Abo
  • IT-Karriere:

Webauthn - der Standard für passwortloses Anmelden

Die Taste auf dem Security Key drücken und eine kurze vierstellige PIN eingeben und schon können Nutzer auf ihre E-Mails, Dokumente oder den Social-Media-Account zugreifen. Einen Benutzernamen oder ein Passwort braucht es nicht. Ermöglicht wird dies durch die kürzlich verabschiedete Webauthn-Schnittstelle beziehungsweise den dahinterstehenden Standard Fido2. Dessen Vorgänger ermöglicht die universelle Zwei-Faktor-Authentifizierung (U2F). Beide Standards stammen von der Fido-Allianz, einem Zusammenschluss namhafter Firmen, darunter Google, Microsoft, Lenovo und Samsung, die gemeinsam an einfachen und sicheren Authentifizierungsstandards arbeiten. Beide setzen auf Public-Key-Kryptographie für den zweiten Faktor beziehungsweise das passwortlose Anmelden. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Heckler & Koch GmbH, Oberndorf

Wir wollen uns passwortlos mit den Security Keys anmelden, allerdings unterstützen nur die Solokeys sowie der Yubico Security Key den neuen Fido2-Standard respektive dessen Webauthn-Schnittstelle - nur mit ihnen ist passwortloses Anmelden möglich. Googles Titan und der Nitrokey unterstützen passwortloses Anmelden nicht.

Passwortlos geht nur mit Microsoft

Nach langer Suche finden wir einen Dienst, der das passwortlose Anmelden unterstützt. Unter accounts.microsoft.com, der zentralen Login-Seite für Microsofts Online-Dienste wie Outlook, Office 365 oder Onedrive, können wir uns mit einem Fido2-Stick passwortlos anmelden. Allerdings ausschließlich unter Windows 10 ab der Version 1809 sowie mit Microsofts Browser Edge. Firefox und Chrome/Chromium unterstützen dies noch nicht.

Wir aktualisieren das Windows 10 auf unserem Testrechner auf Version 1809. Nachdem sich Windows ausgiebig aktualisiert hat, registrieren wir ein Testkonto bei Microsoft und hinterlegen unter Sicherheit/weitere Einstellungen/Security Key unsere beiden Fido2-Sticks. Beim Hinterlegen wird nach einer PIN gefragt. Diese muss nicht lang sein, da sie auf dem Stick gespeichert wird. Sie soll im Falle eines Verlusts oder Diebstahl davor schützen, dass sich Fremde mit dem Stick in die Konten des Eigentümers einloggen. Ein Brute-Force-Angriff, also das Durchprobieren aller Kombinationen, wäre aufwendig, da der Stick nur wenige Versuche erlaubt und anschließend aus- und wieder eingesteckt werden muss.

Sowohl mit den Solokeys als auch mit dem Security Key von Yubico funktioniert das Hinterlegen und anschließend das passwortlose Anmelden bei unserem Microsoft-Konto einwandfrei. Im Test hinterlegen wir mehrere Sticks, was auch im Alltag durchaus sinnvoll ist: Geht ein Stick kaputt oder verloren, können wir uns weiterhin passwortlos mit dem anderen Stick anmelden. Der verlorene oder kaputte Stick kann gelöscht und ein neuer hinterlegt werden.

Nur mit Passwort: Titan und Nitrokey

Googles Titan und der Nitrokey Fido U2F folgen noch dem älteren Fido-Standard und ermöglichen kein passwortloses Anmelden. Der Fido2-Standard ist jedoch abwärtskompatibel: Die Sticks können auch weiterhin für eine Zwei-Faktor-Authentifizierung verwendet werden. An Fido2 werde derzeit gearbeitet, sagte Jan Suhr, CEO von Nitrokey. Er solle im Laufe des Jahres erscheinen.

Wahrscheinlich werden in nicht allzu ferner Zukunft mehr Dienste Webauthn unterstützen. Erst kürzlich hat Google bekanntgegeben, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Damit unterstützen neben den Fido2-Sticks auch Millionen Smartphones Zwei-Faktor-Authentifizierung und passwortloses Anmelden.

Open oder Closed Source

Sowohl die Solokeys als auch die Nitrokeys werben mit offener Hard- und Software. Die entsprechenden Pläne liegen auf Github. Auf den Solokeys lässt sich zudem die Firmware aktualisieren. Der Fido2-Nitrokey ist zwar noch nicht erschienen, soll allerdings ebenfalls eine Aktualisierung der Firmware ermöglichen.

Die Firmware des Titan Security Keys hat Google selbst entwickelt und fest in den Stick integriert, aktualisieren lässt sie sich nicht. Der Stick stammt von der Firma Feitian, die vergleichbare Produkte vertreibt. Auch die Firmware von Yubicos Security Key lässt sich nicht aktualisieren. Der Quellcode sowie die Hardware sind bei beiden Sticks nicht öffentlich verfügbar.

Neben den Fido-Standards und der Offenheit unterscheiden sich die Security Keys auch in der Verfügbarkeit sowie im Preis.

 Zweiter Faktor auf KnopfdruckVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. (-10%) 26,99€
  3. 16,99€
  4. (-29%) 9,99€

Truster 18. Mär 2019

du musst ja nicht den Google Authenticator nehmen. Es gibt genug freie Varianten. Ich...

nille02 17. Mär 2019

Aber diese Firmen wollen das nun mal auch nicht. Dann wollen die idr. auch nicht das man...

OlafLostViking 15. Mär 2019

Sofern dies auf Serverseite (beispielsweise durch einen nachgeschalteten SASL-Server...

Truster 15. Mär 2019

aus diesem Grund habe ich alle PNGs in einer Keepass Datenbank gesichert.


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

IT-Freelancer: Paradiesische Zustände
IT-Freelancer
Paradiesische Zustände

IT-Freiberufler arbeiten zeitlich nicht mehr als ihre fest angestellten Kollegen, verdienen aber doppelt so viel wie sie. Das unternehmerische Risiko ist in der heutigen Zeit für gute IT-Freelancer gering, die Gefahr der Scheinselbstständigkeit aber hoch.
Von Peter Ilg

  1. Change-Management Die Zeiten, sie, äh, ändern sich
  2. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  3. MINT Werden Frauen überfördert?

Offene Prozessor-ISA: Wieso RISC-V sich durchsetzen wird
Offene Prozessor-ISA
Wieso RISC-V sich durchsetzen wird

Die offene Befehlssatzarchitektur RISC-V erfreut sich dank ihrer Einfachheit und Effizienz bereits großer Beliebtheit im Bildungs- und Embedded-Segment, auch Nvidia sowie Western Digital nutzen sie. Mit der geplanten Vektor-Erweiterung werden sogar Supercomputer umsetzbar.
Von Marc Sauter

  1. RV16X-Nano MIT baut RISC-V-Kern aus Kohlenstoff-Nanoröhren
  2. Freier CPU-Befehlssatz Red Hat tritt Risc-V-Foundation bei
  3. Alibaba Xuan Tie 910 Bisher schnellster RISC-V-Prozessor hat 16 Kerne

    •  /