FIDO2 is een aanmeldmethode om je te kunnen registreren en inloggen op online diensten. Fido, Fast IDentity Online, is bedoeld als een vervanging van inloggen met een wachtwoord: je logt in met een gebruikersnaam en een fysieke FIDO-sleutel. Daarom wordt dit vaak gebruikt als tweede factor naast het wachtwoord.

Om deze inlogmethode te laten werken, moet de dienst eerst deze procedure ondersteunen. De standaard wordt beheerd door de FIDO Alliance en deze heeft belangrijke sectorpartners als de W3C, Intel, de GSMA, Amazon, VMware, Samsung, PayPal, Microsoft, Okta, LG, standaardeninstituut NIST en vele andere. De ondersteuning van FIDO2 is dan ook vrij breed. Onder meer grote webdiensten als Gmail, Facebook, Dropbox en Outlook ondersteunen FIDO. Een kernonderdeel van het project ken je wellicht als WebAuthn.

Voor het inloggen heb je vervolgens een fysieke sleutel nodig, bijvoorbeeld de YubiKey. Een FIDO2-sleutel staat ook wel bekend als token, autenticator of beveiligingssleutel. Dat kan een klein stukje hardware zijn die eruit ziet als een USB-stick en op deze manier sluit je hem ook aan. Er is ook hardware met een Bluetooth- of NFC-zender en die kan zo klein zijn als een euromunt.

Maar ook je eigen laptop of smartphone kan de authenticator zijn. Dat kan als je apparaat een geschikte chip heeft die als cryptografische hardware kan dienen en de authenticator van FIDO dan als software is geïmplementeerd. Dit werkt in Windows 10 sinds versie 1903, Android sinds versie 7 en bij iOS sinds 13.3.

Je kunt dit al bijna een jaar doen met Windows Hello, waar je voorheen alleen kon inloggen met een biometrische manier bij het besturingssysteem en de Microsoft-account (en daarmee diensten als de webversie van Outlook). Daarvoor had je dus eerst een gecertificeerde camera of vingerafdruksensor nodig, maar sinds 1903 kan het ook met een FIDO2-sleutel als je deze instelling kiest bij de online diensten van Microsoft.

Bij Google-diensten kun je FIDO2 gebruiken op de smartphone vanaf Android 7 (Nougat). Samen met Google Chrome of een andere geschikte app is het mogelijk om zonder wachtwoord in te loggen, maar door een bevestiging met je vingerafdruk. Je kunt dit met je smartphone testen via de site webauthn.io. Je kunt sinds augustus 2019 ook inloggen bij je Google-account met deze methode.

Apple is sinds het recente iOS 13.3 FIDO-compliant en de browser Safari ondersteunt nu inlogprocessen met zo'n fysieke sleutel. Je kon al in een bètaversie inloggen op deze manier op je iCloud.

Daarnaast zijn er veel diensten die FIDO2 als tweede factor aanbieden. Nadat je inlogt met je wachtwoord moet je dan de sleutel gebruiken - het is dus geen wachtwoordloze inlogmethode. Dit is een veel sterkere beveiliging en om die reden bieden steeds meer diensten het aan. 2FA begint zo een standaardmethode te worden en werken met FIDO is veiliger en handiger dan bijvoorbeeld 2FA via sms.

Het voordeel is dat je je persoonlijke online beveiliging enorm verhoogt met FIDO ten opzichte van het gebruiken van een wachtwoord. Het nadeel is dat je altijd je beveiligingssleutel op zak moet hebben als je ergens wilt inloggen. Om die reden is FIDO2 met de smartphone als hardwaresleutel erg makkelijk, omdat veel gebruikers die bij zich hebben.

Hoe dat inloggen in zijn werk gaat, hangt af van de WebAuthn-implementatie van de dienst waarop je wilt inloggen. Je klikt meestal je FIDO2-sleutel in een usb-poort en drukt dan op een knop om inloggen te bevestigen. Daarnaast kan het zijn dat er een pincode, wachtwoord of biometrisch gegeven vereist is. Als je een vingerafdruk of andere biometrische functie gebruikt, dan blijven deze gegevens op het apparaat bewaard.

Je kunt alleen géén reserverkopie maken van je sleutel, want kopieerbaarheid verslaat de beveiliging en de standaard sluit dit dan ook uit. Daarom is het belangrijk om een alternatieve inlogmethode te hebben. Als je je smartphone hier niet voor wilt gebruiken, kun je een sleutel aanschaffen van een fabrikant als Nitrokey UG, Solokeys of YubiKey. Die kosten ongeveer 25 euro. Let erop dat de sleutel is gecertificeerd voor FIDO2 of er in ieder geval mee werkt. Je vind mogelijk aanbiedingen van goedkope sleutels, maar die werken vaak met standaardversie 1.2.