Wenn Sie keine Lust haben, sich sichere Kennwörter zu merken oder zu erstellen, werden Sie es lieben, dass das World Wide Web Consortium (W3C) gestern die Webauthentifizierung (WebAuthn) genehmigt hat, einen neuen Authentifizierungsstandard für kennwortfreie Anmeldungen, der bereits von den wichtigsten Browsern unterstützt wird.
Laut Ankündigung ist die WebAuthn-Spezifikation nun ein offizieller Webstandard.
Mit WebAuthn können sich Benutzer mit ihrem bevorzugten Gerät bei Internetkonten anmelden. Es nutzt ein Protokoll namens Client to Authenticator Protocol (CTAP2), auch FIDO2 genannt, das zum Generieren privater und öffentlicher kryptografischer Schlüsselpaare für die Authentifizierung bei einer Website verwendet wird.
In der Pressemitteilung werden die folgenden Hauptfunktionen von WebAuthn aufgeführt:
- Sicherheit: Die kryptografischen Anmeldeinformationen von FIDO2 sind für jede Website einzigartig. Biometrische Daten oder andere Geheimnisse wie Kennwörter verlassen niemals das Gerät des Benutzers und werden niemals auf einem Server gespeichert. Dieses Sicherheitsmodell verhindert das Risiko von Phishing, Kennwortdiebstahl und Wiederholungsangriffen.
- Bequemlichkeit: Benutzer melden sich mit praktischen Methoden wie Fingerabdrucklesern, Kameras, FIDO-Sicherheitsschlüsseln oder ihrem persönlichen Mobilgerät an.
- Privatsphäre: Da FIDO-Schlüssel für jede Internet-Site eindeutig sind, können sie nicht verwendet werden, um Sie standortübergreifend zu verfolgen.
- Skalierbarkeit: Websites können FIDO2 über einen einfachen API-Aufruf in allen unterstützten Browsern und Plattformen auf Milliarden von Geräten aktivieren, die Verbraucher täglich verwenden.
Mit anderen Worten, WebAuthn könnte Menschen vor Sicherheitsverletzungen oder Phishing-Angriffen schützen.
Für den Anfang ist es viel sicherer als die schwachen Passwörter, die viele Leute verwenden, um ihre Online-Konten oder die einmaligen Passwörter, die abgefangen werden können, zu schützen. Mit WebAuthn würde ein Angreifer, der mit einem korrekten Passwort bewaffnet ist, auch physischen Zugriff auf Ihren physischen Sicherheitsschlüssel oder Ihr Mobilgerät mit unterstützten biometrischen Funktionen benötigen, bevor er Zugriff erhält.
LERNPROGRAMM: Anzeigen, Suchen und Bearbeiten von Safari-Passwörtern
WebAuthn wird derzeit in den Webbrowsern Chrome, Firefox, Edge und Safari sowie in Windows 10 und Android unterstützt. Die Unterstützung für Safari erschien erstmals in Apples Safari Technology Preview Version 71, die am 5. Dezember für Entwickler freigegeben wurde.
WebAuthn sollte mit Yubico-Geräten funktionieren.
Yubico stellt NFC-basierte physische Sicherheitsschlüssel für die passwortlose Anmeldung und die Zwei-Faktor-Authentifizierung her. Im Januar veröffentlichte das Unternehmen seinen ersten von Apple genehmigten physischen Sicherheitsschlüssel, der sowohl mit Lightning-basierten iOS-Geräten als auch mit Macs mit einem USB-C-Anschluss funktioniert.
YubiKey, der allererste von Apple genehmigte physische Sicherheitsschlüssel, funktioniert mit iOS- und macOS-Geräten.Die vorhandenen NFC-basierten Sicherheitsschlüsselprodukte von Yubico funktionieren sofort mit Hunderten von Webdiensten, die die Authentifizierungsprotokolle FIDO U2F und FIDO2 unterstützen.
Sowohl WebAuthn als auch die FIDO2 / FIDO U2F-Authentifizierungsprotokolle werden bereits von Dropbox, Facebook, GitHub, Salesforce, Stripe und Twitter unterstützt. Andere beliebte Websites werden diese Standards voraussichtlich in den kommenden Monaten unterstützen.