WebAuthn-API
Die WebAuthn-API (Web Authentication API) ermöglicht die Integration von Servern in starke Authentifizierungssysteme, die Geräte mit Apples Touch ID oder Windows Hello bereitstellen. WebAuthn-API ist ein offizieller Webstandard, der vom W3C und der FIDO Alliance (Fast IDentity Online) zusammen mit Tier-1-Anbietern wie Microsoft, Mozilla und Google entwickelt wurde.
Die WebAuthn-API verwendet anstelle eines Passwortes ein privates/öffentliches Schlüsselpaar als Berechtigungsnachweis. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert, und der öffentliche Schlüssel ist eine zufällig generierte Kennung, die zur Speicherung an den Server gesendet wird. Der Server verwendet dann diesen öffentlichen Schlüssel, um die Identität des Benutzers nachzuweisen. Der öffentliche Schlüssel ist nicht geheim, da er ohne den entsprechenden privaten Schlüssel nutzlos ist.
So funktioniert die WebAuthn-API
Wenn sich ein Benutzer bei einer Website anmeldet, die WebAuthn unterstützt, bietet die Anwendung mehrere Optionen für die Authentifizierung unter Verwendung der nativen Unterstützung in allen führenden Browsern und Plattformen. Der Nutzer kann sich beim Webdienst mit einer Reihe von Authentifizierungsverfahren anmelden, zum Beispiel mit einem in die Plattform integrierten Authentifizierungsverfahren wie Biometrie (Iris-Scan, Gesichtserkennung, Fingerabdruck) oder einem externen Authentifizierungsverfahren wie einem Sicherheitsschlüssel.
Nach der Registrierung wird der Benutzer beim Dienst auf dem Gerät authentifiziert. Nach der Anmeldung beim Dienst kann sich der Nutzer mit dem von ihm bevorzugten Authentifizierungsverfahren abmelden und erneut anmelden. Die WebAuthn-API ist eindeutig, da sie nicht zur Identifizierung von Benutzern zwischen verschiedenen Websites verwendet werden kann. Die generierten Anmeldedaten sind an die Domänen der Websites gebunden, die sie erstellt haben, was den Nutzern eine zusätzliche Ebene der Privatsphäre bietet.
Die Bedeutung der WebAuthn-API
WebAuthn API löst erhebliche Sicherheitsprobleme im Zusammenhang mit Datenpannen, Phishing sowie Angriffen auf SMS oder andere Zwei-Faktor-Authentifizierungsmethoden. Außerdem wird die Benutzerfreundlichkeit deutlich erhöht, da die Nutzer nicht Dutzende von Passwörtern verwalten müssen, die immer komplizierter werden.
Bisher mussten die Benutzer bei der Anmeldung bei Konten gemeinsame Geheimnisse, das bedeutet ihre Passwörter, angeben, die dann auf Servern gespeichert wurden, die mehr oder weniger sicher waren. Bedrohungsakteure konnten sich Zugang zu Benutzerkonten verschaffen, wenn die Passwörter im Klartext gespeichert waren, die Server nicht ordnungsgemäß gesichert waren oder die Passwörter der Benutzer leicht zu erraten oder zu manipulieren waren.
Mit der WebAuthn-API brauchen die Server keine Passwörter mehr zu speichern. Stattdessen registrieren die Server die WebAuthn-Anmeldedaten mithilfe von privat-öffentlichen Schlüsselpaaren, die auch Kennungen für jeden Benutzer enthalten.
Da sich die Nutzer ihre Passwörter nicht mehr merken oder eintippen müssen, können sie sich außerdem schneller anmelden und die Inhalte von Websites nutzen. Das kann das Nutzungserlebnis deutlich verbessern.
Die Geschichte der WebAuthn-API
Im Dezember 2014 begann die FIDO Alliance, ein offener Branchenverband, der die Sicherheit im Internet erhöhen und die Verwendung von Passwörtern verringern will, mit der Arbeit am Universal Authentication Factor (UAF), um die Benutzerauthentifizierung auf eine modernere und sicherere Weise zu handhaben.
Die UAF-Spezifikation wurde jedoch nicht auf breiter Ebene übernommen, zum Teil, weil die erforderliche Funktionalität nicht in die wichtigsten Browser aufgenommen wurde, so dass die Entwickler, die sie implementieren wollten, diesen Mangel an nativer Unterstützung umgehen mussten. Außerdem haperte es an Referenzmaterial, wie die Schritte für eine ordnungsgemäße Funktion von UAF auf iOS- und Android-Geräten zu implementieren sind.
Im November 2015 begann die FIDO Alliance mit der Arbeit an einer neuen Version, FIDO2. Von 2016 bis 2018 arbeitete die Allianz mit dem W3C zusammen, um eine Reihe von APIs zu entwickeln. FIDO2 wurde von den großen Browserentwicklern Microsoft, Mozilla und Google unterstützt.
Das Ziel von FIDO2 und der WebAuthn-API war es, mehr Optionen und Flexibilität für die Benutzerauthentifizierung zu bieten, ein reibungsloseres, unkomplizierteres Benutzererlebnis zu schaffen, Entwicklern soll die Implementierung in ihre Anwendungen erleichtert werden und zeitgleich eine bessere Sicherheit zu gewährleistet sein Die FIDO-Allianz und das WC3 wollen Weberlebnisse für Nutzer schaffen, die nicht auf komplexe Passwörter angewiesen sind.
