Client to Authenticator Protocol (CTAP) ist ein Standard für ein Kommunikationsprotokoll, das die Interaktion eines dezidierten Security-Token mit einem informationstechnischen Endgerät beschreibt und mit dem der Nutzer seine Zugriffsberechtigung für angemeldete Dienste mit erhöhter IT-Sicherheit nachweisen kann. Der Security-Token kann dazu über verschiedene physische Schnittstellen an das Endgerät vergebunden sein, beispielsweise kann CTAP über Universal Serial Bus (USB) oder mittels Near Field Communication (NFC) verwendet werden.

CTAP kann für Dienstprogramme oder Anwendungsprogramme eingesetzt werden und ergänzt den Web-Standard WebAuthn für Onlinedienste, Websites und Webanwendungen. Gemeinsam sind CTAP und WebAuthn die wichtigsten Komponenten des FIDO2-Projekts, welches von der FIDO-Allianz und des W3C realisiert wurde.^[1]

CTAP existiert in zwei Varianten. CTAP1 bezieht sich auf den älteren universellen zweiten Faktor U2F, und CTAP2 bezieht sich auf die Authentifikation im Rahmen des FIDO2-Standards.^[2] Darüber hinaus gibt es mit Stand Ende 2025 Erweiterung von CTAP2, welche als CTAP2.1 und CTAP2.2 bezeichnet werden und verschiedene ergänzende Funktionen wie z. B. die Verwaltung von am Security-Token gespeicherten englisch discoverable credentials bzw. Passkey erlauben.^[3]

• Client to Authenticator Protocol (CTAP), vorgeschlagener Standard vom 30. Januar 2019

1. ↑ FIDO Authentication - A Passwordless Vision. FIDO Alliance, abgerufen am 25. November 2025. 
2. ↑ FIDO 2.0: Client To Authenticator Protocol, FIDO-Allianz, 4. Oktober 2017, abgerufen am 28. Januar 2020
3. ↑ CTAP 2.1 Feature Reference: Enterprise Authentication and Credential Management. Yubico, abgerufen am 25. November 2025.