WebAuthn: Neuer Standard soll Passwörter überflüssig machen

Die FIDO Alliance und das World Wide Web Consortium (W3C) haben einen wichtigen Meilenstein in den weltweiten Bemühungen um eine einfachere und stärkere Web-Authentifizierung erreicht. Das W3C hat der Web-Authentifizierungsmethode WebAuthn den Status Kandidatenempfehlung (CR) erteilt. Damit dürfte die API bald als offizieller W3C-Standard verabschiedet werden.

Die WebAuthn-API des W3C kann in Browser und Webplattform-Infrastrukturen integriert werden und ermöglicht eine starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Website und eliminiert das Risiko, dass ein von einer Website gestohlenes Passwort verwendet werden kann. Anstatt sich mit einem Benutzernamen und Passwort zu registrieren, registriert der Benutzer einen Fingerabdruck, eine Netzhaut oder andere biometrische Daten, die in einem Smartphone gespeichert sind.

Google, Microsoft und Mozilla haben sich verpflichtet, den WebAuthn-Standard in ihren Flaggschiff-Browsern zu unterstützen und haben mit der Implementierung für Windows, Mac, Linux, Chrome OS und Android-Plattformen begonnen. Chrome 67 und Firefox 60 werden standardmäßig mit der WebAuthn-API ausgeliefert, wenn sie im Mai die stabile Version erreichen. Obwohl Safari WebAuthn derzeit nicht unterstützt, hat Apple mehrere Mitarbeiter in der Arbeitsgruppe Webauthentifizierung.

Das System basiert auf Public-Key-Kryptographie und stellt sicher, dass jeder Standort, bei dem sich ein Benutzer anmeldet, seine eigenen Schlüsselpaare hat, um das häufige Problem der Passwort-Wiederverwendung zu lösen. Sobald diese API verfügbar ist, kann eine Person eine Website besuchen, auf die Anmeldeschaltfläche klicken und dann eine Aufforderung auf einem Smartphone erhalten, sich zu registrieren. Der Registrant muss eine „Autorisierungsgeste“ angeben, die eine PIN oder ein Fingerabdruck sein kann, der dann mit diesem Konto verknüpft wird. In Zukunft kann sich der Einzelne mit der gleichen Geste wieder anmelden.

„Mit den angekündigten neuen FIDO2-Spezifikationen und der Unterstützung führender Webbrowser machen wir einen großen Schritt vorwärts, um die FIDO-Authentifizierung über alle Plattformen und Geräte hinweg allgegenwärtig zu machen“, sagte Brett McDowell, Geschäftsführer der FIDO Alliance. „Nach Jahren immer schwerwiegenderer Datenverstöße und Passwortdiebstahl ist es nun an der Zeit, dass Service Provider ihre Abhängigkeit von anfälligen Passwörtern und Einmal-Passcodes beenden und eine phishingfeste FIDO-Authentifizierung für alle Websites und Anwendungen einführen“.

„Sicherheit im Web ist seit langem ein Problem, das die vielen positiven Beiträge, die das Web zur Gesellschaft leistet, beeinträchtigt. Obwohl es viele Probleme mit der Websicherheit gibt und wir sie nicht alle beheben können, ist das Vertrauen auf Passwörter eines der schwächsten Bindeglieder. Mit den Multi-Faktor-Lösungen von WebAuthn beseitigen wir diese Schwachstelle“, sagt Jeff Jaffe, CEO des W3C. „WebAuthn wird die Art und Weise verändern, wie Menschen auf das Web zugreifen.“

Mit dem Abschluss der FIDO2-Standardisierungsbemühungen, der Förderung von WebAuthn entlang der W3C-Standards und die Verpflichtung führender Browserhersteller zur Implementierung dürfte eine neue Ära bei der Authentifizierung einleiten. Unternehmen und Online-Dienstleister, die sich und ihre Kunden vor den mit Passwörtern verbundenen Risiken schützen wollen – einschließlich Phishing, Man-in-the-Middle-Angriffen und dem Missbrauch gestohlener Zugangsdaten – können mit WebAuthn bald eine standardbasierte starke Authentifizierung einsetzen, die über den Browser oder einen externen Authentifikator funktioniert. Der Einsatz von FIDO Authentication ermöglicht es Online-Diensten, Benutzern eine Auswahl aus einem interoperablen Ökosystem von Geräten zu bieten, die sie täglich nutzen, wie Mobiltelefone und Sicherheitsschlüssel.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

17 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

21 Stunden ago