Suchen

Definition WebAuthn Was ist WebAuthn?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

WebAuthn ermöglicht die Authentifizierung von Benutzern ohne ein Passwort. Es handelt sich um einen W3C-Standard, der auf Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones basiert. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen das Verfahren bereits.

Firmen zum Thema

WebAuthn ist ein neuer Standard des World Wide Web Consortiums und der FIDO Alliance zur Authentifizierung im Web ohne Passwörter.
WebAuthn ist ein neuer Standard des World Wide Web Consortiums und der FIDO Alliance zur Authentifizierung im Web ohne Passwörter.
(Bild: W3C)

Der Begriff WebAuthn steht für einen vom World Wide Web Consortium (W3C) veröffentlichten Standard zur Authentifizierung von Usern im Web. Er ist ein wichtiges Ergebnis des FIDO2-Projekts der FIDO-Alliance (Fast IDentity Online). Zur Alliance gehören namhafte Unternehmen wie Google, Amazon, Microsoft oder RSA. Mithilfe des Verfahrens lässt sich ein User per Public-Key-Methode und Faktoren wie Hardware-Token, biometrische Merkmale oder Smartphones authentifizieren. Benutzernamen und Passwörter werden überflüssig.

Zur Nutzung des Verfahrens muss die Unterstützung der WebAuthn-API in die Webbrowser und Webanwendungen integriert sein. Gängige Browser wie Mozilla Firefox, Google Chrome, Apple Safari oder Microsoft Edge unterstützen das Verfahren bereits. Auch Betriebssysteme wie Windows und Android oder Webanwendungen wie Dropbox haben die Authentifizierungsmethode integriert. Die Veröffentlichung des Level-1 des Standards durch das W3C erfolgte im März 2019. Am Level 2 der Spezifikation wird noch gearbeitet. Um die Verbreitung des Verfahrens voranzutreiben, stellt die FIDO-Alliance Tools und Spezifikationen zur Verfügung, mit denen sich die Authentifizierung testen lässt.

Die wichtigsten Merkmale der WebAuthn-Authentifizierung

Die wichtigsten Merkmale des Authentifizierungverfahrens sind kurz zusammengefasst folgende:

  • für jeden Webservice ist ein eigener eindeutiger Account vorhanden
  • die Zugangsfaktoren verlassen niemals das Gerät des Users
  • Anwender können sich per biometrische Merkmale wie Fingerabdrücke, mit FIDO-Security-Token oder Mobilgeräten anmelden
  • es sind keine Passwörter zur Anmeldung notwendig
  • die Integration auf Websites ist über den Aufruf der WebAuthn-API möglich

Funktionsweise von WebAuthn

Das Authentifizierungsverfahren setzt auf eine ältere FIDO-Spezifikation mit dem Kürzel UAF (Universal Authentication Factor) auf. Im Gegensatz zu UAF werden auch Browser unterstützt. Bei der erstmaligen Nutzung eines Webservices bietet dieser dem User die Authentifizierungsmethode WebAuthn an. Der User registriert sich einmalig mit seiner Identität, seinem lokalen Gerät oder den gewünschten Sicherheitsfaktoren für den Webservice. Ist seine Identität mit dem Service verknüpft, kann er sich anschließend ohne Benutzername und Passwort anmelden. Beispielsweise genügt es, nach einer Aufforderung im Webbrowser den Hardware-Token mit dem Rechner zu verbinden oder den Fingerabdruck am Rechner zu scannen. Jeder Service, bei dem sich ein User anmeldet, benutzt eigene Schlüsselpaare. Identische Accounts bei unterschiedlichen Services sind ausgeschlossen.

Die Vorteile des Verfahrens

Nach der erstmaligen Registrierung ist die Authentifizierung immer gleich und sehr einfach durchzuführen. Durch den Wegfall der Login-Credentials ist die Anmeldung wesentlich sicherer und der Missbrauch durch Passwortdiebstahl unterbunden. Zudem ist sichergestellt, dass für jeden Webservice eine eigener, eindeutiger Zugang existiert. Zur Anmeldung an unterschiedlichen Services lassen sich nicht mehr gleiche Zugangsdaten verwenden. Dies verhindert das Tracking von Usern über verschiedene Services hinweg. Sensible Daten wie biometrische Informationen verlassen das Gerät des Anwenders niemals. Die Authentifizierungsmethode ist resistent gegen Man-in-the-Middle-Angriffe und verhindert den Passwortdiebstahl durch Phishing.

(ID:45838727)

Über den Autor