WebAuthn ist ein vom World Wide Web Consortium (W3C) veröffentlichter Standard für eine Programmierschnittstelle, mit der Webanwendungen und Websites ihren Benutzern eine direkte Authentifikation mittels Public-Key-Verfahren im Webbrowser anbieten können. Dadurch kann die Bedienung vereinfacht und auf die Vielzahl individueller Kennwörter für jede Website verzichtet werden. Die Voraussetzung ist, dass der Webbrowser sicher auf einen Authentifikator im oder am Gerät des Benutzers zugreifen kann. Viele modernen Smartphones oder Laptops bieten diese in Form von Fingerabdrucksensoren oder Gesichtserkennung. Der Standard ermöglicht es dem Webentwickler mit Hilfe eines WebAuthn-kompatiblen Webbrowsers den Zugriff auf einen Authentikator zur sicheren und einfachen Nutzung seiner Dienste. Dem Webentwickler entsteht damit ein erheblicher Sicherheitsvorteil, da er keine Kundenpasswörter mehr verwalten und vor Zugriffen Dritter schützen muss.
Technische Beschreibung
WebAuthn ist eine Kernkomponente des FIDO2-Projekts innerhalb des W3C unter enger Einbeziehung der FIDO-Allianz.
Auf der Client-Seite kann die Unterstützung für WebAuthn auf verschiedene Arten implementiert werden. Die zugrunde liegenden kryptografischen Operationen werden von einem Authentifikator ausgeführt. Hierbei handelt es sich um ein abstraktes Funktionsmodell, das hinsichtlich der Verwaltung des Schlüsselmaterials meist unbeteiligt ist. Dadurch ist es möglich, die Unterstützung für WebAuthn in Software zu implementieren, welche die vertrauenswürdige Ausführungsumgebung eines Prozessors oder ein Trusted Platform Module (TPM) nutzt.
Sensible kryptografische Vorgänge können auch auf einen Roaming-Hardware-Authentifikator übertragen werden, auf den wiederum über USB, Bluetooth Low Energy oder Near Field Communication (NFC) zugegriffen werden kann. Ein Roaming-Hardware-Authentifikator entspricht dem Client to Authenticator Protocol (CTAP) des FIDO-Clients, wodurch WebAuthn effektiv abwärtskompatibel zum FIDO-Standard U2F (Universal 2nd Factor) ist.
Ähnlich wie das alte U2F ist auch die Web-Authentifikation ein nachvollziehbarer Identitätswechsel, das heißt, dass diese gegen aktive Man-in-the-Middle-Angriffe resistent ist, aber im Gegensatz zu U2F kein herkömmliches Kennwort erfordert. Darüber hinaus ist ein Roaming-Hardware-Authentifikator resistent gegen Schadprogramme, da Software zu keiner Zeit auf das private Schlüsselmaterial für den Host-Computer zugreifen kann.
Der WebAuthn-Level-1-Standard wurde am 4. März 2019 als Empfehlung des World Wide Web Consortiums (W3C) veröffentlicht. Am 8. April 2021 folgte die Level-2-Spezifikation.
Windows 10, Android, macOS und iOS können Webauthn verwenden. Webauthn wird bereits von den Browsern Firefox, Chrome/Chromium, Safari und Edge unterstützt.
Weblinks
Einzelnachweise
- ↑ W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins. Abgerufen am 18. Januar 2023.
- ↑ Web Authentication: An API for accessing Public Key Credentials - Level 2. Abgerufen am 13. Februar 2023.
- ↑ Apple Developer Documentation. Abgerufen am 16. Dezember 2022.