• IT-Karriere:
  • Services:

Webauthn - der Standard für passwortloses Anmelden

Die Taste auf dem Security Key drücken und eine kurze vierstellige PIN eingeben und schon können Nutzer auf ihre E-Mails, Dokumente oder den Social-Media-Account zugreifen. Einen Benutzernamen oder ein Passwort braucht es nicht. Ermöglicht wird dies durch die kürzlich verabschiedete Webauthn-Schnittstelle beziehungsweise den dahinterstehenden Standard Fido2. Dessen Vorgänger ermöglicht die universelle Zwei-Faktor-Authentifizierung (U2F). Beide Standards stammen von der Fido-Allianz, einem Zusammenschluss namhafter Firmen, darunter Google, Microsoft, Lenovo und Samsung, die gemeinsam an einfachen und sicheren Authentifizierungsstandards arbeiten. Beide setzen auf Public-Key-Kryptographie für den zweiten Faktor beziehungsweise das passwortlose Anmelden. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Stellenmarkt
  1. DMK E-BUSINESS GmbH, Berlin, Potsdam
  2. Hays AG, München

Wir wollen uns passwortlos mit den Security Keys anmelden, allerdings unterstützen nur die Solokeys sowie der Yubico Security Key den neuen Fido2-Standard respektive dessen Webauthn-Schnittstelle - nur mit ihnen ist passwortloses Anmelden möglich. Googles Titan und der Nitrokey unterstützen passwortloses Anmelden nicht.

Passwortlos geht nur mit Microsoft

Nach langer Suche finden wir einen Dienst, der das passwortlose Anmelden unterstützt. Unter login.live.com, der zentralen Login-Seite für Microsofts Online-Dienste wie Outlook, Office 365 oder Onedrive, können wir uns mit einem Fido2-Stick passwortlos anmelden. Allerdings ausschließlich unter Windows 10 ab der Version 1809 sowie mit Microsofts Browser Edge. Firefox und Chrome/Chromium unterstützen dies noch nicht.

Wir aktualisieren das Windows 10 auf unserem Testrechner auf Version 1809. Nachdem sich Windows ausgiebig aktualisiert hat, registrieren wir ein Testkonto bei Microsoft und hinterlegen unter Sicherheit/weitere Einstellungen/Security Key unsere beiden Fido2-Sticks. Beim Hinterlegen wird nach einer PIN gefragt. Diese muss nicht lang sein, da sie auf dem Stick gespeichert wird. Sie soll im Falle eines Verlusts oder Diebstahl davor schützen, dass sich Fremde mit dem Stick in die Konten des Eigentümers einloggen. Ein Brute-Force-Angriff, also das Durchprobieren aller Kombinationen, wäre aufwendig, da der Stick nur wenige Versuche erlaubt und anschließend aus- und wieder eingesteckt werden muss.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Sowohl mit den Solokeys als auch mit dem Security Key von Yubico funktioniert das Hinterlegen und anschließend das passwortlose Anmelden bei unserem Microsoft-Konto einwandfrei. Im Test hinterlegen wir mehrere Sticks, was auch im Alltag durchaus sinnvoll ist: Geht ein Stick kaputt oder verloren, können wir uns weiterhin passwortlos mit dem anderen Stick anmelden. Der verlorene oder kaputte Stick kann gelöscht und ein neuer hinterlegt werden.

Nur mit Passwort: Titan und Nitrokey

Googles Titan und der Nitrokey Fido U2F folgen noch dem älteren Fido-Standard und ermöglichen kein passwortloses Anmelden. Der Fido2-Standard ist jedoch abwärtskompatibel: Die Sticks können auch weiterhin für eine Zwei-Faktor-Authentifizierung verwendet werden. An Fido2 werde derzeit gearbeitet, sagte Jan Suhr, CEO von Nitrokey. Er solle im Laufe des Jahres erscheinen.

Wahrscheinlich werden in nicht allzu ferner Zukunft mehr Dienste Webauthn unterstützen. Erst kürzlich hat Google bekanntgegeben, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Damit unterstützen neben den Fido2-Sticks auch Millionen Smartphones Zwei-Faktor-Authentifizierung und passwortloses Anmelden.

Open oder Closed Source

Sowohl die Solokeys als auch die Nitrokeys werben mit offener Hard- und Software. Die entsprechenden Pläne liegen auf Github. Auf den Solokeys lässt sich zudem die Firmware aktualisieren. Der Fido2-Nitrokey ist zwar noch nicht erschienen, soll allerdings ebenfalls eine Aktualisierung der Firmware ermöglichen.

Die Firmware des Titan Security Keys hat Google selbst entwickelt und fest in den Stick integriert, aktualisieren lässt sie sich nicht. Der Stick stammt von der Firma Feitian, die vergleichbare Produkte vertreibt. Auch die Firmware von Yubicos Security Key lässt sich nicht aktualisieren. Der Quellcode sowie die Hardware sind bei beiden Sticks nicht öffentlich verfügbar.

Neben den Fido-Standards und der Offenheit unterscheiden sich die Security Keys auch in der Verfügbarkeit sowie im Preis.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Zweiter Faktor auf KnopfdruckVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 13,49€
  2. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)
  3. für PC, PS4/PS5, Xbox und Switch

Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.


Folgen Sie uns
       


Dias scannen mit Digitdia 7000 ausprobiert

Der Diascanner ist laut, aber nützlich.

Dias scannen mit Digitdia 7000 ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /