Sichere, passwortfreie Authentifizierung

Wie WebAuthn das Internet schützen kann

| Autor / Redakteur: Stina Ehrensvärd / Peter Schmitz

Mit WebAuthn müssen sich Benutzer im Internet nicht mehr auf die schwache Sicherheit von Passwörtern verlassen.
Mit WebAuthn müssen sich Benutzer im Internet nicht mehr auf die schwache Sicherheit von Passwörtern verlassen. (Bild: gemeinfrei)

Vor kurzem hat das World Wide Web Consortium (W3C) einen neuen Standard für sichere Web-Authentifizierung verabschiedet: WebAuthn. WebAuthn ist der erste globale Standard für Web-Authentifizierung und auf dem besten Weg, von allen Plattformen und Browsern unterstützt zu werden. Dies ist ein Meilenstein in der Geschichte der Internetsicherheit.

Da sich mittlerweile ein Großteil unseres Privat- und Berufslebens online abspielt, sind stärkere Sicherheitsmaßnahmen für unsere digitalen Identitäten wichtiger denn je. WebAuthn zeichnet jetzt einen klaren Weg vor, um das Problem anzugehen, das der überwiegenden Mehrzahl der Sicherheitsverletzungen zugrunde liegt – die Übernahme von Konten mithilfe gestohlener Online-Zugangsdaten.

Was ist eigentlich WebAuthn? Die Entwicklung der WebAuthn-Spezifikation nahm über drei Jahre in Anspruch, doch eigentlich ist sie der Gipfelpunkt von mehr als zehn Jahren Innovation und sieben Jahren Standardisierungsarbeit. Auf den U2F-Standard (Universal Second Factor), der von Yubico und Google vorangetrieben wurde, folgte FIDO2 und nun WebAuthn. Diese Standards bauen also aufeinander auf und stellen eine natürliche Evolution dar, mit dem Ziel, wichtige neue Sicherheitsfunktionen für das moderne Internet zusammenzuführen:

Phishing-Schutz: Als Weiterentwicklung des U2F-Standards nutzt WebAuthn asymmetrische (Public-Key-)Kryptographie und eine an den ursprünglichen Dienst gebundene Schlüsselvalidierung, um die Authentizität der Website zu überprüfen, auf der sich der Benutzer authentisieren möchte. Diese integrierten Sicherheitsprüfungen verringern erheblich die Anfälligkeit für Phishing-Angriffe und den daraus resultierenden Diebstahl von Zugangsdaten.

Anmeldung ohne Passwort: WebAuthn erleichtert es den Entwicklern, sichere Anwendungen mit einer Auswahl an stärkeren Authentifizierungsmethoden bereitzustellen. Auf diese Weise verringert WebAuthn die Abhängigkeit von schwachen Passwörtern. Die integrierte WebAuthn-Unterstützung in Plattformen und Betriebssystemen versetzt die Anwendungsentwickler jetzt in die Lage, die Authentifizierung mit einer Reihe moderner Authentifizierungsmethoden zu erweitern.

Moderne Authentifizierungsoptionen: WebAuthn bietet den Benutzern die Möglichkeit, verschiedene Authentifikatoren für ihr Konto zu registrieren. Dazu zählen sowohl externe Hardware-Security-Keys als auch integrierte Authentifikatoren wie Fingerabdrucksensoren oder Gesichtserkennungskameras, die in vielen Geräten verbaut sind. Dank dieser Auswahl an Authentifikatoren wird die Kontoverwaltung und -wiederherstellung für die Benutzer wesentlich komfortabler. Beispielsweise kann sich ein Benutzer mit einem Fingerabdruckleser bei mobilen Anwendungen auf seinem Mobilgerät anmelden und auch einen Hardware-Security-Key registrieren. So lässt sich der Zugriff auf Konten auf einem neuen Gerät schnell herstellen, falls das ursprüngliche Gerät aktualisiert, verloren, gestohlen oder kompromittiert wurde.

Schluss mit Kontoübernahmen und gestohlenen Zugangsdaten

Seit vielen Jahren sind die Benutzer auf Benutzernamen und Passwörter angewiesen, um ihre Online-Konten zu schützen. Mittlerweile sind Millionen von Benutzernachweisen im Internet zugänglich, die bei Datenschutzverletzungen auf der ganzen Welt entwendet wurden, darunter die 773 Millionen Datensätze, die als Collection #1 bekannt sind. Das macht gestohlene Zugangsdaten zum Türöffner für die überwiegende Mehrheit der Kontoübernahmen.

Mit WebAuthn müssen sich Benutzer nicht mehr auf die schwache Sicherheit von Passwörtern verlassen. Künftig können sie erwarten, dass Dienste starke Authentifizierungsmethoden auf Basis von WebAuthn anbieten, einschließlich der Möglichkeit, Security Keys und integrierte Plattform-Authentifikatoren zu verwenden, um Online-Konten zu schützen.

WebAuthn bringt die Internetsicherheit einen großen Schritt voran und ebnet den Weg in eine Welt der benutzerfreundlichen und hochsicheren, passwortfreien Authentifizierung.

Ausblick

Yubicos CEO und Gründerin, Stina Ehrensvärd.
Yubicos CEO und Gründerin, Stina Ehrensvärd. (Bild: Yubico)

Der jetzt verabschiedete neue Standard WebAuthn wird bereits von den wichtigsten Webbrowsern und Betriebssystemen unterstützt. Dazu zählen Microsoft Edge, Mozilla Firefox, Google Chrome und Google Android. Apple Safari ist dabei, die API aktiv zu testen. Dank dieser Innovation können Anwendungsentwickler und Dienstleister den Benutzern höhere Sicherheit und zugleich eine komfortable Anmeldung bieten, die uns allen die bekannten Probleme von Passwörtern erspart.

Benutzer, die sich für ihre Online-Konten ein Höchstmaß an Sicherheit wünschen, sollten die Unterstützung von WebAuthn bei ihren bevorzugten Online-Diensten einfordern, etwa bei Banken, Steuererklärungsprogrammen, Behördendiensten und Shopping-Websites.

Entwickler und Online-Dienste, die mit hochsicheren und benutzerfreundlichen Anmeldeverfahren ernst machen wollen, können die Unterstützung für WebAuthn schnell umsetzen. Yubico und andere Anbieter, die zu WebAuthn beigetragen haben, stellen Entwicklern Referenzdokumentationen, Testwerkzeuge und Open-Source-Server zur Verfügung, um eine schnelle Implementierung von WebAuthn zu ermöglichen.

Über die Autorin: Stina Ehrensvärd ist CEO und Gründerin von Yubico.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45846820 / Authentifizierung)