Abo
  • Services:

Webauthn: Standard für passwortloses Anmelden verabschiedet

Ohne Passwort anmelden? Mit dem Webauthn-Standard soll das möglich werden. Die Technik steht bereit und soll das Anmelden nicht nur sicherer, sondern auch komfortabler machen.

Artikel von veröffentlicht am
Webauthn: Schlüssel statt Passwörter.
Webauthn: Schlüssel statt Passwörter. (Bild: PDPics/Pixabay)

Ein sicheres, langes, individuelles Passwort soll es sein - oder auch nicht. Die Web Authentication API (Webauthn) ermöglicht den Login auf Webseiten ganz ohne Passwort. Der Standard wurde am 4. März vom World Wide Web Consortium (W3C) verabschiedet. Diese hatte den Standard gemeinsam mit der Fido-Allianz entwickelt - einem Zusammenschluss namhafter Firmen wie Google, Microsoft, Lenovo, Samsung und vielen anderen, die einen einfachen und sicheren Authentifizierungsstandard schaffen wollen. Der Standard soll Passwörter nicht nur obsolet machen, sondern das Anmelden auf Internetseiten soll auch sicherer und komfortabler werden.

Stellenmarkt
  1. DKV MOBILITY SERVICES Business Center, Ratingen
  2. DAN Produkte GmbH, Raum Schleswig-Holstein, Niedersachen, Hamburg, Bremen (Home-Office)

Bei Webauthn kommt statt des Passworts Public-Key-Kryptografie zum Einsatz. Ähnlich wie bei PGP oder SSH werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn, mit der er beweist, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob der Einloggende auch wirklich im Besitz des privaten Schlüssels ist. Trotz Kritik an den teilweise schon älteren Algorithmen, die im Webauthn-Standard verwendet werden, ist das System deutlich sicherer als Passwörter - und kann in der Handhabung für den Nutzer angenehmer sein.

Zusätzlicher Schutz durch PIN oder Biometrie

Zusätzlich kann der private Schlüssel durch einen PIN oder Biometrie wie Fingerabdruck oder Gesicht geschützt werden. Der Schutz findet auf dem Gerät des Nutzers statt, beispielsweise mit einer im Fido2-Stick hinterlegten PIN oder per Gesichtserkennung in Windows Hello. Das Verfahren wird Multi-Faktor-Authentifizierung genannt und gilt als besonders sicher.

Neben dem passwortlosen Anmelden lässt sich über den Standard auch Zwei-Faktor-Authentifizierung realisieren. Beispielsweise unterstützen die Fido-Sticks von Yubico oder Nitrokey den Fido1- oder Fido2-Standard, bei welchem neben Benutzername und Passwort ebenfalls Public-Key-Kryptografie als zweiter Faktor zum Einsatz kommt.

Die Technik steht bereit

Die Browser Firefox, Chrome/Chromium und Edge unterstützen Webauthn bereits. Auch unter Windows 10 und Android kann Webauthn verwendet werden. Erst kürzlich gab Google bekannt, dass Android eine Fido2-Zertifizierung erhalten hat. Neuere Geräte sollen passwortloses Anmelden ab Werk ermöglichen, auf älteren Geräten ab Android 7.0 wird die Funktion über ein Update der Google Play Services bereitgestellt. Millionen Geräte, die das passwortlose Login unterstützen, stehen mit Verabschiedung des Standards bereit.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-30%) 4,61€
  3. 8,49€
  4. 34,95€

screamz@gmx.net 09. Apr 2019 / Themenstart

Funktioniert auch mit Firefox und den neueren Insider Previews von Windows 10: https...

screamz@gmx.net 09. Apr 2019 / Themenstart

Siehe Quelle: https://www.nitrokey.com/de/news/2019/new-nitrokey-hsm-2-rsa-4096-ecc-521...

nille02 06. Mär 2019 / Themenstart

Die Dinger kosten ein Apfel und ein Ei. Einige kosten nicht mal 10¤. Aber sobald du...

redmord 06. Mär 2019 / Themenstart

Ich hatte es so verstanden, dass diese ID vom Authenticator generiert und einmalig zum...

LASERwalker 06. Mär 2019 / Themenstart

Der Schützt aber nicht gegen Phishing.

Kommentieren


Folgen Sie uns
       


Schneller 3D-Drucker vom Fraunhofer IWU - Bericht

Ein 3D-Drucker für die Industrie: Das Fraunhofer IWU stellte auf der Hannover Messe 2019 einen 3D-Drucker vor, der deutlich schneller ist als herkömmliche Geräte dieser Art.

Schneller 3D-Drucker vom Fraunhofer IWU - Bericht Video aufrufen
Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

    •  /