Sicherheitsschlüssel (FIDO2)
Sicherheitsschlüssel sind kryptografisch gesicherte Zugangsdaten. AGOV erlaubt ausschliesslich solche mit unauslesbarer Hardwarebindung. Eine Registrierung des Sicherheitsschlüssels für das Eröffnen eines AGOV-Kontos, ist nicht erforderlich. Die Speicherung erfolgt entweder auf einem Zusatzgerät (z. B. einem FIDO2-USB-Stick) oder als sogenannte hardwaregebundene Passkeys auf dem Sicherheitschip des Endgeräts. Solche Sicherheitsschlüssel können über den WebAuthn-Standard zur sicheren Anmeldung in Webapplikationen verwendet werden.Allgemeine Informationen
Was heisst FIDO und wo werden FIDO-Sicherheitsschlüssel eingesetzt? ▼FIDO steht für Fast IDentity Online. Es handelt sich um mehrere offene, lizenzfreie Standards und Protokolle der FIDO Alliance zur sicheren und benutzerfreundlicheren Authentifizierung im Internet. Es gibt verschiedene Implementierungen von FIDO, darunter FIDO U2F (Universal Second Factor) und FIDO2, die in modernen Webbrowsern und Plattformen weit verbreitet sind. Mithilfe der Protokolle ist eine passwortlose, phishing-resistente Zwei-Faktor-Authentifizierung basierend auf der Public-Key-Kryptografie möglich.
Wenn Sie ohne Smartphone mit AGOV arbeiten wollen oder müssen, sind Sicherheitsschlüssel die Alternative zur AGOV access App. Dies gilt auch für Personen, deren Smartphones die AGOV access App nicht unterstützen (falsches Betriebssystem, veraltetes Gerät, Hardware ohne Sicherheitselemente, unzulässig verändert durch Rooting oder Jailbreak).
AGOV verwendet Sicherheitsschlüssel als sehr sichere Zwei-Faktor-Authentifizierung. Der physische Schlüssel ist dabei der erste Faktor, während der PIN oder die biometrische Überprüfung den zweiten Faktor für die Schlüsselverwendung darstellt. Zusätzlich empfehlen wir allen Nutzern der AGOV access App, einen Sicherheitsschlüssel mit ihrem AGOV-Konto zu verbinden. Dies können Sie auf der Seite tun. Dadurch sichern Sie sich den Zugang zu AGOV, falls Sie den Recovery-Code verlieren und Ihr Smartphone defekt ist oder verloren geht oder falls ein Smartphone-Wechsel nicht korrekt durchgeführt wurde (die einfache Übertragung der App reicht hierfür nicht aus, bitte konsultieren Sie die Tipps für AGOV-Nutzende). Selbst wenn Sie im Besitz des Recovery-Codes sind, sind zusätzliche Loginfaktoren wie Sicherheitsschlüssel nützlich, da eine erneute Identitätsprüfung in AGOV erforderlich ist, wenn nur der Recovery-Code verwendet wird.
AGOV stellt hohe Anforderungen an die Sicherheit der Authentifizierung - insbesondere beim Zugriff auf behördliche Online-Dienste mit hohem Schutzbedarf. Für Anmeldungen auf dem der Sicherheitsstufe «hoch» (Level of Assurance 3, LOA3) gelten verbindliche Vorgaben gemäss der IKT-Vorgabe Si001 – IKT-Grundschutz in der Bundesverwaltung.
- Warum reicht ein FIDO2-Sicherheitsschlüssel Level-1 nicht aus?
FIDO2 Level 1 erlaubt auch rein softwarebasierte Authentikatoren oder Geräte ohne spezifischen Hardwareschutz. Diese bieten einen gewissen Grundschutz, jedoch keinen überprüften Schutz gegen Angriffe im selben Systemkontext (z. B. auf einem kompromittierten Betriebssystem). AGOV verlangt gemäss den IKT-Vorgaben explizit nach zertifiziertem Hardwareschutz, wie ihn FIDO2 Level 2 oder höher bietet. - Warum reicht ein FIDO2-Sicherheitsschlüssel Level-1 nicht aus?
FIDO2 Level 1 erlaubt auch rein softwarebasierte Authentikatoren oder Geräte ohne spezifischen Hardwareschutz. Diese bieten einen gewissen Grundschutz, jedoch keinen überprüften Schutz gegen Angriffe im selben Systemkontext (z. B. auf einem kompromittierten Betriebssystem). AGOV verlangt gemäss den IKT-Vorgaben explizit nach zertifiziertem Hardwareschutz, wie ihn FIDO2 Level 2 oder höher bietet. - Was gilt für Open-Source-Sicherheitsschlüssel ohne Zertifizierung?
