Webauthn: Standard für passwortloses Anmelden verabschiedet

Ohne Passwort anmelden? Mit dem Webauthn-Standard soll das möglich werden. Die Technik steht bereit und soll das Anmelden nicht nur sicherer, sondern auch komfortabler machen.

Artikel veröffentlicht am ,
Webauthn: Schlüssel statt Passwörter.
Webauthn: Schlüssel statt Passwörter. (Bild: PDPics/Pixabay)

Ein sicheres, langes, individuelles Passwort soll es sein - oder auch nicht. Die Web Authentication API (Webauthn) ermöglicht den Login auf Webseiten ganz ohne Passwort. Der Standard wurde am 4. März vom World Wide Web Consortium (W3C) verabschiedet. Diese hatte den Standard gemeinsam mit der Fido-Allianz entwickelt - einem Zusammenschluss namhafter Firmen wie Google, Microsoft, Lenovo, Samsung und vielen anderen, die einen einfachen und sicheren Authentifizierungsstandard schaffen wollen. Der Standard soll Passwörter nicht nur obsolet machen, sondern das Anmelden auf Internetseiten soll auch sicherer und komfortabler werden.

Stellenmarkt
  1. Informatiker / Informatikerin (m/w/d)
    NLQ Hildesheim, Hildesheim
  2. (Senior) Agile Coach Consultant (m/w/d)
    AUSY Technologies Germany AG, Düsseldorf, Frankfurt am Main, Hamburg, München, Nürnberg
Detailsuche

Bei Webauthn kommt statt des Passworts Public-Key-Kryptografie zum Einsatz. Ähnlich wie bei PGP oder SSH werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn, mit der er beweist, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob der Einloggende auch wirklich im Besitz des privaten Schlüssels ist. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Zusätzlicher Schutz durch PIN oder Biometrie

Zusätzlich kann der private Schlüssel durch einen PIN oder Biometrie wie Fingerabdruck oder Gesicht geschützt werden. Der Schutz findet auf dem Gerät des Nutzers statt, beispielsweise mit einer im Fido2-Stick hinterlegten PIN oder per Gesichtserkennung in Windows Hello. Das Verfahren wird Multi-Faktor-Authentifizierung genannt und gilt als besonders sicher.

Neben dem passwortlosen Anmelden lässt sich über den Standard auch Zwei-Faktor-Authentifizierung realisieren. Beispielsweise unterstützen die Fido-Sticks von Yubico oder Nitrokey den Fido1- oder Fido2-Standard, bei welchem neben Benutzername und Passwort ebenfalls Public-Key-Kryptografie als zweiter Faktor zum Einsatz kommt.

Die Technik steht bereit

Golem Karrierewelt
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    07.-10.11.2022, virtuell
  2. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
Weitere IT-Trainings

Die Browser Firefox, Chrome/Chromium und Edge unterstützen Webauthn bereits. Auch unter Windows 10 und Android kann Webauthn verwendet werden. Erst kürzlich gab Google bekannt, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Millionen Geräte, die das passwortlose Login unterstützen, stehen mit Verabschiedung des Standards bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


screamz@gmx.net 09. Apr 2019

Funktioniert auch mit Firefox und den neueren Insider Previews von Windows 10: https...

screamz@gmx.net 09. Apr 2019

Siehe Quelle: https://www.nitrokey.com/de/news/2019/new-nitrokey-hsm-2-rsa-4096-ecc-521...

nille02 06. Mär 2019

Die Dinger kosten ein Apfel und ein Ei. Einige kosten nicht mal 10¤. Aber sobald du...

redmord 06. Mär 2019

Ich hatte es so verstanden, dass diese ID vom Authenticator generiert und einmalig zum...



Aktuell auf der Startseite von Golem.de
Die große Umfrage
Das sind Deutschlands beste IT-Arbeitgeber 2023

Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
Artikel
  1. Roadmap: CD Projekt kündigt neues Cyberpunk und mehrere Witcher an
    Roadmap
    CD Projekt kündigt neues Cyberpunk und mehrere Witcher an

    Project Polaris wird eine Witcher-Saga, Orion das nächste Cyberpunk 2077 und Hadar etwas ganz Neues: CD Projekt hat seine Pläne vorgestellt.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. USB-C: Europaparlament macht Weg für einheitliche Ladekabel frei
    USB-C
    Europaparlament macht Weg für einheitliche Ladekabel frei

    In der EU gibt es künftig eine Standard-Ladebuchse für Smartphones und weitere Elektrogeräte. Die IT-Wirtschaft sieht die Einigung kritisch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /