Abo
  • IT-Karriere:

Webauthn: Passwortloses Einloggen mit schlechter Kryptographie

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.

Artikel veröffentlicht am , Moritz Tremmel
Mit Schlüsseln statt Passwörtern einloggen: Bei Webauthn muss noch an der Sicherheit gefeilt werden.
Mit Schlüsseln statt Passwörtern einloggen: Bei Webauthn muss noch an der Sicherheit gefeilt werden. (Bild: Flober81/CC0 1.0)

Das Protokoll Webauthn steht kurz vor der Verabschiedung und soll in Zukunft die Anmeldung auf Webseiten und -diensten ohne Passwort ermöglichen. Chrome, Firefox und Edge unterstützen es bereits. Sicherheitsforscher der Firma Paragon haben es in den Browsern einem Security-Audit unterzogen und mehrere, zum Teil sehr alte, Schwachstellen gefunden. Sie kritisieren, dass Webauthn veraltete Algorithmen wie RSA mit PKCS1-v1_5 vorschreiben oder die von der Fido-Allianz entwickelte Elliptische-Kurven-Kryptographie ECDAA empfehlen.

Stellenmarkt
  1. SV Informatik GmbH, Stuttgart
  2. Scheer GmbH, deutschlandweit

Der Sicherheitsaudit bezieht sich auf den 1998 entdeckten Bleichenbacher-Angriff auf RSA mit PKCS1v1.5-Padding, um zu zeigen, wie alt und angreifbar der verwendete Algorithmus ist. Dieser ist für Webauthn allerdings nicht relevant, da RSA mit PKCS1v1.5 nicht zur Verschlüsselung, sondern als Signatursystem vorgeschrieben wird. Aber auch PKCS1v1.5 für Signaturen hat Probleme: Auch hier entdeckte Daniel Bleichenbacher, der Entwickler des oben genannten Bleichenbacher-Angriffs, eine Sicherheitslücke.

Eine Variante dieser zwölf Jahre alten Lücke wurde vor vier Jahren entdeckt: Mit ihrer Hilfe ließen sich Signaturen in Chrome und Firefox fälschen. Paragon kommentiert die Verwendung des Algorithmus entsprechend harsch: "PKCS1v1.5 ist schlecht. Die Exploits sind beinahe alt genug, um in den Vereinigten Staaten Alkohol zu trinken. Verwende es auf keinen Fall!" RSA-Signaturen sollten nur im RSA-PSS-Modus verwendet werden.

Nicht besser stehe es um die von der Fido-Allianz entwickelte ECDAA-Kryptographie. Diese sei bisher weder implementiert noch getestet worden. Der Standard sei in seiner jetzigen Form ebenfalls angreifbar und führe im schlechtesten Fall zu einer Umgehung der Zweifaktorauthentifizierung, was wiederum Phishing-Attacken ermöglichen würde.

Paragon fordert das W3C (World Wide Web Consortium) auf, das Design von Webauthn zu ändern und die kryptographischen Schwächen zu beheben, bevor Webauthn endgültig verabschiedet wird. Das Gremium ist für die Standardisierung von Techniken im Internet zuständig.

Google, Microsoft, Lenovo und Samsung sind beteiligt

Die Fido-Allianz wurde bereits im Sommer 2012 gegründet. Ein Zusammenschluss namhafter Firmen wie Google, Microsoft, Lenovo, Samsung und vielen anderen, die gemeinsam einen einfachen und sicheren Authentifizierungsstandard schaffen wollen. Anfang des Jahres erarbeiteten sie gemeinsam mit dem W3C, basierend auf der Fido-2.0-API, eine Web-Authentification-API: Webauthentication oder kurz Webauthn.

Webauthn ermöglicht ein sowohl passwortloses Login mittels biometrischer Daten wie Fingerabdruck oder Gesichtserkennung als auch die Zweifaktorauthentifizierung mittels Tokens aus USB-Dongles oder Smartphones. Der Standard soll mittels Public-Key-Kryptographie vor Phishing-, Man-in-the-Middle- und Replay-Angriffen schützen.

Chrome unterstützt den Standard seit Version 67, Firefox seit Version 60, welche zudem als Extended Support Release veröffentlicht wurde. Microsoft gab im Juli bekannt, dass Webauthn ab Build 17723 unterstützt wird. Bei Apples Safari wird momentan noch entwickelt.



Anzeige
Spiele-Angebote
  1. (-75%) 3,99€
  2. 4,99€
  3. 42,99€

RichardEb 19. Sep 2018

Vielleicht solltet ihr einen eigenen Thread machen oder noch besser per PM reden.


Folgen Sie uns
       


Escape Room in VR ausprobiert

Wir haben uns das Spiel Huxley von Exit VR näher angesehen.

Escape Room in VR ausprobiert Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Passwort-Richtlinien: Schlechte Passwörter vermeiden
Passwort-Richtlinien
Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

  1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
  2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  3. Fido-Sticks im Test Endlich schlechte Passwörter

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

    •  /