Authentifizierungs-Verfahren wie USB-Token oder biometrische Verfahren sollen Passwörter künftig obsolet machen
WebAuthn-Standard verspricht passwortfreies Internet
Dieser Artikel ist älter als ein Jahr!
Das Verfahren Web Authentication, kurz WebAuthn, gibt Internet-Nutzern die Möglichkeit, sich ohne die Verwendung von Passwörtern bei Online-Diensten einzuloggen, etwa durch biometrische Verfahren oder die Verwendung von Token. Als Standard soll es künftig sowohl von den meisten Browsern unterstützt werden, als auch von den meisten Online-Diensten. Außerdem verspricht er einfache und kostengünstige Anwendbarkeit auch durch kleine Online-Dienste. Wie nun bekannt gegeben wurde, werden Firefox, Chrome, sowie die Browser von Microsoft (IE, Edge) WebAuthn unterstützen. Mozilla, Google und Microsoft arbeiten daran, WebAuthn für Windows, Mac, Linux, Chrome OS und Android verfügbar zu machen.
Wie die FIDO-Allianz (Plattform für interoperable Authentifizierungsverfahren) und das World Wide Web Consortium (W3C) verkünden, hat WebAuthn die Verfahrensstufe Candidate Recommendation (CR) der Web Authentification Working Group erreicht. Das Verfahren ist somit nur noch einen Schritt von der Bestätigung als allgemeiner Web-Standard entfernt. Die Zusage der großen Browser-Hersteller ist für die FIDO-Allianz und W3C "ein großer Schritt". "Nach Jahren voller schwerer Datenlecks und Passwort-Diebstählen ist die Zeit für Anbieter jetzt reif, um ihre Abhängigkeit von verwundbaren Passwörtern zu beenden und Phishing-resistente FIDO-Authentifizierung auf alle Webseiten und Apps anzuwenden", meint Brett McDowell, Direktor der FIDO-Allianz.
"Es gibt viele Sicherheitsprobleme im Internet, die wir nicht lösen können, aber sich auf Passwörter zu verlassen ist eines der schwächsten Glieder. Mit den vielseitigen Lösungen rund um WebAuthn eliminieren wir dieses schwache Glied", meint W3C-CEO Jeff Jaffe. Wie The Verge berichtet, baut der FIDO-Standard, der u.a. bei Token zur Anwendung kommt, die künftig für Dienste mit WebAuthn eingesetzt werden können, auf einen Zero-Knowledge Proof auf. Dadurch soll es besonders schwierig sein, Phishing-Attacken durchzuführen und sich bei Online-Diensten etwa als eine Person auszugeben, die man nicht ist.
Kommentare