Sicherheitsschlüssel wie der Nitrokey 3A mini können technisch hohe Sicherheitsstandards erfüllen, doch ohne formale Zertifizierung fehlt der verbindliche Nachweis. Für AGOV ist die FIDO-Zertifizierung eine Voraussetzung, da sie die Einhaltung der Sicherheitsanforderungen nachvollziehbar und einheitlich dokumentiert. Nicht zertifiziert bedeutet nicht automatisch unsicher, aber nicht zertifiziert heisst: nicht geprüft nach den für AGOV verbindlichen Kriterien.
| Kriterium | FIDO2 Level 1 | FIDO2 Level 2 (AGOV-Anforderung) |
|---|---|---|
| Schutz der Authentifizierungsdaten | optional / softwarebasiert | Hardwaregestützt (Secure Element) |
| Zertifizierung nach FIDO2 | ja, Basislevel | ja, mit erweitertem Schutzprofil |
| Zulassung in AGOV | nein | ja |
Passkeys sind eine moderne und sichere Methode zur passwortlosen Anmeldung, bei der ein kryptografischer Schlüssel auf dem Gerät gespeichert wird.
Aus Sicherheits- und regulatorischen Gründen erlaubt AGOV jedoch ausschliesslich kryptografische Schlüssel, die lokal auf einem Sicherheitschip* gespeichert sind, zum Beispiel auf einem FIDO2-Sicherheitsschlüssel oder direkt auf dem Gerät.
Passkeys, die über Cloud-Dienste wie iCloud oder Google zwischen mehreren Geräten synchronisiert werden, gelten als weniger vertrauenswürdig, da sie potenziell exportiert werden können. Um die Herkunft und Integrität der Schlüssel jederzeit sicherzustellen, akzeptiert AGOV daher nur hardwaregebundene Schlüssel, die nicht übertragbar, nicht exportierbar und nicht synchronisierbar sind. Die AGOV access App sowie die swiyu App für die Schweizer e-ID erfüllen diese Anforderungen bereits vollständig.
Sicherheitsschlüssel (FIDO2) werden durch die Endbenutzer im Elektronikhandel selber beschafft. Je nach Hersteller und Ausprägung (Anschlussart, PIN, biometrisch) kosten diese zwischen 20 und 120.- CHF.
Apple erfüllt die FIDO2/WebAuthn-Standards nur dort, wo es in ihr Ökosystem passt.
In der Praxis führt das zu Inkompatibilitäten oder Einschränkungen, insbesondere bei Nutzung von Hardware oder Browsern von Drittanbietern. Formell hält Apple sich an die Standards aber nicht mit der Offenheit oder Tiefe wie z. B. Microsoft oder Linux.
Empfehlungen für den Alltag, einschliesslich AGOV:
Um sich mit einem FIDO2-Sicherheitsschlüssel auf einem macOS-Computer bei agov.ch anzumelden, empfehlen wir Ihnen die Verwendung von Google Chrome (oder Microsoft Edge) auf Ihrem Mac. Diese Browser unterstützen die FIDO2/WebAuthn-Technologie am zuverlässigsten – insbesondere in Verbindung mit USB-Sicherheitsschlüsseln oder Touch ID. Firefox wird nicht empfohlen, da es bei der Verwendung von FIDO2 auf macOS zu Einschränkungen oder Fehlfunktionen kommen kann. Auch Safari bietet nur eingeschränkte Unterstützung.
Verwenden Sie daher bevorzugt Chrome für die Registrierung und Anmeldung mit FIDO2 auf agov.ch.
Sicherheitsschlüssel, die in AGOV eingesetzt werden können
Liste der kompatiblen Sicherheitsschlüssel, die in AGOV verwendet werden können. ▼Alle Sicherheitsschlüssel (FIDO2), die mit den folgenden Filterkriterien angezeigt werden, sind AGOV-kompatibel:
- Protocol = fido2
- Certification = FIDO_CERTIFIED_L2
- Key Protection = hardware
➪ FIDO MDS Explorer (opotonniee.github.io
Haftungsausschluss:
Die aufgelisteten FIDO2-Sicherheitsschlüssel sollten mit AGOV kompatibel sein, wurden aber nicht getestet. Die einwandfreie Funktion von ungeprüften FIDO2-kompatiblen Sicherheitsschlüsseln kann nicht garantiert werden.
