• IT-Karriere:
  • Services:

Webauthn - der Standard für passwortloses Anmelden

Die Taste auf dem Security Key drücken und eine kurze vierstellige PIN eingeben und schon können Nutzer auf ihre E-Mails, Dokumente oder den Social-Media-Account zugreifen. Einen Benutzernamen oder ein Passwort braucht es nicht. Ermöglicht wird dies durch die kürzlich verabschiedete Webauthn-Schnittstelle beziehungsweise den dahinterstehenden Standard Fido2. Dessen Vorgänger ermöglicht die universelle Zwei-Faktor-Authentifizierung (U2F). Beide Standards stammen von der Fido-Allianz, einem Zusammenschluss namhafter Firmen, darunter Google, Microsoft, Lenovo und Samsung, die gemeinsam an einfachen und sicheren Authentifizierungsstandards arbeiten. Beide setzen auf Public-Key-Kryptographie für den zweiten Faktor beziehungsweise das passwortlose Anmelden. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Stellenmarkt
  1. Commerz Direktservice GmbH, Duisburg
  2. MAINGAU Energie GmbH, Obertshausen

Wir wollen uns passwortlos mit den Security Keys anmelden, allerdings unterstützen nur die Solokeys sowie der Yubico Security Key den neuen Fido2-Standard respektive dessen Webauthn-Schnittstelle - nur mit ihnen ist passwortloses Anmelden möglich. Googles Titan und der Nitrokey unterstützen passwortloses Anmelden nicht.

Passwortlos geht nur mit Microsoft

Nach langer Suche finden wir einen Dienst, der das passwortlose Anmelden unterstützt. Unter login.live.com, der zentralen Login-Seite für Microsofts Online-Dienste wie Outlook, Office 365 oder Onedrive, können wir uns mit einem Fido2-Stick passwortlos anmelden. Allerdings ausschließlich unter Windows 10 ab der Version 1809 sowie mit Microsofts Browser Edge. Firefox und Chrome/Chromium unterstützen dies noch nicht.

Wir aktualisieren das Windows 10 auf unserem Testrechner auf Version 1809. Nachdem sich Windows ausgiebig aktualisiert hat, registrieren wir ein Testkonto bei Microsoft und hinterlegen unter Sicherheit/weitere Einstellungen/Security Key unsere beiden Fido2-Sticks. Beim Hinterlegen wird nach einer PIN gefragt. Diese muss nicht lang sein, da sie auf dem Stick gespeichert wird. Sie soll im Falle eines Verlusts oder Diebstahl davor schützen, dass sich Fremde mit dem Stick in die Konten des Eigentümers einloggen. Ein Brute-Force-Angriff, also das Durchprobieren aller Kombinationen, wäre aufwendig, da der Stick nur wenige Versuche erlaubt und anschließend aus- und wieder eingesteckt werden muss.

Sowohl mit den Solokeys als auch mit dem Security Key von Yubico funktioniert das Hinterlegen und anschließend das passwortlose Anmelden bei unserem Microsoft-Konto einwandfrei. Im Test hinterlegen wir mehrere Sticks, was auch im Alltag durchaus sinnvoll ist: Geht ein Stick kaputt oder verloren, können wir uns weiterhin passwortlos mit dem anderen Stick anmelden. Der verlorene oder kaputte Stick kann gelöscht und ein neuer hinterlegt werden.

Nur mit Passwort: Titan und Nitrokey

Googles Titan und der Nitrokey Fido U2F folgen noch dem älteren Fido-Standard und ermöglichen kein passwortloses Anmelden. Der Fido2-Standard ist jedoch abwärtskompatibel: Die Sticks können auch weiterhin für eine Zwei-Faktor-Authentifizierung verwendet werden. An Fido2 werde derzeit gearbeitet, sagte Jan Suhr, CEO von Nitrokey. Er solle im Laufe des Jahres erscheinen.

Wahrscheinlich werden in nicht allzu ferner Zukunft mehr Dienste Webauthn unterstützen. Erst kürzlich hat Google bekanntgegeben, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Damit unterstützen neben den Fido2-Sticks auch Millionen Smartphones Zwei-Faktor-Authentifizierung und passwortloses Anmelden.

Open oder Closed Source

Sowohl die Solokeys als auch die Nitrokeys werben mit offener Hard- und Software. Die entsprechenden Pläne liegen auf Github. Auf den Solokeys lässt sich zudem die Firmware aktualisieren. Der Fido2-Nitrokey ist zwar noch nicht erschienen, soll allerdings ebenfalls eine Aktualisierung der Firmware ermöglichen.

Die Firmware des Titan Security Keys hat Google selbst entwickelt und fest in den Stick integriert, aktualisieren lässt sie sich nicht. Der Stick stammt von der Firma Feitian, die vergleichbare Produkte vertreibt. Auch die Firmware von Yubicos Security Key lässt sich nicht aktualisieren. Der Quellcode sowie die Hardware sind bei beiden Sticks nicht öffentlich verfügbar.

Neben den Fido-Standards und der Offenheit unterscheiden sich die Security Keys auch in der Verfügbarkeit sowie im Preis.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Zweiter Faktor auf KnopfdruckVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 18,49€
  2. 1,94€
  3. 19€ (Bestpreis!)

Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.


Folgen Sie uns
       


Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
Xbox, Playstation, Nvidia Ampere
Wo bleiben die HDMI-2.1-Monitore?

Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
Eine Analyse von Oliver Nickel

  1. AV-Receiver Fehlerhafte HDMI-2.1-Chips führen zu Blackscreen

    •  /