Ziel der FIDO Allianz ist es, die Abhängigkeit von Passwörtern in mobilen und Online-Anwendungen zu verringern, indem ein sicheres, standardisiertes und interoperables Authentifizierungs-Ökosystem auf der Grundlage öffentlicher Verschlüsselungsschlüssel angeboten wird. Die FIDO hat ein Zertifizierungssystem entwickelt, um die Entwicklung und Einführung neuer Authentifizierungslösungen zu unterstützen und es den Nutzern zu ermöglichen, auf einfache Weise die Lösungen zu identifizieren, die das höchste Maß an Qualität und Vertrauen bieten.
Die FIDO-Zertifizierung ermöglicht es, die Sicherheit und Interoperabilität einer Authentifizierungslösung zu bewerten. Die verschiedenen Zertifizierungsstufen bauen aufeinander auf und kumulieren die Anforderungen. Derzeit können Produkte nach den ersten beiden Stufen bewertet werden, wobei weitere Stufen in der Entwicklung sind, die strengere Sicherheitsanforderungen beinhalten werden.
Applus+ Laboratories ist eines der wenigen Labore, die von der FIDO Alliance für die Durchführung von Sicherheitsbewertungen von Authentifizierungssystemen akkreditiert sind.
Mobile Zahlungs-Apps
Mobile Dienste stehen in einem ständigen Spannungsverhältnis zwischen schnellem und einfachem Zugang und robuster Authentifizierungssicherheit. FIDO zielt darauf ab, dies umzukehren und die Online-Sicherheit zu einem einfacheren und besseren Benutzererlebnis zu machen, während gleichzeitig eine stärkere Sicherheit geboten und Risiken reduziert werden.
Banken und Zahlungsverkehrsdienstleister entwickeln die Bereitstellung von Online- und mobilen Diensten weiter, tauschen aber ständig den schnellen und einfachen Zugang gegen die Sicherheit einer robusten Authentifizierung aus. FIDO zielt darauf ab, dies zu ändern und die Online-Sicherheit zu einem einfacheren und besseren Benutzererlebnis zu machen, während gleichzeitig die Sicherheit erhöht und die Risiken reduziert werden.
Für die FIDO-Zertifizierung auf L2 und höher müssen Sie den Schutz des FIDO-Authentifikators gegen einfache und skalierbare Angriffe bewerten. Diese Bewertung muss von einem FIDO-akkreditierten Sicherheitslabor durchgeführt werden.
TEE
Ab L3 erfordern Authentifikatoren die Verwendung einer Art von sicherem Element zum Schutz der Assets.
TEE bietet ein gewisses Maß an Schutz gegen Softwareangriffe, die im mobilen Betriebssystem generiert werden, und hilft bei der Kontrolle der Zugriffsrechte. Erreicht wird dies durch die Unterbringung sensibler, „vertrauenswürdiger“ Anwendungen, die vom mobilen Betriebssystem und eventuell vorhandener bösartiger Malware isoliert und geschützt werden müssen. TEE eignet sich auch gut für die Unterstützung biometrischer Identifizierungsmethoden (Gesichtserkennung, Fingerabdrucksensor und Sprachautorisierung), die einfacher zu verwenden und schwieriger zu stehlen sind als PINs und Passwörter.
Diese Eigenschaften machen TEE zu einer gut geeigneten Lösung, um den FIDO-Authentifikatoren zusätzliche Sicherheit zu verleihen. Für die FIDO-Zertifizierung auf L2 und höher müssen Sie den Schutz des FIDO-Authentifikators gegen einfache und skalierbare Angriffe bewerten. Diese Bewertung muss von einem FIDO-akkreditierten Sicherheitslabor durchgeführt werden.
Biometrische Daten
FIDO stützt sich in der Regel auf biometrische Authentifizierungsmechanismen, um die Identität der Benutzer zu verifizieren. Biometrie wird in FIDO auch häufig als Authentifizierungsmechanismus für den Zugriff auf oder die Nutzung von Daten aus einem sicheren Element wie dem TEE verwendet.
Diese biometrischen Authentifizierungsmechanismen sind Teil der Authentifikatoren und werden als solche auch in die Bewertung einbezogen. Für die FIDO-Zertifizierung auf L2 und höher ist es erforderlich, den Schutz des FIDO-Authentifikators gegen einfache und skalierbare Angriffe zu bewerten. Diese Bewertung muss von einem FIDO-akkreditierten Sicherheitslabor durchgeführt werden.
Hinweis: Da Applus+ Laboratories von mehreren Evaluierungs- und Zertifizierungssystemen als Drittlabor akkreditiert ist und um seine Unparteilichkeit zu garantieren, sind die Ingenieure von Applus+ niemals in die eigentliche Produktentwicklung oder Lösungsimplementierung involviert.
Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.
They allow the operation of the website, loading media content and its security. See the cookies we store in our Cookies Policy.
They allow us to know how you interact with the website, the number of visits in the different sections and to create statistics to improve our business practices. See the cookies we store in our Cookies Policy.