Definition WebAuthn

Was ist WebAuthn?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

WebAuthn ist ein neuer Standard des World Wide Web Consortiums und der FIDO Alliance zur Authentifizierung im Web ohne Passwörter.
WebAuthn ist ein neuer Standard des World Wide Web Consortiums und der FIDO Alliance zur Authentifizierung im Web ohne Passwörter. (Bild: W3C)

WebAuthn ermöglicht die Authentifizierung von Benutzern ohne ein Passwort. Es handelt sich um einen W3C-Standard, der auf Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones basiert. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen das Verfahren bereits.

Der Begriff WebAuthn steht für einen vom World Wide Web Consortium (W3C) veröffentlichten Standard zur Authentifizierung von Usern im Web. Er ist ein wichtiges Ergebnis des FIDO2-Projekts der FIDO-Alliance (Fast IDentity Online). Zur Alliance gehören namhafte Unternehmen wie Google, Amazon, Microsoft oder RSA. Mithilfe des Verfahrens lässt sich ein User per Public-Key-Methode und Faktoren wie Hardware-Token, biometrische Merkmale oder Smartphones authentifizieren. Benutzernamen und Passwörter werden überflüssig.

Zur Nutzung des Verfahrens muss die Unterstützung der WebAuthn-API in die Webbrowser und Webanwendungen integriert sein. Gängige Browser wie Mozilla Firefox, Google Chrome, Apple Safari oder Microsoft Edge unterstützen das Verfahren bereits. Auch Betriebssysteme wie Windows und Android oder Webanwendungen wie Dropbox haben die Authentifizierungsmethode integriert. Die Veröffentlichung des Level-1 des Standards durch das W3C erfolgte im März 2019. Am Level 2 der Spezifikation wird noch gearbeitet. Um die Verbreitung des Verfahrens voranzutreiben, stellt die FIDO-Alliance Tools und Spezifikationen zur Verfügung, mit denen sich die Authentifizierung testen lässt.

Mit WebAuthn ohne Kennwörter im Web

Mozilla, Firefox, Google und Co mit neuer Authentifizierung

Mit WebAuthn ohne Kennwörter im Web

19.04.18 - Mit dem neuen Web-Standard WebAuthentication soll es in Zukunft möglich sein, sich an Webdiensten ohne Kennwort anzumelden. Die großen Browser-Hersteller unterstützen den neuen Standard. Dadurch sind Anmeldungen in Zukunft auch ohne Kennwörter möglich. lesen

Die wichtigsten Merkmale der WebAuthn-Authentifizierung

Die wichtigsten Merkmale des Authentifizierungverfahrens sind kurz zusammengefasst folgende:

  • für jeden Webservice ist ein eigener eindeutiger Account vorhanden
  • die Zugangsfaktoren verlassen niemals das Gerät des Users
  • Anwender können sich per biometrische Merkmale wie Fingerabdrücke, mit FIDO-Security-Token oder Mobilgeräten anmelden
  • es sind keine Passwörter zur Anmeldung notwendig
  • die Integration auf Websites ist über den Aufruf der WebAuthn-API möglich

Funktionsweise von WebAuthn

Das Authentifizierungsverfahren setzt auf eine ältere FIDO-Spezifikation mit dem Kürzel UAF (Universal Authentication Factor) auf. Im Gegensatz zu UAF werden auch Browser unterstützt. Bei der erstmaligen Nutzung eines Webservices bietet dieser dem User die Authentifizierungsmethode WebAuthn an. Der User registriert sich einmalig mit seiner Identität, seinem lokalen Gerät oder den gewünschten Sicherheitsfaktoren für den Webservice. Ist seine Identität mit dem Service verknüpft, kann er sich anschließend ohne Benutzername und Passwort anmelden. Beispielsweise genügt es, nach einer Aufforderung im Webbrowser den Hardware-Token mit dem Rechner zu verbinden oder den Fingerabdruck am Rechner zu scannen. Jeder Service, bei dem sich ein User anmeldet, benutzt eigene Schlüsselpaare. Identische Accounts bei unterschiedlichen Services sind ausgeschlossen.

