Log-in ohne Passwort ist jetzt ein Web-Standard
WebAuthn ist jetzt Web-Standard und soll Passwörter überflüssig machen.
Grafik: W3C
Bereits seit 2012 arbeitet die Allianz FIDO daran, offene Authentifizierungsstandards für das Internet zu entwickeln. Nun ist die
WebAuthn (Web Authentication) genannte Authentifizierungsmethode vom
zuständigen Standardisierungsgremium W3C (World Wide Web Consortium)
offiziell zu einem Internet-Standard erklärt worden.
Die neue Technik soll vor allem eines: Das Internet sicherer machen. WebAuthn bietet nämlich passwortfreie Log-ins, die die bisher gebräuchlichen Identifizierungstools bestehend aus Nutzername und Passwort ablösen sollen. Deren Zeit scheint abgelaufen, sie gelten als nicht mehr sicher. Mehr als 81 Prozent aller Datenlecks gehen laut W3C auf gestohlene oder zu einfache Passwörter zurück. Sie sind zudem ziemlich unpraktisch und kosten viel Zeit. So hat etwa eine Studie des Sicherheitsspezialisten Yubico [Link entfernt] ergeben, dass ein durchschnittlicher Nutzer 10,9 Stunden pro Jahr nur damit verbringt, Passwörter einzugeben oder zurückzusetzen. Die betroffenen Unternehmen soll das laut der Studie 5,2 Mio. Dollar kosten, etwa 4,6 Mio. Euro.
Identifizierung mit dem Handy
WebAuthn ist jetzt Web-Standard und soll Passwörter überflüssig machen.
Grafik: W3C
WebAuth geht einen anderen Weg zur Nutzeridentifizierung. Es funktioniert ähnlich wie bei PGP, statt des Passworts kommt ein öffentlicher und ein privater kryptografischer Schlüssel zum Einsatz. Unterstützt neben dem Browser auch der
jeweilige Dienst - aktuell etwa Dropbox oder Facebook - diese
Methode, benötigt der Nutzer nur noch eine Identifizierungskomponente
(Token), um sich anzumelden. Das kann ein spezieller USB-Stick sein,
ein biometrisches Anmeldeverfahren wie ein Fingerabdrucksensor oder
ein Smartphone mit einer App. Das ist deutlich bequemer als eine lange Passwortliste.
Weiterer Vorteil: Die Schlüssel, die für die jeweiligen Seiten benötigt werden, sind einmalig. Ein Tracking über verschiedene Webseiten ist so nicht mehr möglich.
Auch für Zweifaktor-Identifizierung geeignet
Alternativ lässt sich ein WebAuthn-Token als sogenannter zweiter Faktor bei Log-ins nutzen, um das Konto besser abzusichern. Das bedeutet, dass man weiterhin sein Passwort eingibt, sich aber zusätzlich noch mit dem Token ausweisen muss. Dieses Prinzip nennt sich Zwei-Faktor-Authentifizierung (2FA).
Kritik gibt es an dem Verfahren auch. So gilt etwa die verwendete RSA-Verschlüsselung als veraltet und unsicher. Doch alles ist relativ. Im Vergleich zum Passwort-Verfahren bringt WebAuth einen gewaltigen Sicherheitsschub.
Webauthn wird bereits seit einem knappen Jahr von den Browsern Firefox, Edge und Chrome über eine entsprechende Schnittstelle unterstützt, teltarif.de berichtete. Auch unter Android und Windows 10 kann der neue Standard verwendet werden. Neuere Android-Geräte werden ihn bereits ab Werk unterstützen, für ältere Geräte ab Android 7.0 gibt es eine Nachrüstung.