Da sich mittlerweile ein Großteil unseres Privat- und Berufslebens online abspielt, sind stärkere Sicherheitsmaßnahmen für unsere digitalen Identitäten wichtiger denn je. WebAuthn zeichnet jetzt einen klaren Weg vor, um das Problem anzugehen, das der überwiegenden Mehrzahl der Sicherheitsverletzungen zugrunde liegt – die Übernahme von Konten mithilfe gestohlener Online-Zugangsdaten.
Was ist eigentlich WebAuthn?
Die Entwicklung der WebAuthn-Spezifikation nahm über drei Jahre in Anspruch, doch eigentlich ist sie der Gipfelpunkt von mehr als zehn Jahren Innovation und sieben Jahren Standardisierungsarbeit. Auf den U2F-Standard (Universal Second Factor), der von Yubico und Google vorangetrieben wurde, folgte FIDO2 und nun WebAuthn. Diese Standards bauen also aufeinander auf und stellen eine natürliche Evolution dar, mit dem Ziel, wichtige neue Sicherheitsfunktionen für das moderne Internet zusammenzuführen:
Phishing-Schutz
Als Weiterentwicklung des U2F-Standards nutzt WebAuthn asymmetrische (Public-Key-)Kryptographie und eine an den ursprünglichen Dienst gebundene Schlüsselvalidierung, um die Authentizität der Website zu überprüfen, auf der sich der Benutzer authentisieren möchte. Diese integrierten Sicherheitsprüfungen verringern erheblich die Anfälligkeit für Phishing-Angriffe und den daraus resultierenden Diebstahl von Zugangsdaten.
Anmeldung ohne Passwort
WebAuthn erleichtert es den Entwicklern, sichere Anwendungen mit einer Auswahl an stärkeren Authentifizierungsmethoden bereitzustellen. Auf diese Weise verringert WebAuthn die Abhängigkeit von schwachen Passwörtern. Die integrierte WebAuthn-Unterstützung in Plattformen und Betriebssystemen versetzt die Anwendungsentwickler jetzt in die Lage, die Authentifizierung mit einer Reihe moderner Authentifizierungsmethoden zu erweitern.
Moderne Authentifizierungsoptionen
WebAuthn bietet den Benutzern die Möglichkeit, verschiedene Authentifikatoren für ihr Konto zu registrieren. Dazu zählen sowohl externe Hardware-Security-Keys als auch integrierte Authentifikatoren wie Fingerabdrucksensoren oder Gesichtserkennungskameras, die in vielen Geräten verbaut sind. Dank dieser Auswahl an Authentifikatoren wird die Kontoverwaltung und -wiederherstellung für die Benutzer wesentlich komfortabler. Beispielsweise kann sich ein Benutzer mit einem Fingerabdruckleser bei mobilen Anwendungen auf seinem Mobilgerät anmelden und auch einen Hardware-Security-Key registrieren. So lässt sich der Zugriff auf Konten auf einem neuen Gerät schnell herstellen, falls das ursprüngliche Gerät aktualisiert, verloren, gestohlen oder kompromittiert wurde.
Schluss mit Kontoübernahmen und gestohlenen Zugangsdaten
Seit vielen Jahren sind die Benutzer auf Benutzernamen und Passwörter angewiesen, um ihre Online-Konten zu schützen. Mittlerweile sind Millionen von Benutzernachweisen im Internet zugänglich, die bei Datenschutzverletzungen auf der ganzen Welt entwendet wurden, darunter die 773 Millionen Datensätze, die als Collection #1 bekannt sind. Das macht gestohlene Zugangsdaten zum Türöffner für die überwiegende Mehrheit der Kontoübernahmen.
Mit WebAuthn müssen sich Benutzer nicht mehr auf die schwache Sicherheit von Passwörtern verlassen. Künftig können sie erwarten, dass Dienste starke Authentifizierungsmethoden auf Basis von WebAuthn anbieten, einschließlich der Möglichkeit, Security Keys und integrierte Plattform-Authentifikatoren zu verwenden, um Online-Konten zu schützen.
WebAuthn bringt die Internetsicherheit einen großen Schritt voran und ebnet den Weg in eine Welt der benutzerfreundlichen und hochsicheren, passwortfreien Authentifizierung.
Ausblick
Der jetzt verabschiedete neue Standard WebAuthn wird bereits von den wichtigsten Webbrowsern und Betriebssystemen unterstützt. Dazu zählen Microsoft Edge, Mozilla Firefox, Google Chrome und Google Android. Apple Safari ist dabei, die API aktiv zu testen. Dank dieser Innovation können Anwendungsentwickler und Dienstleister den Benutzern höhere Sicherheit und zugleich eine komfortable Anmeldung bieten, die uns allen die bekannten Probleme von Passwörtern erspart.
Benutzer, die sich für ihre Online-Konten ein Höchstmaß an Sicherheit wünschen, sollten die Unterstützung von WebAuthn bei ihren bevorzugten Online-Diensten einfordern, etwa bei Banken, Steuererklärungsprogrammen, Behördendiensten und Shopping-Websites.
Entwickler und Online-Dienste, die mit hochsicheren und benutzerfreundlichen Anmeldeverfahren ernst machen wollen, können die Unterstützung für WebAuthn schnell umsetzen. Yubico und andere Anbieter, die zu WebAuthn beigetragen haben, stellen Entwicklern Referenzdokumentationen, Testwerkzeuge und Open-Source-Server zur Verfügung, um eine schnelle Implementierung von WebAuthn zu ermöglichen.
(Quelle: SecurityInsider)