Das World Wide Web Consortium und die Fido Alliance geben WebAuthn bekannt: Was bedeutet das?

WebAuthn - an Official Web Standard

Normalerweise stehen Ihnen beim Erstellen eines neuen Online-Kontos nicht so viele Optionen zur Verfügung. Sie müssen natürlich ein Passwort erstellen, und für die meisten Menschen bedeutet dies, einen von zwei Wegen zu gehen - ein einfaches, leicht zu merkendes und / oder wiederverwendetes Passwort, das ihre Konten gefährdet; oder ein langes, schwer zu erratendes Passwort, das lästig zu tippen und schmerzhaft zu merken ist. Es versteht sich von selbst, dass beide Optionen nicht gerade ideal sind. Gibt es also irgendetwas, das möglicherweise den aktuellen Stand der Dinge ändern kann? Nun, das gibt es und es könnte tatsächlich irgendwohin gehen.

WebAuthn - die passwortlose Alternative

WebAuthn, kurz für Webauthentifizierung, ist ein nicht proprietärer Standard, der die Kommunikation zwischen Websites und einem Sicherheitsgerät erleichtert. Zwei Online-Konsortien, das World Wide Web Consortium (WC3) und die FIDO Alliance, haben in den letzten Jahren daran gearbeitet. Das Konzept geht jedoch auf die UAF-API (Universal Authentication Factor) der FIDO Alliance aus dem Jahr 2014 zurück.

Das Ziel von WebAuthn und UAF ist es, eine neue, sichere Möglichkeit zum Anmelden bei Online-Konten bereitzustellen, ohne dass Kennwörter gespeichert oder eingegeben werden müssen. Aus einer Vielzahl komplizierter Gründe konnte UAF keinen Eindruck auf unser tägliches Leben hinterlassen, aber es scheint, dass WebAuthn einfach anders sein könnte.

Am Montag gaben WC3 und FIDO bekannt, dass WebAuthn nun ein offizieller Webstandard ist. In einfachen Worten bedeutet dies, dass die Experten zuversichtlich genug sind, Web- und App-Entwickler zu beraten, diese in ihre Produkte zu implementieren. Um zu verstehen, wie sich all dies auf uns alle auswirken wird, müssen wir uns ansehen, wie WebAuthn funktioniert.

Wie funktioniert WebAuthn?

Aus der Sicht eines Benutzers sind die Dinge ziemlich einfach. Anstatt einen Benutzernamen und ein Passwort einzugeben, verwenden Sie entweder die biometrischen Authentifizierungsmechanismen auf Ihrem Computer oder Smartphone oder Sie verwenden ein Hardware-Token , das an einem Schlüsselring mitgeführt werden kann und mit USB, NFC, Bluetooth oder USB funktioniert ein ähnliches Kommunikationsprotokoll. Es gibt überhaupt keine Anmeldeinformationen, was nach einem ansprechenden Konzept klingt. Aber was ist mit dem Sicherheitsaspekt?

Während der Vorgang auf den ersten Blick einfach ist, ist ein WebAuthn-Login hinter den Kulissen ein ziemlich komplexer Vorgang. Es basiert alles auf der Kryptographie mit öffentlichem Schlüssel (auch als asymmetrisch bezeichnet), was bedeutet, dass zwei Schlüssel beteiligt sind - ein öffentlicher und ein privater. Jedes einzelne Ihrer Konten erhält ein Paar kryptografischer Schlüssel, die Ihr Computer oder Hardware-Token bei der Registrierung generiert. Der öffentliche Schlüssel wird an den Dienstanbieter gesendet, und der private Schlüssel wird auf Ihrem Gerät gespeichert. Wenn Sie versuchen, sich anzumelden, sendet der Dienstanbieter eine Herausforderung, die Ihr Gerät mit Ihrem privaten Schlüssel signiert und verschlüsselt. Die einzige Möglichkeit, die Herausforderung zu entschlüsseln und die Signatur anzuzeigen, besteht in Ihrem öffentlichen Schlüssel. Auf diese Weise weiß der Dienstanbieter, dass Sie der sind, für den Sie sich ausgeben.

Dieses System bietet nicht nur einige Sicherheitsvorteile. Für die Anmeldung sind zunächst zwei Schlüssel erforderlich, die an zwei verschiedenen Orten gespeichert sind. Selbst wenn die Gauner es irgendwie schaffen, Ihren öffentlichen Schlüssel zu stehlen oder abzufangen, können sie sich nicht ohne den privaten anmelden, der, wie Sie sich vielleicht erinnern, Ihr Gerät niemals verlässt.

Was mehr ist , im Gegensatz zu Passwörtern, Verschlüsselungsschlüssel können nicht erraten werden gestopft , wiederverwendet oder fischen . Mit anderen Worten, die meisten Angriffe, die traditionell auf Kennwörter angewendet werden, sind gegen ein WebAuthn-Schema nicht wirksam.

Der neue Webstandard ist bemerkenswert, da er eines der wenigen Beispiele für eine technologische Innovation ist, die nicht nur die Benutzerfreundlichkeit verbessert, sondern auch zu einer besseren Sicherheit führt.

Das Passwort ist also tot, oder?

Es ist sicherlich etwas, worauf man sich freuen kann, aber wir gehen davon aus, dass das Ende des Passworts noch weit entfernt ist. Es gibt kaum Zweifel daran, dass die Technologie hinter WebAuthn solide ist, aber es gibt noch einige Hindernisse zu überwinden.

Zum einen ist WebAuthn ein Webstandard, und so albern es auch klingt, das Wort "Standard" im klassischen Sinne ist in der Online-Welt ein Tabu. Nehmen Sie zum Beispiel Passwörter. Wir haben sie eine ganze Weile als primären Anmeldemechanismus verwendet, aber selbst jetzt, Jahrzehnte nach ihrem ersten Erscheinen, können wir uns noch nicht darauf einigen, was ein sicheres Passwort ist und was nicht . In ähnlicher Weise scheinen die Anbieter trotz der offensichtlichen Vorteile nicht auf der gleichen Seite zu sein, wenn es darum geht, wie schnell WebAuthn implementiert werden soll.

Googles Chrome war der erste Browser, der WebAuthn unterstützte, aber erst einige Monate später implementierte Firefox, ein weiterer großer Name in der Branche, es. Microsoft hat sich die Zeit genommen, WebAuthn in Edge zu integrieren, und Apple experimentiert immer noch mit der Unterstützung für Safari. In der mobilen Landschaft ist die Situation nicht viel anders. Letzte Woche gab FIDO bekannt, dass alle Telefone und Tablets mit Android 7.0 oder höher in Kürze FIDO-zertifiziert sein werden. WebAuthn ist das Kernstück des FIDO2-Protokolls, was bedeutet, dass diese Geräte die kennwortlose Anmeldung effektiv unterstützen. Leider haben wir noch keine Informationen darüber, wann der Standard in Apples iOS integriert wird. Und selbst wenn alle Anbieter WebAuthn für ihre neueren Geräte nutzen, können Sie die Berge von Legacy-Systemen, die zurückbleiben, nicht ignorieren.

Nachdem Hardwareanbieter es übernommen haben, müssen Website- und Anwendungsentwickler es natürlich alle als Anmeldemechanismus implementieren. Mit anderen Worten, es ist unwahrscheinlich, dass WebAuthn das Kennwort bald vollständig ersetzt. Und bis dies der Fall ist, müssen Sie sicherstellen, dass Ihre Konten so gut wie möglich geschützt sind.

Die Verwendung einer Kennwortverwaltungsanwendung wie Cyclonis Password Manager ist der beste Weg, dies zu tun. Mit ihm können Sie lange, komplexe Passwörter erstellen, ohne sich Gedanken darüber machen zu müssen. In der heutigen Zeit ist es einfach keine gute Idee, sich darauf zu verlassen, dass Ihr Gehirn dies tut. Das Beste daran, Cyclonis Password Manager die ganze Arbeit für Sie erledigen zu lassen, ist, dass die Funktionen zum automatischen Ausfüllen und zur automatischen Anmeldung der Browsererweiterung zusätzlichen Komfort bieten .

March 28, 2019

Antworten