Was ist FIDO2 und wie funktioniert es? Das Protokoll hinter YubiKey erklärt
FIDO2 ist ein offener Authentifizierungsstandard basierend auf Public-Key-Kryptografie, entwickelt, um den Passwortgebrauch zu eliminieren und Phishing praktisch nutzlos zu machen. Es ist das Protokoll, das YubiKey, Passkeys und biometrische Authentifizierung auf deinem Smartphone zum Laufen bringt. In diesem Beitrag erklären wir, wie es technisch funktioniert – ohne dass du Entwickler sein musst, um es zu verstehen.
Wie funktioniert FIDO2 technisch?
FIDO2 basiert auf einem Paar kryptografischer Schlüssel: einem öffentlichen und einem privaten. Der private Schlüssel verlässt nie das Gerät – weder wird er über das Internet versendet noch auf einem Server gespeichert. Das ist das, was FIDO2 grundlegend anders macht als ein Passwort.
🔐 Das Schlüsselpaar erklärt
Privater Schlüssel: wird generiert und bleibt in deiner YubiKey oder deinem Gerät. Wird nie zu irgendeinem Ort übertragen.
Öffentlicher Schlüssel: wird an den Dienst (Google, GitHub, deine Bank) gesendet, wenn du den Schlüssel registrierst. Der Dienst speichert ihn, um zukünftige Authentifizierungen zu verifizieren.
Ergebnis: auch wenn der Server des Dienstes gehackt wird, erlaubt der öffentliche Schlüssel allein niemanden, auf dein Konto zuzugreifen.
Der Prozess hat zwei verschiedene Phasen:
Wenn du FIDO2 bei einem Dienst aktivierst, generiert dein Gerät ein neues Schlüsselpaar speziell für diese Website. Der öffentliche Schlüssel wird versendet und auf dem Server gespeichert; der private bleibt in deiner YubiKey.
Jedes Mal, wenn du dich anmeldest, sendet der Dienst eine kryptografische Herausforderung. Dein Gerät signiert sie mit dem privaten Schlüssel und sendet die Signatur zurück. Der Server verifiziert die Signatur mit dem öffentlichen Schlüssel, den er bereits gespeichert hat. Wenn sie übereinstimmt, loggst du dich ein.
Es wird nie ein Passwort oder ein wiederverwendbarer geheimer Daten übertragen – nur eine Signatur, die für diesen spezifischen Anmeldeversuch gültig ist.
FIDO2 vs U2F vs WebAuthn – sind sie gleich?
Die drei Begriffe sind verwandt, aber nicht exakt gleichbedeutend:
| Protokoll | Was es ist |
|---|---|
| U2F | Das ursprüngliche Protokoll von Yubico und Google (2014). Funktionierte nur als zweiter Faktor – du brauchtest Passwort + Schlüssel. |
| WebAuthn | Der Web-Standard (W3C), der definiert, wie Browser mit Authentifizierungsgeräten kommunizieren. Es ist die "API", die Websites verwenden. |
| FIDO2 | Das komplette Set: beinhaltet WebAuthn plus das CTAP-Protokoll (wie der Browser mit deiner YubiKey spricht). Ermöglicht passwortloses Login, nicht nur als zweiter Faktor. |
In der Praxis bedeutet "FIDO2" bei einer modernen YubiKey, dass sie mit WebAuthn kompatibel ist und sowohl als zweiter Faktor (wie U2F) als auch als vollständige passwortlose Anmeldemethode verwendet werden kann.
Warum FIDO2 phishingresistent ist
Der Grund, warum FIDO2 Phishing stoppt, ist nicht nur, dass es Kryptografie verwendet – es beinhaltet Domain-Verifizierung (Origin Binding). Wenn du deinen Schlüssel auf einer Website registrierst, ist dieser Schlüssel exakt an diese Domain gebunden.
⚠️ Was mit einer gefälschten Website passiert
Wenn jemand eine identische Website deiner Bank mit einer anderen Domain erstellt (z.B. "bank-sicher.com" statt "bank.com"), antwortet deine YubiKey einfach nicht. Der Schlüssel verifiziert die Domain, bevor er etwas signiert – wenn sie nicht übereinstimmt, ist keine Authentifizierung möglich. Das ist das, was traditionelles Phishing gegen FIDO2 nutzlos macht: du kannst nicht mal versehentlich deine Anmeldedaten auf der falschen Website eingeben, weil es keine Anmeldedaten zu geben gibt.
