Anleitung: CH-LOGIN - Registrierung eines FIDO Sicherheitsschlüssel als zweiter Faktor

Bild mit zwei Yubico Sicherheitsschlüssel einer mit einem USB-A und der andere mit einem USB-C Anschluss.
FIDO Sicherheitsschlüssel
Type: YubiKey 5C NFC
Type: Yubico YubiKey 5C
FIDO Sicherheitsschlüssel sind Datenträger, z. B. in Form eines USB-Sticks welche kryptografisches Material enthalten. Die FIDO Sicherheitsschlüssel müssen durch die Endbenutzer selber beschafft werden. Das Zielsystem, das ein Credential anfordert und dafür FIDO Sicherheitsschlüssel akzeptiert, verifiziert das kryptografische Material des FIDO Sicherheitsschlüssel.

Wichtig:
Der FIDO Sicherheitsschlüssel ist für den Einsatz im eGOV Kontext vorgesehen (CH-LOGIN). FIDO Sicherheitsschlüssel sind nicht dazu gedacht, diese im Enterprise Kontext zu verwenden und dürfen je nach Regelung nicht an einen Bundesclient angeschlossen werden da es sich dabei um private Hardware handelt.

eIAM unterstützt die identischen FIDO2 Sicherheitsschlüssel Typen wie AGOV für das CH-LOGIN.
Infolink: Sicherheitsschlüssel (FIDO2)

Windows Hello (Fingerabdruck, Gesichtserkennung oder PIN) kann ebenfalls als Sicherheitsschlüssel verwendet werden. Bitte beachten Sie, dass Sie sich mit einem Windows-Hello-Sicherheitsschlüssel nur auf dem Gerät anmelden können, das Sie während der Registrierung verwendet haben. Passkeys können nicht von einem Computer auf einen anderen kopiert oder verschoben werden. Bei einem Ersatz Ihres Geräts gehen somit sämtliche auf der Hardware des Geräts gespeicherten Passkeys verloren. Es werden ausserdem aus Sicherheitsgründen nur Windows Hello Passkeys akzeptiert, bei welchen Ihre Windows Installation die Windows Hello Passkeys auf der Hardware des Geräts in einem sogenannten TPM (Trusted Platform Module) speichert. Windows Versionen älter als Windows 11 erlaubten die Verwendung einer Software Lösung für Windows Hello. Bei einem Upgrade der Windows Installation von Windows 10 auf Windows 11 wird in der Regel die Software Lösung weiterverwendet und auch neu erstellte Passkeys durch die Software Lösung verwaltet.

Klicken Sie auf das Bild zum Vergrössern

Selektieren Sie unter Login & Sicherheit bei der 2FA-Verwaltung Registrieren um den FIDO Sicherheitsschlüssel als Zweitfaktor zu registrieren.


Selektieren Sie Passkey (FIDO) und drücken Sie auf Weiter.


Bitte geben Sie Ihr Passwort ein und drücken auf Weiter.

Sollten Sie Ihre Sicherheitsfragen noch nicht erfasst haben, werden Sie hier in einem zusätzlichen Zwischenschritt aufgefordert diese zu erfassen.


Um mehrere FIDO Sicherheitsschlüssel verwalten zu können, geben Sie dem FIDO Sicherheitsschlüssel, den Sie jetzt registrieren einen Namen und drücken auf Weiter.

Bemerkung: Sie können dann noch bis 3 zusätzliche FIDO Sicherheitsschlüssel hinzufügen.


Zur Registrierung Ihres FIDO Sicherheitsschlüssel drücken Sie bitte auf Start.

Bitte beachten Sie die Informationen bezüglich der Windows Hello Unterstützung als Sicherheitsschlüssel.

Die folgenden Screenshots basieren auf einem yubico Hardware FIDO Sicherheitsschlüssel.


Je nach gewähltem Browser erhalten Sie nun eine Meldung um den Sicherheitsschlüssel einzurichten, drücken Sie auf OK.


Stecken Sie den FIDO Sicherheitsschlüssel an Ihrem Gerät (z.B. Notebook) ein.

Nun werden Sie aufgefordert einen PIN als Sicherheitsschlüssel einzugeben. Drücken Sie anschliessend auf OK.


Drücken Sie nun den Knopf (blinkt) auf Ihrem FIDO Sicherheitsschlüssel.


Eine grüne Popup Meldung bestätigt Ihnen die erfolgreiche Registrierung des FIDO Sicherheitsschlüssel.


Unter der 2FA-Verwaltung sehen Sie das registrierte Gerät FIDO Sicherheitsschlüssel, wo Sie es gegebenenfalls auch wieder entfernen können.


Beim Ersten Login mit dem FIDO Sicherheitsschlüssel erhalten Sie diese Erklärung, welche Sie für zukünftige Logins mit diesem Browser ausblenden können.


Zum erfolgreichen Anmelden, drücken Sie bitte noch auf den Knopf auf Ihrem FIDO Sicherheitsschlüssel.


Wichtig:
Nach diesen Schritten entspricht Ihr Zweitfaktor noch nicht der Vertrauensstufe «Geprüft». Um dieses höhere abgeklärte Niveau (LOA3/QoA50) zu erreichen, müssen Sie Ihren Zweitfaktor mittels CH-LOGIN - Videoidentifikation (VIPS) für FIDO Sicherheitsschlüssel prüfen lassen.