WebAuthn: Neuer Standard soll Passwörter überflüssig machen

Die FIDO Alliance und das World Wide Web Consortium (W3C) haben einen wichtigen Meilenstein in den weltweiten Bemühungen um eine einfachere und stärkere Web-Authentifizierung erreicht. Das W3C hat der Web-Authentifizierungsmethode WebAuthn den Status Kandidatenempfehlung (CR) erteilt. Damit dürfte die API bald als offizieller W3C-Standard verabschiedet werden.

Die WebAuthn-API des W3C kann in Browser und Webplattform-Infrastrukturen integriert werden und ermöglicht eine starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Website und eliminiert das Risiko, dass ein von einer Website gestohlenes Passwort verwendet werden kann. Anstatt sich mit einem Benutzernamen und Passwort zu registrieren, registriert der Benutzer einen Fingerabdruck, eine Netzhaut oder andere biometrische Daten, die in einem Smartphone gespeichert sind.

Google, Microsoft und Mozilla haben sich verpflichtet, den WebAuthn-Standard in ihren Flaggschiff-Browsern zu unterstützen und haben mit der Implementierung für Windows, Mac, Linux, Chrome OS und Android-Plattformen begonnen. Chrome 67 und Firefox 60 werden standardmäßig mit der WebAuthn-API ausgeliefert, wenn sie im Mai die stabile Version erreichen. Obwohl Safari WebAuthn derzeit nicht unterstützt, hat Apple mehrere Mitarbeiter in der Arbeitsgruppe Webauthentifizierung.

Das System basiert auf Public-Key-Kryptographie und stellt sicher, dass jeder Standort, bei dem sich ein Benutzer anmeldet, seine eigenen Schlüsselpaare hat, um das häufige Problem der Passwort-Wiederverwendung zu lösen. Sobald diese API verfügbar ist, kann eine Person eine Website besuchen, auf die Anmeldeschaltfläche klicken und dann eine Aufforderung auf einem Smartphone erhalten, sich zu registrieren. Der Registrant muss eine „Autorisierungsgeste“ angeben, die eine PIN oder ein Fingerabdruck sein kann, der dann mit diesem Konto verknüpft wird. In Zukunft kann sich der Einzelne mit der gleichen Geste wieder anmelden.

„Mit den angekündigten neuen FIDO2-Spezifikationen und der Unterstützung führender Webbrowser machen wir einen großen Schritt vorwärts, um die FIDO-Authentifizierung über alle Plattformen und Geräte hinweg allgegenwärtig zu machen“, sagte Brett McDowell, Geschäftsführer der FIDO Alliance. „Nach Jahren immer schwerwiegenderer Datenverstöße und Passwortdiebstahl ist es nun an der Zeit, dass Service Provider ihre Abhängigkeit von anfälligen Passwörtern und Einmal-Passcodes beenden und eine phishingfeste FIDO-Authentifizierung für alle Websites und Anwendungen einführen“.

„Sicherheit im Web ist seit langem ein Problem, das die vielen positiven Beiträge, die das Web zur Gesellschaft leistet, beeinträchtigt. Obwohl es viele Probleme mit der Websicherheit gibt und wir sie nicht alle beheben können, ist das Vertrauen auf Passwörter eines der schwächsten Bindeglieder. Mit den Multi-Faktor-Lösungen von WebAuthn beseitigen wir diese Schwachstelle“, sagt Jeff Jaffe, CEO des W3C. „WebAuthn wird die Art und Weise verändern, wie Menschen auf das Web zugreifen.“

Mit dem Abschluss der FIDO2-Standardisierungsbemühungen, der Förderung von WebAuthn entlang der W3C-Standards und die Verpflichtung führender Browserhersteller zur Implementierung dürfte eine neue Ära bei der Authentifizierung einleiten. Unternehmen und Online-Dienstleister, die sich und ihre Kunden vor den mit Passwörtern verbundenen Risiken schützen wollen – einschließlich Phishing, Man-in-the-Middle-Angriffen und dem Missbrauch gestohlener Zugangsdaten – können mit WebAuthn bald eine standardbasierte starke Authentifizierung einsetzen, die über den Browser oder einen externen Authentifikator funktioniert. Der Einsatz von FIDO Authentication ermöglicht es Online-Diensten, Benutzern eine Auswahl aus einem interoperablen Ökosystem von Geräten zu bieten, die sie täglich nutzen, wie Mobiltelefone und Sicherheitsschlüssel.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.