FIDO2 ist ein offener Standard für passwortlose und phishing-resistente Authentifizierung, entwickelt von der FIDO Alliance und dem W3C. Das Protokoll WebAuthn (Web Authentication) bildet die Browser-Schnittstelle, CTAP (Client to Authenticator Protocol) die Verbindung zum Hardware-Token.
Geräte wie YubiKey, SoloKey oder die in Smartphones eingebauten Sicherheitschips dienen als Authenticator. Bei der Registrierung wird ein kryptographisches Schlüsselpaar erzeugt — der private Schlüssel verlässt den Token nie. Phishing ist damit praktisch ausgeschlossen, weil der Token nur auf die korrekte Domain reagiert. FIDO2 wird zunehmend als stärkster zweiter Faktor empfohlen und kann langfristig Passwörter vollständig ersetzen.