WebAuthn-Authentifizierung

Schlüssel zum Erfolg

von Thorsten Scherf

Phishing ist eines der größten Sicherheitsprobleme im Internet. Die hierüber gestohlenen Zugangsdaten sind maßgeblich dafür verantwortlich, dass Angreifer unberechtigten Zugang zu Systemen erhalten. Eine Antwort auf das Problem stellt die Multi-Faktor basierte Authentifizierung dar. Das World Wide Web Consortium (W3C) baut auf diesem Ansatz auf und hat im Sommer 2018 mit WebAuthn ein neues Interface zur sicheren Authentifizierung im Web vorgestellt.

Aus IT-Administrator 02/2019

Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern ... (mehr)

Im Bereich Web Authentication tut sich momentan einiges. Das Web Authentication Interface (WebAuthn) [1] des World Wide Web Consortium (W3C) ist dabei nur ein Baustein des FIDO2-Projekts. Dieses wurde von der FIDO-Allianz (Fast IDentity Online) ins Leben gerufen, um einen allgemeinen Standard zur Authentifizierung von Benutzern im Web zu schaffen. Die Allianz verfügt über viele namhafte Mitglieder: Unter anderem engagieren sich dort Amazon, Google, Microsoft, RSA, Yubico und viele andere Größen der IT-Branche.

Bei FIDO2 soll die Eingabe eines Benutzernamens und Passworts komplett entfallen und stattdessen die Authentifizierung eines Benutzers mit Hilfe von Public-Key-Verschlüsselung, kombiniert mit einem Hardware-Token und optional weiteren Faktoren, durchgeführt werden. Bei den optionalen Faktoren kann es sich sowohl um biometrische Merkmale, wie beispielsweise ein Fingerabdruck oder ein Iris-Scan, als auch um eine Benutzer-bezogene PIN handeln. Die Authentifizierung auf Basis eines Benutzernamens und Passworts ist somit nicht mehr notwendig.

Um FIDO2 und WebAuthn besser zu verstehen, hilft es, sich die einzelnen Komponenten einmal näher

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.