Nachfolgend finden Sie eine Liste von FIDO2-Sicherheitsschlüsseln, die bisher erfolgreich mit AGOV getestet wurden.
- Token2 T2F2-NFC-Slim
Token2 T2F2-NFC-Slim
PRODUKTBEZEICHNUNG: Token2 T2F2-PIN+ NFC-Slim
SCHUTZ: Integrierte Berührungstaste mit PIN
ANSCHLUSSMÖGLICHKEITEN: NFC, USB-A / USB Typ-C
PREIS: CHF ca. 21.00
UNTERSTÜTZT: FIDO2/WebAuthn, U2F und TOTP/HOTP
folgendes ein: «Token2 T2F2-PIN+ NFC-Slim»
- Token2 T2F2-Bio2
Token2 T2F2-Bio2
PRODUKTBEZEICHNUNG: Token2 T2F2-Bio2
SCHUTZ: Fingerabdruck-Lesegerät mit PIN
ANSCHLUSSMÖGLICHKEITEN: USB-A / USB-C
PREIS: CHF 36.00
UNTERSTÜTZT: FIDO2/WebAuthn, U2F und TOTP (mit companion app)
folgendes ein: «Token2 T2F2-Bio2»
- Identiv uTrust FIDO2 NFC
Identiv uTrust FIDO2 NFC
PRODUKTBEZEICHNUNG: Identiv uTrust FIDO2 NFC
SCHUTZ: Integrierte Berührungstaste mit PIN
ANSCHLUSSMÖGLICHKEITEN: NFC / USB-A / USB-C
PREIS: CHF 36.00
UNTERSTÜTZT: FIDO2/WebAuthn, U2F und TOTP/HOTP
folgendes ein: «Identiv uTrust FIDO2 NFC»
- Swissbit iShield Key (FIDO2 / Pro)
Swissbit iShield Key (FIDO2 / Pro)
PRODUKTBEZEICHNUNG: Swissbit iShield Key (FIDO2 / Pro)
SCHUTZ: Integrierte Berührungstaste mit PIN
ANSCHLUSSMÖGLICHKEITEN: NFC / USB-A / USB-C
PREIS: CHF 52.00 - 85.00
UNTERSTÜTZT: FIDO2/WebAuthn, U2F, TOTP/HOTP und PIV (Pro Version)
folgendes ein: «Swissbit iShield Key»
- YubiKey Security Key Series
YubiKey Security Key Series
PRODUKTBEZEICHNUNG: YubiKey Security Key Series
SCHUTZ: Integrierte Berührungstaste mit PIN
ANSCHLUSSMÖGLICHKEITEN: NFC / USB-A / USB-C
PREIS: CHF ca. 35.00 - 65.00
UNTERSTÜTZT: FIDO2/WebAuthn und U2F
folgendes ein: «YubiKey Security Key Series»
- YubiKey Bio Serie
YubiKey Bio Serie
PRODUKTBEZEICHNUNG: YubiKey Bio Serie
SCHUTZ: Fingerabdruck-Lesegerät mit PIN
ANSCHLUSSMÖGLICHKEITEN: USB-A / USB-C
PREIS: CHF 100.00 - 120.00
UNTERSTÜTZT: FIDO2/WebAuthn und U2F
folgendes ein: «YubiKey Bio Serie»
- Cryptnox FIDO2 Card
FIDO2 Smartcard
PRODUKTBEZEICHNUNG: Cryptnox FIDO2 Card
SCHUTZ: PIN
ANSCHLUSSMÖGLICHKEITEN: Smartcard-Leser / NFC
PREIS: CHF ca. 40.00
UNTERSTÜTZT: FIDO2/WebAuthn, U2F und RFID Mifare Desfire EV2 4K
folgendes ein: «Cryptnox FIDO2 Card». Cryptnox bietet eine FIDO2 Card Manager
App für das iPhone an.
Wichtiger Hinweis:
Haben Sie für Ihr AGOV-Login keinen Loginfaktor mehr, z. B. aufgrund von Verlust oder Defekt, verlieren Sie sämtliche Zugriffe über AGOV und müssen eine aufwändige Wiederherstellung in AGOV durchlaufen. Vermeiden Sie diesen Fall, indem Sie zusätzlich ein oder mehrere Mobilgeräte mit der AGOV access App oder einen weiteren Sicherheitsschlüssel (FIDO2) in Ihrem AGOV-Konto registrieren.