Produkte
03/06/2019

Nie wieder Passwörter eintippen: WebAuthn wird Standard

Das Word Wide Web Consortium (W3C) hat die Authentifizierung ohne Passwort-Eingabe als Web-Standard festgeschrieben.

Das Verfahren Web Authentication, kurz WebAuthn, gibt Internet-Nutzern die Möglichkeit, sich ohne die Verwendung von Passwörtern bei Online-Diensten einzuloggen. Das funktioniert etwa durch biometrische Verfahren oder die Verwendung von Token. Das W3C und die FIDO-Allianz, eine Plattform für interoperable Authentifizierungsverfahren, haben diesen neuen Standard nun offiziell genehmigt. Damit ist der Weg für das Log-in ohne Passwort frei.

Browser unterstützen WebAuth

Vor allem unsicherer Passwörter, die Nutzer immer wieder verwenden, sind in der Praxis oft wesentlich unsicherer als WebAuthn, schreibt The Verge. Sowohl Windows 10, Android, Chrome, als auch Firefox, Edge und Safari unterstützen den WebAuthn-Standard bereits. Von den Diensten nutzen ihn bereits Dropbox und Microsoft. Jetzt, wo der Weg durch das W3C frei ist, müssten ihn aber auch andere Websites und Dienste implementieren, um ihn als wirkliche Passwort-Alternative positionieren zu können.

"Es gibt viele Sicherheitsprobleme im Internet, die wir nicht lösen können, aber sich auf Passwörter zu verlassen ist eines der schwächsten Glieder. Mit den vielseitigen Lösungen rund um WebAuthn eliminieren wir dieses schwache Glied", meint W3C-CEO Jeff Jaffe.

Passwörter kosten auch viel Zeit und Geld

Wie aus einer Yubico-Studie hervorgeht, verbringen Nutzer 10,9 Stunden pro Jahr damit, Passwörter einzugeben oder zurückzusetzen. Das kostet Unternehmen jährlich 5,2 Millionen US-Dollar. Multifaktor-Authentifizierungsverfahren wie SMS-Codes seien noch immer anfällig für Phishing-Attacken, heißt es in der Presseaussendung des W3C.

Der WebAuthn-Standard sei daher eine globale Lösung für das Passwort-Problem. Die Login-Daten seien dadurch einzigartig auf jeder Website, verlassen niemals das Gerät des Nutzers und werden niemals auf einem Server gehostet. Damit würden alle Sicherheitsrisiken auf einmal eliminiert: Phishing, Passwort-Diebstahl und Angriffe, die auf das Erraten von Passwörtern setzen.

W3C wirbt für Vorteile

Für Nutzer sei WebAuthn zudem bequem, weil sie sich mit Methoden wie Fingerabdrucksensoren, Kameras oder andere Security-Schlüsseln auf ihrem mobilen Gerät identifizieren können. Auch Token per USB-Stick sind möglich. Die Schlüssel sind auf jeder einzelnen Website einzigartig und können niemanden über mehrere Websites hinweg verfolgen. "Von allen Multi-Faktoren-Authentifikationsverfahren ist WebAuthn die beste technische Lösung, um auf Phishing zu reagieren und die Accounts von Privatpersonen zu schützen", sagt J.C. Jones, Kryptografie-Experte bei Mozilla.

Damit mehr Provider und Website-Betreiber den neuen Standard einsetzen, hat die FIDO-Allianz Spezifikationen veröffentlicht und Tools, mit denen WebAuthn getestet werden kann.