WebAuthn: Neuer Standard soll Passwörter überflüssig machen

Die FIDO Alliance und das World Wide Web Consortium (W3C) haben einen wichtigen Meilenstein in den weltweiten Bemühungen um eine einfachere und stärkere Web-Authentifizierung erreicht. Das W3C hat der Web-Authentifizierungsmethode WebAuthn den Status Kandidatenempfehlung (CR) erteilt. Damit dürfte die API bald als offizieller W3C-Standard verabschiedet werden.

Die WebAuthn-API des W3C kann in Browser und Webplattform-Infrastrukturen integriert werden und ermöglicht eine starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Website und eliminiert das Risiko, dass ein von einer Website gestohlenes Passwort verwendet werden kann. Anstatt sich mit einem Benutzernamen und Passwort zu registrieren, registriert der Benutzer einen Fingerabdruck, eine Netzhaut oder andere biometrische Daten, die in einem Smartphone gespeichert sind.

Google, Microsoft und Mozilla haben sich verpflichtet, den WebAuthn-Standard in ihren Flaggschiff-Browsern zu unterstützen und haben mit der Implementierung für Windows, Mac, Linux, Chrome OS und Android-Plattformen begonnen. Chrome 67 und Firefox 60 werden standardmäßig mit der WebAuthn-API ausgeliefert, wenn sie im Mai die stabile Version erreichen. Obwohl Safari WebAuthn derzeit nicht unterstützt, hat Apple mehrere Mitarbeiter in der Arbeitsgruppe Webauthentifizierung.

Das System basiert auf Public-Key-Kryptographie und stellt sicher, dass jeder Standort, bei dem sich ein Benutzer anmeldet, seine eigenen Schlüsselpaare hat, um das häufige Problem der Passwort-Wiederverwendung zu lösen. Sobald diese API verfügbar ist, kann eine Person eine Website besuchen, auf die Anmeldeschaltfläche klicken und dann eine Aufforderung auf einem Smartphone erhalten, sich zu registrieren. Der Registrant muss eine „Autorisierungsgeste“ angeben, die eine PIN oder ein Fingerabdruck sein kann, der dann mit diesem Konto verknüpft wird. In Zukunft kann sich der Einzelne mit der gleichen Geste wieder anmelden.

„Mit den angekündigten neuen FIDO2-Spezifikationen und der Unterstützung führender Webbrowser machen wir einen großen Schritt vorwärts, um die FIDO-Authentifizierung über alle Plattformen und Geräte hinweg allgegenwärtig zu machen“, sagte Brett McDowell, Geschäftsführer der FIDO Alliance. „Nach Jahren immer schwerwiegenderer Datenverstöße und Passwortdiebstahl ist es nun an der Zeit, dass Service Provider ihre Abhängigkeit von anfälligen Passwörtern und Einmal-Passcodes beenden und eine phishingfeste FIDO-Authentifizierung für alle Websites und Anwendungen einführen“.

„Sicherheit im Web ist seit langem ein Problem, das die vielen positiven Beiträge, die das Web zur Gesellschaft leistet, beeinträchtigt. Obwohl es viele Probleme mit der Websicherheit gibt und wir sie nicht alle beheben können, ist das Vertrauen auf Passwörter eines der schwächsten Bindeglieder. Mit den Multi-Faktor-Lösungen von WebAuthn beseitigen wir diese Schwachstelle“, sagt Jeff Jaffe, CEO des W3C. „WebAuthn wird die Art und Weise verändern, wie Menschen auf das Web zugreifen.“

Mit dem Abschluss der FIDO2-Standardisierungsbemühungen, der Förderung von WebAuthn entlang der W3C-Standards und die Verpflichtung führender Browserhersteller zur Implementierung dürfte eine neue Ära bei der Authentifizierung einleiten. Unternehmen und Online-Dienstleister, die sich und ihre Kunden vor den mit Passwörtern verbundenen Risiken schützen wollen – einschließlich Phishing, Man-in-the-Middle-Angriffen und dem Missbrauch gestohlener Zugangsdaten – können mit WebAuthn bald eine standardbasierte starke Authentifizierung einsetzen, die über den Browser oder einen externen Authentifikator funktioniert. Der Einsatz von FIDO Authentication ermöglicht es Online-Diensten, Benutzern eine Auswahl aus einem interoperablen Ökosystem von Geräten zu bieten, die sie täglich nutzen, wie Mobiltelefone und Sicherheitsschlüssel.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

11 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago