Das World Wide Web Consortium und die Fido Alliance geben WebAuthn bekannt: Was bedeutet das?

WebAuthn - an Official Web Standard

Normalerweise werden Ihnen beim Erstellen eines neuen Online-Kontos nicht so viele Optionen angezeigt. Sie müssen natürlich ein Passwort erstellen, und für die meisten Benutzer bedeutet dies, dass Sie einen von zwei Wegen wählen - ein einfaches, leicht zu merkendes und / oder wiederverwendetes Passwort, das die Konten gefährdet. oder ein langes, schwer zu erratendes Passwort, das ein unangenehmes Tippen und ein Schmerz ist, an den man sich erinnert. Es versteht sich von selbst, dass beide Optionen nicht gerade ideal sind. Gibt es irgendetwas, das die Dinge im Moment ändern kann? Nun, es gibt und es könnte tatsächlich irgendwo hingehen.

WebAuthn - die passwortlose Alternative

WebAuthn, kurz für Web-Authentifizierung, ist ein nicht proprietärer Standard, der die Kommunikation zwischen Websites und einem Sicherheitsgerät erleichtert. Zwei Online-Konsortien, das World Wide Web Consortium (WC3) und die FIDO Alliance, haben in den letzten Jahren daran gearbeitet, aber das Konzept kann auf die UID-API (Universal Authentication Factor) von FIDO Alliance von 2014 zurückgehen.

Das Ziel sowohl von WebAuthn als auch von UAF besteht darin, eine neue sichere Methode für die Anmeldung bei Online-Konten bereitzustellen, ohne sich Passwörter merken oder eingeben zu müssen. Aus verschiedenen komplizierten Gründen hat UAF keinen Eindruck in unserem Alltag hinterlassen, aber WebAuthn scheint sich zu unterscheiden.

Am Montag gaben WC3 und FIDO bekannt, dass WebAuthn nun ein offizieller Webstandard ist. In einfachen Worten bedeutet dies, dass die Experten zuversichtlich sind, Web- und App-Entwickler zu beraten, um sie in ihre Produkte zu implementieren. Um zu verstehen, wie all dies uns alle betreffen wird, müssen wir einen Blick auf die Funktionsweise von WebAuthn werfen.

Wie funktioniert WebAuthn?

Aus Anwendersicht sind die Dinge ziemlich unkompliziert. Anstatt einen Benutzernamen und ein Kennwort einzugeben, verwenden Sie entweder die biometrischen Authentifizierungsmechanismen auf Ihrem Computer oder Smartphone oder Sie verwenden ein Hardware-Token , das an einem Schlüsselring mitgeführt werden kann und mit USB, NFC, Bluetooth oder Bluetooth funktioniert ein ähnliches Kommunikationsprotokoll. Es gibt keine Anmeldeinformationen, was nach einem ansprechenden Konzept klingt. Aber wie sieht es mit dem Sicherheitsaspekt aus?

Während der Vorgang auf den ersten Blick einfach ist, ist ein WebAuthn-Login im Hintergrund ein ziemlich komplexer Vorgang. Es basiert alles auf Public-Key-Verschlüsselung (auch asymmetrisch genannt), was bedeutet, dass es sich um zwei Schlüssel handelt - einen öffentlichen und einen privaten. Jedes Ihrer Konten erhält ein Paar kryptografischer Schlüssel, die Ihr Computer oder Ihr Hardware-Token bei der Registrierung generiert. Der öffentliche Schlüssel wird an den Dienstanbieter gesendet, und der private Schlüssel wird auf Ihrem Gerät gespeichert. Wenn Sie versuchen, sich anzumelden, sendet der Dienstanbieter eine Herausforderung, die Ihr Gerät mit Ihrem privaten Schlüssel signiert und verschlüsselt. Die einzige Möglichkeit, die Herausforderung zu entschlüsseln und die Signatur zu sehen, ist mit Ihrem öffentlichen Schlüssel. Auf diese Weise weiß der Diensteanbieter, dass Sie der sind, von dem Sie behaupten, Sie seien Sie.

Dieses System bietet mehrere Sicherheitsvorteile. Für die Anmeldung sind zunächst zwei Schlüssel erforderlich, die an zwei verschiedenen Orten gespeichert sind. Selbst wenn die Gauner es schaffen, Ihren öffentlichen Schlüssel zu stehlen oder abzufangen, haben sie keine Möglichkeit, sich ohne den privaten anzumelden, der, wie Sie sich vielleicht erinnern, Ihr Gerät nie verlässt.

Im Gegensatz zu Passwörtern können kryptografische Schlüssel nicht erraten, gestopft , wiederverwendet oder manipuliert werden . Mit anderen Worten, die meisten Angriffe, die normalerweise mit Passwörtern arbeiten, sind gegen ein WebAuthn-Schema nicht wirksam.

Der neue Webstandard ist bemerkenswert, weil er eines der wenigen Beispiele für eine technologische Innovation darstellt, die nicht nur die Benutzerfreundlichkeit verbessert, sondern auch zu einer höheren Sicherheit führt.

Das Passwort ist also tot, oder?

Es ist sicherlich etwas, worauf Sie sich freuen können, wir glauben jedoch, dass der Wegfall des Passworts noch weit entfernt ist. Es gibt kaum Zweifel, dass die Technologie von WebAuthn solide ist, aber es gibt noch einige Hindernisse, die es zu überwinden gilt.

Zum einen ist WebAuthn ein Webstandard, und so dumm es auch klingt, so ist das Wort "Standard" im klassischen Sinne ein bisschen tabu in der Onlinewelt. Nehmen Sie zum Beispiel Passwörter. Wir haben sie schon seit geraumer Zeit als primären Login-Mechanismus genutzt, aber selbst jetzt, Jahrzehnte nach ihrem ersten Erscheinen, können wir uns immer noch nicht darauf einigen, was ein sicheres Passwort ist und was nicht . Auf die gleiche Art und Weise scheinen sich Anbieter trotz offensichtlicher Vorteile nicht auf der gleichen Seite zu befinden, wenn es darum geht, wie schnell WebAuthn implementiert werden soll.

Google Chrome war der erste Browser, der WebAuthn unterstützte, aber erst einige Monate später wurde es von Firefox, einem weiteren großen Namen der Branche, implementiert. Microsoft hat sich die Zeit genommen, WebAuthn in Edge zu integrieren, und Apple experimentiert immer noch mit der Unterstützung von Safari. In der mobilen Landschaft ist die Situation nicht viel anders. Letzte Woche gab FIDO bekannt, dass alle Telefone und Tablets, auf denen Android 7.0 oder höher läuft, FIDO-zertifiziert sein werden. WebAuthn ist das Kernstück des FIDO2-Protokolls, was bedeutet, dass diese Geräte die kennwortlose Anmeldung effektiv unterstützen. Leider haben wir noch keine Informationen darüber, wann der Standard in Apples iOS integriert wird. Und selbst wenn alle Anbieter WebAuthn für ihre neueren Geräte nutzen, können Sie die Berge hinterlassener Altsysteme nicht ignorieren.

Natürlich müssen Website- und Anwendungsentwickler nach der Übernahme durch Hardwarehersteller alle als Anmeldemechanismus implementieren. Mit anderen Worten, es ist unwahrscheinlich, dass WebAuthn das Passwort in absehbarer Zeit vollständig ersetzen wird. Bis dahin müssen Sie sicherstellen, dass Ihre Konten so gut wie möglich geschützt sind.

Die Verwendung einer Kennwortverwaltungsanwendung wie Cyclonis Password Manager ist der beste Weg, dies zu tun. Damit können Sie lange, komplexe Passwörter erstellen, ohne sich darüber Gedanken machen zu müssen. Heutzutage ist es keine gute Idee, sich auf das Gehirn zu verlassen, und das Beste daran, Cyclonis Password Manager die ganze Arbeit für Sie erledigen zu lassen, ist, dass die Funktionen Autofill und Autologin der Browsererweiterung zusätzlichen Komfort bieten .

March 28, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 5 + 5 ?