Log-in ohne Passwort ist jetzt ein Web-Standard

WebAuthn ist jetzt Web-Standard und soll Passwörter überflüssig machen.
Grafik: W3C Bereits seit 2012 arbeitet die Allianz FIDO daran, offene Authen­ti­fi­zie­rungs­stan­dards für das Internet zu entwi­ckeln. Nun ist die WebAuthn (Web Authen­ti­ca­tion) genannte Authen­ti­fi­zie­rungs­me­thode vom zustän­digen Stan­dar­di­sie­rungs­gre­mium W3C (World Wide Web Consor­tium) offi­ziell zu einem Internet-Stan­dard erklärt worden.

Die neue Technik soll vor allem eines: Das Internet sicherer machen. WebAuthn bietet nämlich pass­wort­freie Log-ins, die die bisher gebräuch­li­chen Iden­ti­fi­zie­rungs­tools bestehend aus Nutzer­name und Pass­wort ablösen sollen. Deren Zeit scheint abge­laufen, sie gelten als nicht mehr sicher. Mehr als 81 Prozent aller Daten­lecks gehen laut W3C auf gestoh­lene oder zu einfache Pass­wörter zurück. Sie sind zudem ziem­lich unprak­tisch und kosten viel Zeit. So hat etwa eine Studie des Sicher­heits­spe­zia­listen Yubico [Link entfernt] ergeben, dass ein durch­schnitt­li­cher Nutzer 10,9 Stunden pro Jahr nur damit verbringt, Pass­wörter einzu­geben oder zurück­zu­setzen. Die betrof­fenen Unter­nehmen soll das laut der Studie 5,2 Mio. Dollar kosten, etwa 4,6 Mio. Euro.

Iden­ti­fi­zie­rung mit dem Handy

WebAuthn ist jetzt Web-Standard und soll Passwörter überflüssig machen.
Grafik: W3C WebAuth geht einen anderen Weg zur Nutze­r­iden­ti­fi­zie­rung. Es funk­tio­niert ähnlich wie bei PGP, statt des Pass­worts kommt ein öffent­li­cher und ein privater kryp­to­gra­fi­scher Schlüssel zum Einsatz. Unter­stützt neben dem Browser auch der jewei­lige Dienst - aktuell etwa Dropbox oder Face­book - diese Methode, benö­tigt der Nutzer nur noch eine Iden­ti­fi­zie­rungs­kom­po­nente (Token), um sich anzu­melden. Das kann ein spezi­eller USB-Stick sein, ein biome­tri­sches Anmel­de­ver­fahren wie ein Finger­ab­druck­sensor oder ein Smart­phone mit einer App. Das ist deut­lich bequemer als eine lange Pass­wort­liste.

Weiterer Vorteil: Die Schlüssel, die für die jewei­ligen Seiten benö­tigt werden, sind einmalig. Ein Tracking über verschie­dene Webseiten ist so nicht mehr möglich.

Auch für Zwei­faktor-Iden­ti­fi­zie­rung geeignet

Alter­nativ lässt sich ein WebAuthn-Token als soge­nannter zweiter Faktor bei Log-ins nutzen, um das Konto besser abzu­si­chern. Das bedeutet, dass man weiterhin sein Pass­wort eingibt, sich aber zusätz­lich noch mit dem Token ausweisen muss. Dieses Prinzip nennt sich Zwei-Faktor-Authen­ti­fi­zie­rung (2FA).

Kritik gibt es an dem Verfahren auch. So gilt etwa die verwen­dete RSA-Verschlüs­se­lung als veraltet und unsi­cher. Doch alles ist relativ. Im Vergleich zum Pass­wort-Verfahren bringt WebAuth einen gewal­tigen Sicher­heits­schub.

Webauthn wird bereits seit einem knappen Jahr von den Brow­sern Firefox, Edge und Chrome über eine entspre­chende Schnitt­stelle unter­stützt, teltarif.de berich­tete. Auch unter Android und Windows 10 kann der neue Stan­dard verwendet werden. Neuere Android-Geräte werden ihn bereits ab Werk unter­stützen, für ältere Geräte ab Android 7.0 gibt es eine Nach­rüs­tung.