Das ist der grundlegende Unterschied zu 2FA per SMS oder Authentifizierungs-Apps: diese Methoden generieren einen Code, den du kopierst und einfügst – und dieser Code kann gestohlen oder auf der falschen Website eingegeben werden. FIDO2 eliminiert diesen Schritt vollständig.
Welche Geräte unterstützen FIDO2?
FIDO2 ist nicht exklusiv für YubiKey. Dies sind die häufigsten Geräte, die es unterstützen:
YubiKey, Google Titan und andere FIDO2-zertifizierte USB/NFC-Schlüssel. Die sicherste Option, weil der private Schlüssel in einem dedizierten, vom Rest des Systems isolierten Chip lebt.
Face ID, Fingerabdruck auf Android oder iPhone. Das Telefon selbst fungiert als FIDO2-Authentifizierer und nutzt seinen integrierten Sicherheitschip.
Gesichtserkennung oder Fingerabdruck auf Laptops mit Windows. Funktioniert als in das Betriebssystem integrierter FIDO2-Authentifizierer.
Wenn du besser verstehen möchtest, was ein solcher Schlüssel physisch ist, schau dir unseren Leitfaden zu was ein Sicherheitsschlüssel ist und wie er funktioniert an.
FIDO2 und Passkeys – sind sie gleich?
Nicht genau, aber sie sind direkt miteinander verbunden. Ein Passkey ist eine FIDO2-Anmeldedaten – er nutzt das gleiche Public-Key/Private-Key-Protokoll darunter. Der Unterschied liegt in der Implementierung und Benutzererfahrung:
🔄 Die Beziehung zwischen beiden
FIDO2: das technische Protokoll – wie Schlüssel generiert und verifiziert werden.
Passkey: der Handelsname, den Apple, Google und Microsoft für FIDO2-Anmeldedaten verwenden, die sich zudem über die Cloud zwischen deinen Geräten synchronisieren (iCloud Keychain, Google Password Manager).
Eine YubiKey kann auch Passkeys speichern – der Unterschied ist, dass der private Schlüssel bei der physischen Schüssel nicht auf irgendwo synchronisiert wird, er bleibt physisch auf dem Gerät.
Häufig gestellte Fragen
Funktioniert FIDO2 ohne Internet?
Der kryptografische Signaturprozess erfolgt lokal auf deinem Gerät, ohne Verbindung. Aber um die Anmeldung abzuschließen, brauchst du Verbindung mit dem Dienst, bei dem du dich authentifizierst – die Herausforderung und die Signaturverifizierung erfordern tatsächlich Kommunikation mit dem Server.
Kann ich keinen Zugriff auf meine Konten bekommen, wenn ich meinen FIDO2-Schlüssel verliere?
Wenn du nur einen Schlüssel registriert hast und keine alternative Methode eingerichtet hast, ja. Deshalb wird empfohlen, bei jedem Dienst, den du mit FIDO2 nutzt, immer einen zweiten Backup-Schlüssel zu registrieren.
Unterstützen alle Browser FIDO2?
Ja. Chrome, Firefox, Edge und Safari unterstützen seit mehreren Jahren nativ WebAuthn/FIDO2. Du musst keine zusätzliche Erweiterung installieren.
Ersetzt FIDO2 das Passwort vollständig?
Es kann. Wenn ein Dienst FIDO2 als vollständige Anmeldemethode implementiert (nicht nur als zusätzlicher 2FA), kannst du dich anmelden, ohne ein Passwort zu schreiben – nur mit deinem Schlüssel oder deiner Biometrie. Viele Dienste bieten es noch nur als zusätzlicher 2FA zum Passwort an.
Fazit
FIDO2 ist kein technischer Trend – es ist der echte Wandel, wie wir uns authentifizieren
Im Gegensatz zu Passwörtern oder SMS-Codes eliminiert FIDO2 den geheimen Daten, der über das Internet versendet wird. Es gibt nichts, das ein Angreifer auf einem Server stehlen oder während der Übertragung abfangen kann, was ihm hilft, auf dein Konto zuzugreifen.
Das Protokoll zu verstehen ist nicht erforderlich, um es zu nutzen – aber es hilft zu verstehen, warum eine YubiKey eine echte Sicherheitsinvestition ist, nicht nur ein weiteres Gadget.
KÖNNTE DICH INTERESSIEREN
Welche YubiKey sollte ich je nach meinem Gerät kaufen? Vollständiger Leitfaden 2026
