X

Mehr Sicherheit im Netz: Passwörter sollen dank WebAuthn sterben

Wäre die Online-Welt ohne Passwörter sicherer und bequemer? So glaubt es zumindest das World Wide Web Consortium. Das W3C hat die Web Authentication API (WebAuthn) zu einem offiziellen Standard gemacht. In Zukunft wird es Authentifikationen ohne Kennwort im Web geben.
Pexels / CC0
05.03.2019  08:30 Uhr
Das Verfahren WebAuthn wurde im November 2015 vom W3C und der FIDO Alliance angekündigt. Unterstützt wird es von bekannten Unternehmen wie Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBank, Tencent und Yubico. Nach der Spezifikation können sich Benutzer mit biometrischen Verfahren, mobilen Geräten oder FIDO-Sicherheitsschlüsseln online anmelden. Das bedeutet aber nicht, dass nun jeder zusätzliche Hardware wie einen Fingerabdruckscanner oder einen Funkschlüssel benötigt. Das Verfahren klappt auch mit einem handelsüblichen Smartphone.
Studie fragt: Passwort oder biometrische Authentifizierung?
Infografik Studie fragt: Passwort oder biometrische Authentifizierung?

Viele Betriebssystem-Entwickler bereiten sich vor

WebAuthn wird von Google Android und Microsoft Windows 10 unterstützt, wobei Apple bereits seit Dezember 2018 die Authentifizierung in seinen Vorabversionen von Safari integriert hat. Auf der Browserseite unterstützen zudem Google Chrome, Mozilla Firefox und Microsoft Edge seit vergangenem Jahr den neuen Standard.

"Es ist an der Zeit, dass Webservices und Unternehmen WebAuthn einsetzen, um auf anfällige Passwörter zu verzichten und zu helfen, die Sicherheit von Online-Anwendungen zu verbessern", sagte W3C-Chef Jeff Jaffe in einer Erklärung. "Das W3C arbeitet daran, diese Best Practice auf seiner eigenen Website umzusetzen."

Windows 10: So kommt man bei vergessenem Passwort ins System
videoplayer10:56

Nutzerdaten bleiben auf den eigenen Geräten

Der größte Vorteil: Die kryptographischen Anmeldeinformationen werden nie auf einem Server gespeichert und verlassen in keinem Fall die Geräte der Nutzer. Probleme wie Phishing, Passwortdiebstahl aller Art und Replay-Angriffe sollen damit der Vergangenheit angehören. Die Benutzer melden sich mit einfachen Mitteln per Fingerabdruck, Gesichtserkennung, Sicherheits-Tokens oder mit ihrem persönlichen, mobilen Gerät an.

Auch für den Datenschutz ist die Methode gut. Da FIDO-Schlüssel für jede Internetseite einzigartig sind, können sie nicht dazu verwendet werden, Benutzer über Websites hinweg zu verfolgen. Um die Akzeptanz zu fördern, stellt die FIDO Alliance Testwerkzeuge und ein Zertifizierungsprogramm zur Verfügung. WebAuthn ist bereits in Diensten wie Dropbox, Facebook, GitHub, Salesforce, Stripe und Twitter implementiert. Nun ist die Hoffnung groß, dass auch andere große Betreiber mitmachen, um passwortfreien Anmeldungen Aufschwung zu verschaffen.
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture