Was kommt nach FIDO 2
Dass FIDO 2 ein relativ junger Standard ist, zeigt sich auch an den „Kinderkrankheiten“: FIDO 2 integriert viele Komponenten, an deren Entwicklung zahlreiche Unternehmen und Organisationen arbeiten – seien es Authentifizierungsdienste, Browser, Betriebssysteme, Hardware zur Verarbeitung biometrischer Daten oder SecurityToken. Daraus ergibt sich eine riesige Anzahl möglicher Kombinationen von Software und Hardware. Bis sie alle einwandfrei zusammenspielen, werden noch ein paar Jahre vergehen, und die Anbieter müssen in der Zwischenzeit immer wieder nachjustieren.
Eine momentan noch bestehende Schwäche ist etwa, dass WebAuthn bis auf Weiteres keine TransaktionsSignaturen unterstützt. Die zukünftigen Spezifikationen werden zwar diskutiert, sind aber noch weit davon entfernt, in den Standard aufgenommen zu werden. Gerade die Transaktions-Signaturen ermöglichen jedoch viele spannende Use-Cases, da kritische Geschäftsvorgänge (Geldüberweisungen, GDPR Consent, Adressänderungen etc.) damit zusätzlich abgesichert werden können. Als Alternative steht die Transaktionsbestätigung nach dem etablierten Standard FIDO UAF zur Verfügung, welcher gleichzeitig zwei weitere Vorteile mit sich bringt: Zum einen wurde FIDO UAF primär für den Einsatz im Mobilbereich konzipiert und ermöglicht daher eine sehr benutzerfreundliche Umsetzung des „Phone-as-a-Token“-Prinzips. Zum zweiten haben Hersteller bei der Verwendung von FIDO UAF eine bessere Kontrolle über die End-to-End-Lösung, da sie auf deutlich weniger Drittkomponenten zurückgreifen müssen.