Durch das W3C (World Wide Web Consortium) ist die Standardisierung von WebAuthn (Web Authentication) abgeschlossen. WebAuthn definiert eine Browser-Schnittstelle, mittels derer es möglich ist, sich bei Diensten ohne Passwort anzumelden. Dazu kommt anstelle des Passworts ein öffentlicher kryptografischer Schlüssel zum Einsatz. Dadurch wird eine Anmeldung bei Websites mittels Hardware-Security-Tokens, biometrischen Anmeldeverfahren oder Mobilgeräten ermöglicht.

Die WebAuthn-Spezifikation war bislang lediglich eine Empfehlung und ist nun zu einem Webstandard geworden. WebAuthn wird von den großen Browser Firefox, Chrome und Edge bereits genutzt. Lediglich Safari bietet WebAuthn nur als experimentelles Feature an.

Dem W3C-CEO Jeff Jaffe zufolge sollten "Webservices und Unternehmen [...] jetzt auf WebAuthn umsteigen, um anfällige Passwörter auszumustern und den Webnutzern zu helfen, ihre Online-Sicherheit zu erhöhen". Unterstützung für die Anmeldung per WebAuthn werden von Diensten wie Facebook, GitHub oder Dropbox bereits geboten.

In der Vergangenheit wurde der Standard auch kritisiert. Die für WebAuthn vorgeschlagene veraltete RSA-Verschlüsselung gilt so als angreifbar. Auch als problematisch gilt das zur Verifikation der Schlüsselintegrität empfohlene ECDAA.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE