Client to Authenticator Protocol

Client to Authenticator Protocol (CTAP) ist ein Standard für ein Kommunikationsprotokoll, das die Interaktion eines dezidierten Security-Token mit einem informationstechnischen Endgerät beschreibt und mit dem der Nutzer seine Zugriffsberechtigung für angemeldete Dienste mit erhöhter IT-Sicherheit nachweisen kann. Der Security-Token kann dazu über verschiedene physische Schnittstellen an das Endgerät vergebunden sein, beispielsweise kann CTAP über Universal Serial Bus (USB) oder mittels Near Field Communication (NFC) verwendet werden.

CTAP kann für Dienstprogramme oder Anwendungsprogramme eingesetzt werden und ergänzt den Web-Standard WebAuthn für Onlinedienste, Websites und Webanwendungen. Gemeinsam sind CTAP und WebAuthn die wichtigsten Komponenten des FIDO2-Projekts, welches von der FIDO-Allianz und des W3C realisiert wurde.^[1]

CTAP existiert in zwei Varianten. CTAP1 bezieht sich auf den älteren universellen zweiten Faktor U2F, und CTAP2 bezieht sich auf die Authentifikation im Rahmen des FIDO2-Standards.^[2] Darüber hinaus gibt es mit Stand Ende 2025 Erweiterung von CTAP2 welche als CTAP2.1 und CTAP2.2 bezeichnet werden und verschiedene ergänzende Funktionen wie z.B. die Verwaltung von am Security-Token gespeicherten englisch discoverable credentials bzw. Passkey erlauben.^[3]