Abo
  • IT-Karriere:

Webauthn - der Standard für passwortloses Anmelden

Die Taste auf dem Security Key drücken und eine kurze vierstellige PIN eingeben und schon können Nutzer auf ihre E-Mails, Dokumente oder den Social-Media-Account zugreifen. Einen Benutzernamen oder ein Passwort braucht es nicht. Ermöglicht wird dies durch die kürzlich verabschiedete Webauthn-Schnittstelle beziehungsweise den dahinterstehenden Standard Fido2. Dessen Vorgänger ermöglicht die universelle Zwei-Faktor-Authentifizierung (U2F). Beide Standards stammen von der Fido-Allianz, einem Zusammenschluss namhafter Firmen, darunter Google, Microsoft, Lenovo und Samsung, die gemeinsam an einfachen und sicheren Authentifizierungsstandards arbeiten. Beide setzen auf Public-Key-Kryptographie für den zweiten Faktor beziehungsweise das passwortlose Anmelden. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Stellenmarkt
  1. Topos Personalberatung Hamburg, Nordrhein-Westfalen
  2. Computacenter AG & Co. oHG, Stuttgart, Berlin, Ratingen

Wir wollen uns passwortlos mit den Security Keys anmelden, allerdings unterstützen nur die Solokeys sowie der Yubico Security Key den neuen Fido2-Standard respektive dessen Webauthn-Schnittstelle - nur mit ihnen ist passwortloses Anmelden möglich. Googles Titan und der Nitrokey unterstützen passwortloses Anmelden nicht.

Passwortlos geht nur mit Microsoft

Nach langer Suche finden wir einen Dienst, der das passwortlose Anmelden unterstützt. Unter accounts.microsoft.com, der zentralen Login-Seite für Microsofts Online-Dienste wie Outlook, Office 365 oder Onedrive, können wir uns mit einem Fido2-Stick passwortlos anmelden. Allerdings ausschließlich unter Windows 10 ab der Version 1809 sowie mit Microsofts Browser Edge. Firefox und Chrome/Chromium unterstützen dies noch nicht.

Wir aktualisieren das Windows 10 auf unserem Testrechner auf Version 1809. Nachdem sich Windows ausgiebig aktualisiert hat, registrieren wir ein Testkonto bei Microsoft und hinterlegen unter Sicherheit/weitere Einstellungen/Security Key unsere beiden Fido2-Sticks. Beim Hinterlegen wird nach einer PIN gefragt. Diese muss nicht lang sein, da sie auf dem Stick gespeichert wird. Sie soll im Falle eines Verlusts oder Diebstahl davor schützen, dass sich Fremde mit dem Stick in die Konten des Eigentümers einloggen. Ein Brute-Force-Angriff, also das Durchprobieren aller Kombinationen, wäre aufwendig, da der Stick nur wenige Versuche erlaubt und anschließend aus- und wieder eingesteckt werden muss.

Sowohl mit den Solokeys als auch mit dem Security Key von Yubico funktioniert das Hinterlegen und anschließend das passwortlose Anmelden bei unserem Microsoft-Konto einwandfrei. Im Test hinterlegen wir mehrere Sticks, was auch im Alltag durchaus sinnvoll ist: Geht ein Stick kaputt oder verloren, können wir uns weiterhin passwortlos mit dem anderen Stick anmelden. Der verlorene oder kaputte Stick kann gelöscht und ein neuer hinterlegt werden.

Nur mit Passwort: Titan und Nitrokey

Googles Titan und der Nitrokey Fido U2F folgen noch dem älteren Fido-Standard und ermöglichen kein passwortloses Anmelden. Der Fido2-Standard ist jedoch abwärtskompatibel: Die Sticks können auch weiterhin für eine Zwei-Faktor-Authentifizierung verwendet werden. An Fido2 werde derzeit gearbeitet, sagte Jan Suhr, CEO von Nitrokey. Er solle im Laufe des Jahres erscheinen.

Wahrscheinlich werden in nicht allzu ferner Zukunft mehr Dienste Webauthn unterstützen. Erst kürzlich hat Google bekanntgegeben, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Damit unterstützen neben den Fido2-Sticks auch Millionen Smartphones Zwei-Faktor-Authentifizierung und passwortloses Anmelden.

Open oder Closed Source

Sowohl die Solokeys als auch die Nitrokeys werben mit offener Hard- und Software. Die entsprechenden Pläne liegen auf Github. Auf den Solokeys lässt sich zudem die Firmware aktualisieren. Der Fido2-Nitrokey ist zwar noch nicht erschienen, soll allerdings ebenfalls eine Aktualisierung der Firmware ermöglichen.

Die Firmware des Titan Security Keys hat Google selbst entwickelt und fest in den Stick integriert, aktualisieren lässt sie sich nicht. Der Stick stammt von der Firma Feitian, die vergleichbare Produkte vertreibt. Auch die Firmware von Yubicos Security Key lässt sich nicht aktualisieren. Der Quellcode sowie die Hardware sind bei beiden Sticks nicht öffentlich verfügbar.

Neben den Fido-Standards und der Offenheit unterscheiden sich die Security Keys auch in der Verfügbarkeit sowie im Preis.

 Zweiter Faktor auf KnopfdruckVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. (-77%) 11,50€
  2. 2,99€
  3. (-79%) 3,20€

Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.


Folgen Sie uns
       


Red Magic 3 - Test

Das Red Magic 3 richtet sich an Gamer - dank der Topausstattung und eines Preises von nur 480 Euro ist das Smartphone aber generell lohnenswert.

Red Magic 3 - Test Video aufrufen
FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

    •  /