Dank der FIDO2-Standards können sich Kunden endlich auch im Web mit biometrischen Merkmalen authentifizieren. In unserem Artikel beleuchtet das IT-Beratungsunternehmen adorsys, warum FIDO2 der Authentifizierungsstandard der Zukunft ist und warum das Herumhantieren mit Passwörtern und TANs künftig entfällt – egal, auf welchem Gerät.
adorsys bietet Plug & Play-Lösungen für alle Unternehmen, die mit Open Banking-Geschäftsmodellen Geld verdienen möchten. Banken und Drittanbieter, die die Lösungen von adorsys nutzen, sparen nicht nur jede Menge Test- und Entwicklungskosten, sondern können sichergehen, dass alle Schnittstellen den Spezifika der Berlin Group folgen. So bleibt ihnen Zeit für das Sahnehäubchen: das Entwickeln und Vorantreiben eines spannenden Open Banking-Geschäftsmodells.
Um Open Banking-Lösungen so kundenfreundlich wie möglich ausgestalten zu können, stellt adorsys in Kürze ein neues Add-on zur Verfügung, nämlich die Integration der FIDO2-Standards für die einfache Authentifizierung des Endkunden. FIDO steht für Fast Identity Online und verbessert die Sicherheit und Nutzerfreundlichkeit im Online- und Mobile Banking enorm.
Was ist FIDO2 genau?
Grundsätzlich gehen die Anwendungsbereiche von FIDO2 weit über das Banking und den Zahlungsverkehr hinaus. Bei FIDO2 handelt es sich um einen offenen und recht neuen Authentifizierungsstandard im Web (WebAuthn), hinter dem eine Allianz der Tech-Riesen steht, unter anderem Apple, Microsoft, Google, Amazon, PayPal, Mastercard und VISA. Deswegen ist FIDO2 inzwischen ein fester Bestandteil von Android, iOS, Windows und macOS sowie allen Web-Browsern und kann schon auf circa 80 % aller Endgeräte verwendet werden.
Ein Mitglied dieser internationalen Allianz ist Hanko.io, der erste europäische Anbieter einer zertifizierten FIDO-Lösung und Kooperationspartner von adorsys. Hanko.io-Gründer Felix Magedanz: „Wir bieten eine Technologie, mit der Biometrie auch auf Webseiten genutzt werden kann. Wir möchten es jedem Online-Dienst ermöglichen, die Sicherheit der Nutzerkonten nicht mehr von Passwörtern oder lästigen 2-Faktor-Verfahren abhängig zu machen.“
Bei Apps auf dem Smartphone und Tablet haben sich biometrische Verfahren wie Touch ID und Face ID längst durchgesetzt. Nur im Browser, auf Webseiten, Portalen, SaaS-Tools und Online-Shops war diese bequeme und sichere Art der Authentifizierung bisher technisch nicht möglich. Doch das ändert sich jetzt.
Warum brauchen wir einfache Authentifizierungsverfahren?
Mit Inkrafttreten der PSD2 mussten die meisten Banken ihre Verfahren zur Absicherung des Kontozugriffs an die Anforderungen der Starken Kundenauthentifizierung (SCA) anpassen. Während Transaktionen schon vorher mit einem zweiten Faktor wie einer TAN abgesichert werden mussten, ist jetzt auch der Login ins Online-Banking nur noch erlaubt, wenn sich der Kunde mit zwei Faktoren stark authentifiziert.
Bisher besteht der erste Faktor bei allen Banken aus einem Passwort/einer PIN, der zweite Faktor unterscheidet sich je nach Bank erheblich. Das ist aus Kundensicht – und damit aus Conversion-Sicht – nicht optimal. Kunden wünschen sich einheitliche, bequeme Verfahren, um sich im Internet auszuweisen. Aber auch sonst macht es wenig Sinn, jeweils eigene Verfahren zu unterhalten, schon alleine, weil Banken Personal und Dienstleister für ihre jeweiligen Lösungen vorhalten müssen.
Im Mobile Banking nutzen viele Banken bereits die biometrischen Verfahren von iOS und Android in Verbindung mit dem Faktor „Device Binding“ als zweiten Faktor, was zu deutlich mehr Nutzerfreundlichkeit und niedrigeren Abbruchquoten führt, da die Authentifizierung aus Kundensicht in nur einem einzigen Schritt erfolgt. Im Web war das bisher nicht möglich – und hier kommt der FIDO2-Standard ins Spiel: Dank des neuen Protokolls können sich Kunden nun auch im Browser schnell und sicher authentifizieren; auch hier sorgt die Kombination aus Biometrie und „Device Binding“ für einen sicheren und nahtlosen Authentifizierungsprozess.
Das FIDO2-Protokoll ermöglicht eine komplett medienbruchfreien 2-Faktor-Authentifizierung; das Einloggen in gesonderte Apps oder das Herumhantieren mit SMS-TANs entfällt komplett. In Kürze wird das Protokoll auch in den Spezifikationen der Berlin Group enthalten sein.
Die beiden größten Vorteile von FIDO2 sind:
- Mehr Sicherheit: Der FIDO2-Webstandard bringt den Faktor „Besitz“ auf die Geräte der Nutzer, durch eine standardisierte Infrastruktur für asymmetrische Kryptografie und in Verbindung mit den Biometrie-Sensoren der Geräte.
- Mehr Nutzerfreundlichkeit: Keine Passwörter mehr, sondern Touch-ID oder Face-ID, was viele Kunden schon kennen und nachweislich zu einer besseren Conversion Rate führt.
Die Anmeldung im Online-Banking kann also mit FIDO bzw. mit Unterstützung der W3C WebAuthn API deutlich verbessert, vereinfacht und sicherer gemacht werden. Anstatt Passwort und TAN nutzt der Kunde Biometrie-Schnittstellen für einen PSD2-konformen und vollständig passwortlosen Login. Um die FIDO2-Standards implementieren zu können, müssen Banken einen FIDO-Server bereithalten – diese Server werden zum Beispiel von Anbietern wie Hanko.io zur Verfügung gestellt.
Ein weiterer Vorteil von FIDO2: Der Standard ist momentan der einzige effektive Schutz vor Phishing, da der jeweilige Kunden-Schlüssel an die URL gebunden ist, unter der er erstellt wurde. Eine Nutzung auf „Fake-Seiten“ ist also technisch nicht möglich. Dadurch kann sich der Kunden entspannt zurücklehnen, während Banken sich sämtliche internen Schulungen und Prozesse zum Thema Phishing sparen.
FIDO2: Viel mehr als Online-Banking und Zahlungen
Der FIDO2-Standard sorgt auch über das Online-Banking oder die Zahlungsfreigabe hinaus für sichere, bequeme Prozesse. Man denke an Kreditverlängerungen, die durch eine nahtlose 2-Faktor-Authentifizierung komplett digital durchgeführt werden können, an den Abschluss von Baufinanzierungen, den Zugriff auf sicherheitsrelevante Dokumente oder den Zahlungsverkehr im E-Commerce. In Zeiten von Covid-19 ist es wichtiger denn je, komplett digitale Prozesse anbieten zu können, ohne durch umständliche Authentifizierungsprozesse sinkende Conversion Rates zu riskieren.
2-Faktor-Authentifizierung als Standard für alle digitale Anwendungen
In den nächsten Monaten und Jahren werden wir sehen, dass sich die 2-Faktor-Authentifizierung überall dort durchsetzen wird, wo Menschen digital belegen müssen, dass sie der sind, der sie vorgeben zu sein. Laut aktueller Studien betrug das Volumen des internationalen Markts für Identitäts- und Zugriffsmanagement im Jahr 2019 11,82 Milliarden US-Dollar und wird bis 2027 voraussichtlich 29,79 Milliarden US-Dollar erreichen. Vom Beantragen des Personalausweises über die Registrierung von Impfungen bis zum Entriegeln des Autos: Für Unternehmen ist es allerhöchste Zeit, die 2-Faktor-Authentifizierung so einheitlich und bequem wie möglich auszugestalten. Mit FIDO2 wurde hierfür der Standard gelegt.
Wer sich ansehen will, wie einfach die Authentifizierung mit FIDO2 funktioniert, oder sich für Open Banking-Geschäftsmodelle interessiert, kann sich direkt an Stefan Hamm wenden oder über die adorsys-Webseite Kontakt mit dem Team aufnehmen.
PS: adorsys hat sich in einer Umfrage von „brand eins“ und „Statista“ unter den besten Unternehmensberatern in der Kategorie „Digitalisierung“ etabliert.
