WebAuthn: Neuer Standard soll Passwörter überflüssig machen

Die FIDO Alliance und das World Wide Web Consortium (W3C) haben einen wichtigen Meilenstein in den weltweiten Bemühungen um eine einfachere und stärkere Web-Authentifizierung erreicht. Das W3C hat der Web-Authentifizierungsmethode WebAuthn den Status Kandidatenempfehlung (CR) erteilt. Damit dürfte die API bald als offizieller W3C-Standard verabschiedet werden.

Die WebAuthn-API des W3C kann in Browser und Webplattform-Infrastrukturen integriert werden und ermöglicht eine starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Website und eliminiert das Risiko, dass ein von einer Website gestohlenes Passwort verwendet werden kann. Anstatt sich mit einem Benutzernamen und Passwort zu registrieren, registriert der Benutzer einen Fingerabdruck, eine Netzhaut oder andere biometrische Daten, die in einem Smartphone gespeichert sind.

Google, Microsoft und Mozilla haben sich verpflichtet, den WebAuthn-Standard in ihren Flaggschiff-Browsern zu unterstützen und haben mit der Implementierung für Windows, Mac, Linux, Chrome OS und Android-Plattformen begonnen. Chrome 67 und Firefox 60 werden standardmäßig mit der WebAuthn-API ausgeliefert, wenn sie im Mai die stabile Version erreichen. Obwohl Safari WebAuthn derzeit nicht unterstützt, hat Apple mehrere Mitarbeiter in der Arbeitsgruppe Webauthentifizierung.

Das System basiert auf Public-Key-Kryptographie und stellt sicher, dass jeder Standort, bei dem sich ein Benutzer anmeldet, seine eigenen Schlüsselpaare hat, um das häufige Problem der Passwort-Wiederverwendung zu lösen. Sobald diese API verfügbar ist, kann eine Person eine Website besuchen, auf die Anmeldeschaltfläche klicken und dann eine Aufforderung auf einem Smartphone erhalten, sich zu registrieren. Der Registrant muss eine „Autorisierungsgeste“ angeben, die eine PIN oder ein Fingerabdruck sein kann, der dann mit diesem Konto verknüpft wird. In Zukunft kann sich der Einzelne mit der gleichen Geste wieder anmelden.

„Mit den angekündigten neuen FIDO2-Spezifikationen und der Unterstützung führender Webbrowser machen wir einen großen Schritt vorwärts, um die FIDO-Authentifizierung über alle Plattformen und Geräte hinweg allgegenwärtig zu machen“, sagte Brett McDowell, Geschäftsführer der FIDO Alliance. „Nach Jahren immer schwerwiegenderer Datenverstöße und Passwortdiebstahl ist es nun an der Zeit, dass Service Provider ihre Abhängigkeit von anfälligen Passwörtern und Einmal-Passcodes beenden und eine phishingfeste FIDO-Authentifizierung für alle Websites und Anwendungen einführen“.

„Sicherheit im Web ist seit langem ein Problem, das die vielen positiven Beiträge, die das Web zur Gesellschaft leistet, beeinträchtigt. Obwohl es viele Probleme mit der Websicherheit gibt und wir sie nicht alle beheben können, ist das Vertrauen auf Passwörter eines der schwächsten Bindeglieder. Mit den Multi-Faktor-Lösungen von WebAuthn beseitigen wir diese Schwachstelle“, sagt Jeff Jaffe, CEO des W3C. „WebAuthn wird die Art und Weise verändern, wie Menschen auf das Web zugreifen.“

Mit dem Abschluss der FIDO2-Standardisierungsbemühungen, der Förderung von WebAuthn entlang der W3C-Standards und die Verpflichtung führender Browserhersteller zur Implementierung dürfte eine neue Ära bei der Authentifizierung einleiten. Unternehmen und Online-Dienstleister, die sich und ihre Kunden vor den mit Passwörtern verbundenen Risiken schützen wollen – einschließlich Phishing, Man-in-the-Middle-Angriffen und dem Missbrauch gestohlener Zugangsdaten – können mit WebAuthn bald eine standardbasierte starke Authentifizierung einsetzen, die über den Browser oder einen externen Authentifikator funktioniert. Der Einsatz von FIDO Authentication ermöglicht es Online-Diensten, Benutzern eine Auswahl aus einem interoperablen Ökosystem von Geräten zu bieten, die sie täglich nutzen, wie Mobiltelefone und Sicherheitsschlüssel.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago