Abo
  • Services:

Webauthn: Standard für passwortloses Anmelden verabschiedet

Ohne Passwort anmelden? Mit dem Webauthn-Standard soll das möglich werden. Die Technik steht bereit und soll das Anmelden nicht nur sicherer, sondern auch komfortabler machen.

Artikel von veröffentlicht am
Webauthn: Schlüssel statt Passwörter.
Webauthn: Schlüssel statt Passwörter. (Bild: PDPics/Pixabay)

Ein sicheres, langes, individuelles Passwort soll es sein - oder auch nicht. Die Web Authentication API (Webauthn) ermöglicht den Login auf Webseiten ganz ohne Passwort. Der Standard wurde am 4. März vom World Wide Web Consortium (W3C) verabschiedet. Diese hatte den Standard gemeinsam mit der Fido-Allianz entwickelt - einem Zusammenschluss namhafter Firmen wie Google, Microsoft, Lenovo, Samsung und vielen anderen, die einen einfachen und sicheren Authentifizierungsstandard schaffen wollen. Der Standard soll Passwörter nicht nur obsolet machen, sondern das Anmelden auf Internetseiten soll auch sicherer und komfortabler werden.

Stellenmarkt
  1. DAN Produkte GmbH, Raum Schleswig-Holstein, Niedersachen, Hamburg, Bremen (Home-Office)
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln

Bei Webauthn kommt statt des Passworts Public-Key-Kryptografie zum Einsatz. Ähnlich wie bei PGP oder SSH werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn, mit der er beweist, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob der Einloggende auch wirklich im Besitz des privaten Schlüssels ist. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Zusätzlicher Schutz durch PIN oder Biometrie

Zusätzlich kann der private Schlüssel durch einen PIN oder Biometrie wie Fingerabdruck oder Gesicht geschützt werden. Der Schutz findet auf dem Gerät des Nutzers statt, beispielsweise mit einer im Fido2-Stick hinterlegten PIN oder per Gesichtserkennung in Windows Hello. Das Verfahren wird Multi-Faktor-Authentifizierung genannt und gilt als besonders sicher.

Neben dem passwortlosen Anmelden lässt sich über den Standard auch Zwei-Faktor-Authentifizierung realisieren. Beispielsweise unterstützen die Fido-Sticks von Yubico oder Nitrokey den Fido1- oder Fido2-Standard, bei welchem neben Benutzername und Passwort ebenfalls Public-Key-Kryptografie als zweiter Faktor zum Einsatz kommt.

Die Technik steht bereit

Die Browser Firefox, Chrome/Chromium und Edge unterstützen Webauthn bereits. Auch unter Windows 10 und Android kann Webauthn verwendet werden. Erst kürzlich gab Google bekannt, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Millionen Geräte, die das passwortlose Login unterstützen, stehen mit Verabschiedung des Standards bereit.



Anzeige
Spiele-Angebote
  1. (-40%) 11,99€
  2. (-55%) 17,99€
  3. 34,99€
  4. 4,99€

screamz@gmx.net 09. Apr 2019 / Themenstart

Funktioniert auch mit Firefox und den neueren Insider Previews von Windows 10: https...

screamz@gmx.net 09. Apr 2019 / Themenstart

Siehe Quelle: https://www.nitrokey.com/de/news/2019/new-nitrokey-hsm-2-rsa-4096-ecc-521...

nille02 06. Mär 2019 / Themenstart

Die Dinger kosten ein Apfel und ein Ei. Einige kosten nicht mal 10¤. Aber sobald du...

redmord 06. Mär 2019 / Themenstart

Ich hatte es so verstanden, dass diese ID vom Authenticator generiert und einmalig zum...

LASERwalker 06. Mär 2019 / Themenstart

Der Schützt aber nicht gegen Phishing.

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S10e - Test

Das Galaxy S10e ist das kleinste Modell von Samsungs neuer Galaxy-S10-Reihe - und für uns der Geheimtipp der Serie.

Samsung Galaxy S10e - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Elektromobilität: Was hat ein Kanu mit Autos zu tun?
    Elektromobilität
    Was hat ein Kanu mit Autos zu tun?

    Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
    Ein Bericht von Dirk Kunde

    1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
    2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
    3. Ventomobil Mit dem Windrad auf Rekordjagd

    P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
    P30 Pro im Kameratest
    Huawei baut die vielseitigste Smartphone-Kamera

    Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
    Ein Test von Tobias Költzsch

    1. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
    2. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei
    3. Kritik an Eckpunkten Bitkom warnt vor deutschem Alleingang bei 5G-Sicherheit

      •  /