, Behörden sowie Organisationen genutzt werden.
Gemäß der Philosophie der FIDO Alliance werden die Spezifikationen nicht durch FIDO Mitgliedspatente eingeschränkt. Mitglieder können alle Lösungen rund um die FIDO-fähige starke Authentifizierung frei implementieren und vermarkten. Nichtmitglieder können diese Lösungen frei nutzen. Wie bereits angekündigt umfassen die aktuell verfügbaren Implementierungen Nok Nok Labs, Synaptics, Alibaba, PayPal, Samsung, Google, Yubico und Plug-Up.
Während die wichtigsten 1.0-Spezifikation bereits final vorliegen, stellt die FIDO Alliance zurzeit die Erweiterungen fertig, so dass FIDO in Kürze auch NFC- und Bluetooth-fähig sein wird. Eine kontinuierliche Weiterentwicklung der Spezifikationen auf Basis neuer Erfordernisse und/oder praktischer Erfahrungswerte gewährleistet, dass die FIDO-Standards immer die neuesten Anforderungen der Endgeräte, Online-Services und professionellen Anwender für den Einsatz in Unternehmen erfüllen.
„Dass die FIDO Alliance so schnell und mit einer solch breiten Unterstützung die vollständigen Spezifikationen entwickeln konnte zeigt, dass sie hier einen wunden Punkt getroffen haben“, erläutert Steve Wilson, Vice President und Principal Consultant bei Constellation Research. „Kein anderes Konsortium im Bereich Identitätsmanagement ist je vergleichbar schnell und mit einer so starken Vertretung durch die Dienste-Anbieter, die letztlich diese Technik einsetzen, gewachsen. Besonders beeindruckend ist der Fokus der FIDO Alliance auf die technischen Grundlagen der Authentifizierung. Die Protokolle ermöglichen es vertrauenswürdigen Client-Geräten, nur die minimal notwendigen Daten über ihre Anwender weiterzugeben. Somit sind die Spezifikationen von FIDO nicht in die undurchsichtigen Maßnahmen zu den Identitätsrichtlinien verstrickt. Es ist eine elegante Lösung und wird in Zukunft wohl einen Großteil der Komplexität aus dem Bereich des Identitätsmanagements eliminieren.“
„Dank der Entschlossenheit, guten Zusammenarbeit und des enormen Durchhaltevermögens unserer Mitglieder konnten wir diesen Meilenstein in Rekordzeit fertigstellen. Es ist gerade einmal zwei Jahre her, dass die FIDO Alliance ankündigte, offene Industriestandards für eine interoperable, datenschutzfreundliche starke Authentifizierung zu entwickeln“, sagt Brett McDowell, Executive Director der FIDO Alliance. „Zu dieser Leistung möchte ich die Mitglieder der FIDO Alliance beglückwünschen. Ich freue mich, dass wir auch 2015 und in den kommenden Jahren daran arbeiten werden, den globalen Markt mit weiterer FIDO-fähiger Funktionalität zu bereichern.“