Die FIDO Alliance veröffentlicht den ersten User-Experience-Leitfaden und erweitert die Spezifikationen des FIDO2-Standards, den inzwischen mehr als vier Milliarden Endgeräte sowie alle großen Browser und Betriebssysteme unterstützen. Der UX-Leitfaden wurde u.a. von Mitarbeitern von Google und Facebook entwickelt und hilft Dienstanbietern, die Implementierung von FIDO zu vereinfachen und die Akzeptanz bei den Verbrauchern zu erhöhen.
Mit den Erweiterungen adressiert FIDO die besonderen Anforderungen von Unternehmen an die Authentifizierung und das Gerätemanagement für eine schnellere und effizientere Implementierung. Durch die Neuerungen können Dienstanbieter und Unternehmen den Benutzern noch einfacher eine simple, Phishing-sichere und datenschutzfreundliche Anmeldung anbieten.
„Für jeden Dienstanbieter ist es heute ein wichtiges Ziel, die Abhängigkeit von Passwörtern abzuschaffen. Das gilt sowohl, um einen nahtloseren und dennoch sicheren Zugang für Verbraucher zu ermöglichen, als auch um die zunehmenden Angriffe auf Mitarbeiter im Homeoffice und die eigene Unternehmensinfrastruktur zu verhindern,“ sagt Andrew Shikiar, Executive Director der FIDO Alliance.
„Unser erster UX-Leitfaden und die FIDO2-Erweiterungen geben Verbrauchern und Unternehmen die Werkzeuge, die Sicherheit und einen Leitfaden für eine einfache, sichere und passwortlose Zukunft.“
UX-Leitfaden erhöht Verbraucher-Akzeptanz der FIDO-Authentifizierung
Praktisch jedes moderne Endgerät und jeder Browser unterstützt mittlerweile die FIDO-Authentifizierung. Verbraucher können dadurch dieselbe Technologie nutzen, die sie zum Entsperren ihres Geräts verwenden (z.B. einen Fingerabdruck oder Gesichtsscan), um sich auf sichere und private Weise bei Online-Diensten anzumelden.
Gleichzeitig hat eine wachsende Zahl von großen Dienstleistern und Finanzinstituten die FIDO-Authentifizierung bereits integriert. Mit dem UX-Leitfaden hat die FIDO Alliance eine Reihe von Best Practices erstellt, mit denen Dienstanbieter ihre Kunden bestärken können, sich mit der FIDO-Authentifizierung auf dem Desktop anzumelden. In Zukunft sollen mit dem UX-Leitfaden auch noch weitere Anwendungsfälle adressiert werden.
Der Leitfaden basiert auf den Ergebnissen vieler Sitzungen moderierter und unmoderierter Verbraucherforschung, die vom externen Forschungsunternehmen Blink UX in Zusammenarbeit mit UX- und Designexperten von Mitgliedsunternehmen der FIDO Alliance durchgeführt wurden – u.a. Bank of America, eBay, Facebook, Google, IBM, Intuit, JP Morgan Chase Bank, Microsoft, Trusona, Visa und Wells Fargo.
Erweiterungen des FIDO-Standards fördern passwortlose Anwendungen im Unternehmen
Die Erweiterungen der FIDO2-Spezifikationen enthalten mehrere neue Funktionen, die für passwortlose Implementierungen im Unternehmen und andere komplexe Sicherheitsanwendungen hilfreich sein werden. Beide FIDO2-Spezifikationen wurden kürzlich von ihren Gremien aktualisiert – das World Wide Web Consortium (W3C) genehmigte WebAuthn Level 2 und die FIDO Alliance das Client to Authenticator Protocol (CTAP) 2.1.
Der Schlüssel zu diesen Erweiterungen ist die Enterprise-Attestierung, die es den Administratoren vereinfacht, die FIDO-Authentifikatoren der Mitarbeiter zu verwalten. Administratoren können damit Authentifikatoren schon vor der Registrierung sicher mit einem Konto verknüpfen, die Nutzung nachverfolgen sowie Berechtigungsnachweise, PINs und die biometrische Registrierung der Anwender verwalten.
Weitere Neuerungen umfassen die Unterstützung für Cross-Origin iFrames und Apple-Attestierungen sowie Verbesserungen für Resident Credentials. Weitere Details zu diesen und anderen Erweiterungen der FIDO-Spezifikation sind in diesem Blogbeitrag zu finden.