Abo
  • Services:

Webauthn: Passwortloses Einloggen mit schlechter Kryptographie

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.

Artikel veröffentlicht am , Moritz Tremmel
Mit Schlüsseln statt Passwörtern einloggen: Bei Webauthn muss noch an der Sicherheit gefeilt werden.
Mit Schlüsseln statt Passwörtern einloggen: Bei Webauthn muss noch an der Sicherheit gefeilt werden. (Bild: Flober81/CC0 1.0)

Das Protokoll Webauthn steht kurz vor der Verabschiedung und soll in Zukunft die Anmeldung auf Webseiten und -diensten ohne Passwort ermöglichen. Chrome, Firefox und Edge unterstützen es bereits. Sicherheitsforscher der Firma Paragon haben es in den Browsern einem Security-Audit unterzogen und mehrere, zum Teil sehr alte, Schwachstellen gefunden. Sie kritisieren, dass Webauthn veraltete Algorithmen wie RSA mit PKCS1-v1_5 vorschreiben oder die von der Fido-Allianz entwickelte Elliptische-Kurven-Kryptographie ECDAA empfehlen.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart
  2. Bosch Gruppe, Abstatt

Der Sicherheitsaudit bezieht sich auf den 1998 entdeckten Bleichenbacher-Angriff auf RSA mit PKCS1v1.5-Padding, um zu zeigen, wie alt und angreifbar der verwendete Algorithmus ist. Dieser ist für Webauthn allerdings nicht relevant, da RSA mit PKCS1v1.5 nicht zur Verschlüsselung, sondern als Signatursystem vorgeschrieben wird. Aber auch PKCS1v1.5 für Signaturen hat Probleme: Auch hier entdeckte Daniel Bleichenbacher, der Entwickler des oben genannten Bleichenbacher-Angriffs, eine Sicherheitslücke.

Eine Variante dieser zwölf Jahre alten Lücke wurde vor vier Jahren entdeckt: Mit ihrer Hilfe ließen sich Signaturen in Chrome und Firefox fälschen. Paragon kommentiert die Verwendung des Algorithmus entsprechend harsch: "PKCS1v1.5 ist schlecht. Die Exploits sind beinahe alt genug, um in den Vereinigten Staaten Alkohol zu trinken. Verwende es auf keinen Fall!" RSA-Signaturen sollten nur im RSA-PSS-Modus verwendet werden.

Nicht besser stehe es um die von der Fido-Allianz entwickelte ECDAA-Kryptographie. Diese sei bisher weder implementiert noch getestet worden. Der Standard sei in seiner jetzigen Form ebenfalls angreifbar und führe im schlechtesten Fall zu einer Umgehung der Zweifaktorauthentifizierung, was wiederum Phishing-Attacken ermöglichen würde.

Paragon fordert das W3C (World Wide Web Consortium) auf, das Design von Webauthn zu ändern und die kryptographischen Schwächen zu beheben, bevor Webauthn endgültig verabschiedet wird. Das Gremium ist für die Standardisierung von Techniken im Internet zuständig.

Google, Microsoft, Lenovo und Samsung sind beteiligt

Die Fido-Allianz wurde bereits im Sommer 2012 gegründet. Ein Zusammenschluss namhafter Firmen wie Google, Microsoft, Lenovo, Samsung und vielen anderen, die gemeinsam einen einfachen und sicheren Authentifizierungsstandard schaffen wollen. Anfang des Jahres erarbeiteten sie gemeinsam mit dem W3C, basierend auf der Fido-2.0-API, eine Web-Authentification-API: Webauthentication oder kurz Webauthn.

Webauthn ermöglicht ein sowohl passwortloses Login mittels biometrischer Daten wie Fingerabdruck oder Gesichtserkennung als auch die Zweifaktorauthentifizierung mittels Tokens aus USB-Dongles oder Smartphones. Der Standard soll mittels Public-Key-Kryptographie vor Phishing-, Man-in-the-Middle- und Replay-Angriffen schützen.

Chrome unterstützt den Standard seit Version 67, Firefox seit Version 60, welche zudem als Extended Support Release veröffentlicht wurde. Microsoft gab im Juli bekannt, dass Webauthn ab Build 17723 unterstützt wird. Bei Apples Safari wird momentan noch entwickelt.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 119,90€
  3. 216,50€

RichardEb 19. Sep 2018

Vielleicht solltet ihr einen eigenen Thread machen oder noch besser per PM reden.


Folgen Sie uns
       


Resident Evil 2 Remake - Fazit

Bei Capcom haben sie derzeit in Sachen Horror ein monstermäßig gutes Händchen.

Resident Evil 2 Remake - Fazit Video aufrufen
Metro Exodus im Technik-Test: Richtiges Raytracing rockt
Metro Exodus im Technik-Test
Richtiges Raytracing rockt

Die Implementierung von DirectX Raytracing in Metro Exodus überzeugt uns: Zwar ist der Fps-Verlust hoch, die globale Beleuchtung wirkt aber deutlich realistischer und stimmungsvoller als die Raster-Version.
Ein Test von Marc Sauter

  1. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März
  2. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
  3. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern

Carsharing: Regierung will Mobilitätsdienste per Gesetz stärken
Carsharing
Regierung will Mobilitätsdienste per Gesetz stärken

Die digitalen Plattformen für Carsharing und Carpooling sollen Rechtssicherheit bekommen. BMW, Daimler und VW sowie Uber & Co. stehen in den Startlöchern.
Ein Bericht von Daniel Delhaes und Markus Fasse

  1. Lobbyregister EU-Parlament verordnet sich mehr Transparenz
  2. Contract for the web Bundesregierung unterstützt Rechtsanspruch auf Internet
  3. Initiative D21 E-Government-Nutzung in Deutschland ist rückläufig

Honor View 20 im Test: Schluss mit der Wiederverwertung
Honor View 20 im Test
Schluss mit der Wiederverwertung

Mit dem View 20 weicht Huawei mit seiner Tochterfirma Honor vom bisherigen Konzept ab, altgediente Komponenten einfach neu zu verpacken: Das Smartphone hat nicht nur erstmals eine Frontkamera im Display, sondern auch eine hervorragende neue Hauptkamera, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Huawei Honor View 20 mit 48-Megapixel-Kamera kostet ab 570 Euro
  2. Huawei Honor 10 Lite mit kleiner Notch kostet 250 Euro
  3. Huawei Honor View 20 hat die Frontkamera im Display

    •  /