FIDO2 bringt den passwortfreien Login

Offener Standard für starke Authentifizierung

FIDO2 bringt den passwortfreien Login

16.10.18 - Für viele Anwender findet ein wichtiger Teil des Lebens im Web statt, von Kommunikation über Bank- und Finanzgeschäfte, bis zum Online-Einkauf. Die sichere Anmeldung an Online-Diensten ist dabei unerlässlich um die digitalen Identitäten der Nutzer zu schützen. Dem stehen jedes Jahr größere Zahlen an gestohlenen Benutzerdaten entgegen, die zeigen, dass Benutzername und Passwort keine Zukunft mehr haben. lesen

Die Vorteile des Verfahrens

Nach der erstmaligen Registrierung ist die Authentifizierung immer gleich und sehr einfach durchzuführen. Durch den Wegfall der Login-Credentials ist die Anmeldung wesentlich sicherer und der Missbrauch durch Passwortdiebstahl unterbunden. Zudem ist sichergestellt, dass für jeden Webservice eine eigener, eindeutiger Zugang existiert. Zur Anmeldung an unterschiedlichen Services lassen sich nicht mehr gleiche Zugangsdaten verwenden. Dies verhindert das Tracking von Usern über verschiedene Services hinweg. Sensible Daten wie biometrische Informationen verlassen das Gerät des Anwenders niemals. Die Authentifizierungsmethode ist resistent gegen Man-in-the-Middle-Angriffe und verhindert den Passwortdiebstahl durch Phishing.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Wie WebAuthn das Internet schützen kann

Sichere, passwortfreie Authentifizierung

Wie WebAuthn das Internet schützen kann

Vor kurzem hat das World Wide Web Consortium (W3C) einen neuen Standard für sichere Web-Authentifizierung verabschiedet: WebAuthn. WebAuthn ist der erste globale Standard für Web-Authentifizierung und auf dem besten Weg, von allen Plattformen und Browsern unterstützt zu werden. Dies ist ein Meilenstein in der Geschichte der Internetsicherheit. lesen

W3C macht WebAuthn zum Standard

Passwortlose Anmeldung

W3C macht WebAuthn zum Standard

WebAuthn, die Web-Authentication-Komponente von FIDO2 ist jetzt ein offizieller Web-Standard des W3C. Der neue Standard soll Anwendern eine einfachere und stärkere Authentifizierung ohne Passwörter ermöglichen. Webservices und Unternehmen sollten jetzt auf WebAuthn umsteigen, um anfällige Passwörter auszumustern und den Webnutzern zu helfen, ihre Online-Sicherheit zu erhöhen, meint Jeff Jaffe, CEO des W3C. lesen

FIDO2 bringt den passwortfreien Login

Offener Standard für starke Authentifizierung

FIDO2 bringt den passwortfreien Login

Für viele Anwender findet ein wichtiger Teil des Lebens im Web statt, von Kommunikation über Bank- und Finanzgeschäfte, bis zum Online-Einkauf. Die sichere Anmeldung an Online-Diensten ist dabei unerlässlich um die digitalen Identitäten der Nutzer zu schützen. Dem stehen jedes Jahr größere Zahlen an gestohlenen Benutzerdaten entgegen, die zeigen, dass Benutzername und Passwort keine Zukunft mehr haben. lesen

Mit WebAuthn ohne Kennwörter im Web

Mozilla, Firefox, Google und Co mit neuer Authentifizierung

Mit WebAuthn ohne Kennwörter im Web

Mit dem neuen Web-Standard WebAuthentication soll es in Zukunft möglich sein, sich an Webdiensten ohne Kennwort anzumelden. Die großen Browser-Hersteller unterstützen den neuen Standard. Dadurch sind Anmeldungen in Zukunft auch ohne Kennwörter möglich. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45838727 / Definitionen)