Standard für passwortloses Anmelden wurde verabschiedet

Ohne Passwort anmelden soll jetzt mit dem Webauthn-Standard möglich werden.
Die Technik steht bereit und soll das Anmelden nicht nur sicherer, sondern auch komfortabler machen.

Bei Webauthn kommt statt des Passworts Public-Key-Kryptografie zum Einsatz.
Ähnlich wie bei PGP oder SSH werden öffentliche und private Schlüssel generiert.
Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der
Nutzer einloggen, schickt der Dienst eine Challenge an ihn, mit der er beweist, dass er
im Besitz des privaten Schlüssels ist – ohne dass der private Schlüssel das Gerät verlässt.
Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft,
ob der Einloggende auch wirklich im Besitz des privaten Schlüssels ist. Trotz Kritik an den
teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das
System deutlich sicherer als Passwörter – und kann in der Handhabung für den Nutzer angenehmer sein.

Ein sicheres, langes, individuelles Passwort soll es sein – oder auch nicht. Die Web
Authentication API (Webauthn) ermöglicht den Login auf Webseiten ganz ohne Passwort.
Der Standard wurde am 4. März vom World Wide Web Consortium (W3C) verabschiedet.
Diese hatte den Standard gemeinsam mit der Fido-Allianz entwickelt – einem
Zusammenschluss namhafter Firmen wie Google, Microsoft, Lenovo, Samsung und vielen
anderen, die einen einfachen und sicheren Authentifizierungsstandard schaffen wollen.
Der Standard soll Passwörter nicht nur obsolet machen, sondern das Anmelden auf Internetseiten
soll auch sicherer und komfortabler werden.

Ein Zusätzlicher Schutz durch PIN oder Biometrie

Zusätzlich kann der private Schlüssel durch einen PIN oder Biometrie wie Fingerabdruck oder
Gesicht geschützt werden. Der Schutz findet auf dem Gerät des Nutzers statt, beispielsweise mit
einer im Fido2-Stick hinterlegten PIN oder per Gesichtserkennung in Windows Hello. Das Verfahren
wird Multi-Faktor-Authentifizierung genannt und gilt als besonders sicher.

Neben dem passwortlosen Anmelden lässt sich über den Standard auch
Zwei-Faktor-Authentifizierung realisieren. Beispielsweise unterstützen die Fido-Sticks von
Yubico oder Nitrokey den Fido1- oder Fido2-Standard, bei welchem
neben Benutzername und Passwort ebenfalls Public-Key-Kryptografie als zweiter Faktor zum Einsatz kommt.

Die komplette Technik steht schon bereit

Die Browser Firefox, Chrome/Chromium und Edge unterstützen Webauthn bereits.
Auch unter Windows 10 und Android kann Webauthn verwendet werden. Erst kürzlich gab
Google bekannt, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses
Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update
der Google Play Services bereitgestellt. Millionen Geräte, die das passwortlose
Login unterstützen, stehen mit Verabschiedung des Standards bereit.

 

    Do NOT follow this link or you will be banned from the site!