Passwörter werden bald Geschichte sein: WebAuthn ist jetzt offizieller Standard

 

Passwörter sind nicht nur ein beliebtes Einfallstor für Hacker, für die Benutzer sind sie umständlich und bisweilen sogar ärgerlich. Untersuchungen von Yubico, einem Hersteller von Hardware-Authentisierungstokens, haben gezeigt, dass der durchschnittliche Computernutzer pro Jahr insgesamt 10,9 Stunden damit verbringt, Passwörter einzugeben oder zurücksetzen zu lassen. Im Unternehmenskontext bedeutet diese Zahl einen durchschnittlichen Verlust von 5,2 Millionen Dollar pro Jahr.

Traditionelle Lösungen zur Multi-Faktor-Authentisierung (MFA) erhöhen die Sicherheit zwar, aber Phishing-Angreifer schaffen es oft, auch diese Hürde zu überwinden. Die Situation wird erschwert durch die geringe Verbreitung von MFA bei Endbenutzern.

Deshalb arbeiten das W3C und die FIDO-Allianz seit längerem an einer Lösung, bei der dauerhaft auf Passwörter verzichtet werden kann. Ersetzt werden sollen sie durch eine API namens WebAuthn, einen Standard, der inzwischen von Windows 10, Android, Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari unterstützt wird. Mit WebAuthn können sich Benutzer mithilfe von biometrischen Daten und FIDO-Sicherheits-Tokens bei Online-Diensten und Geräten anmelden. Das bedeutet eine deutlich höhere Sicherheit als ein einfacher Passwortschutz. Wer Interesse an den technischen Details hat, findet sämtliche Dokumentation hier (auf Englisch).

Laut W3C bieten die FIDO2-Spezifikationen der FIDO-Allianz Lösungen in den vier grundlegenden Problembereichen herkömmlicher Authentisierung:

• Sicherheit: FIDO2-Zugangsdaten sind für jede Website unterschiedlich, und biometrische Daten oder andere Geheimnisse wie Passwörter verlassen nie das Gerät des Benutzers und werden nie auf Servern gespeichert. Dadurch wird Phishing, Replay-Angriffen und sämtlichen Passwortdiebstahlmethoden ein effektiver Riegel vorgeschoben.
• Bequemlichkeit: Benutzer melden sich mit einfach Dingen wie Fingerabdrucklesern, Kameras, FIDO-Sicherheits-Tokens oder ihrem Mobilgerät an.
• Privatsphäre: Da FIDO-Schlüssel für jede Website unterschiedlich sind, können Benutzer nicht mehr über mehrere Websites hinweg verfolgt werden.
• Skalierbarkeit: Websites können FIDO2 durch einen simplen API-Aufruf in allen unterstützten Browsern auf allen unterstützten Plattformen auf Milliarden von Geräten des täglichen Gebrauchs aktivieren.

Die Online-Authentisierungs-Komponente von FIDO2 ist jetzt ein offizieller Web-Standard des W3C. Das ist eine große Errungenschaft auf dem Weg zu einer praktikablen Phishing-resistenten Authentisierungsmethode, hinter der jahrelange gemeinsame Entwicklungsarbeit steckt“, so Brett McDowell,  Geschäftsführer der FIDO-Allianz. „Mit dem Erreichen dieses Meilensteins treten wir in die nächste Phase unserer Mission ein, allen Internetbenutzern für die absehbare Zukunft eine einfachere, aber sicherere Möglichkeit der Authentisierung zu bieten.“

WebAuthn ist ein großer Schritt in Richtung eines sichereren und benutzerfreundlicheren Internets. Bis alle den neuen Standard tatsächlich nutzen, dürfte aber noch einige Zeit ins Land gehen. Web-Standards brauchen in der Regel lange, bis sie ausreifen und sich durchsetzen.

 

rn