Wer sich viel im Internet bewegt, wird ver­mut­lich unzählige Pass­wör­ter und Be­nut­zer­na­men haben. Soziale Medien, E-Commerce oder E-Mail-Konten: Für alles braucht man einen eigenen Zugang. Zukünftig könnte das Surfen im Internet für Nutzer aber sehr viel kom­for­ta­bler ablaufen – zumindest wenn es nach dem World Wide Web Con­sor­ti­um (W3C) geht. Der neue Standard WebAuthn soll das Merken von Pass­wör­tern unnötig machen, und zwar ohne die Si­cher­heit von sensiblen Daten zu gefährden.

Die Idee von Web Au­then­ti­ca­ti­on

Früher war die einzige Mög­lich­keit, seine Identität im Internet zu be­stä­ti­gen, eine Kom­bi­na­ti­on aus Be­nut­zer­na­me und Passwort. Mit Be­nut­zer­na­men (in manchen Fällen auch der E-Mail-Adresse) gibt ein Nutzer an, auf welches Konto er zugreifen darf. Ein Passwort, das nur er kennt, bestätigt seine Identität.

Dieses Verfahren hat sich in der Ver­gan­gen­heit als man­gel­haft erwiesen: Da es sehr um­ständ­lich ist, neigen Nutzer dazu, es selbst­stän­dig zu ver­ein­fa­chen. Man verwendet leicht zu merkende Zei­chen­kom­bi­na­tio­nen – die schnell geknackt werden können – oder benutzt für jedes Konto das gleiche Kennwort. Um dem zu begegnen, wurden Passwort-Manager und Multi-Faktor-Au­then­ti­sie­rung (MFA) ein­ge­führt. Doch auch diese Maßnahmen sind für Nutzer nicht kom­for­ta­bel.

Das World Wide Web Con­sor­ti­um (ein Zu­sam­men­schluss von IT-Un­ter­neh­men, der re­gel­mä­ßig Standards fürs Web ver­öf­fent­licht) hat das Problem erkannt und nach einer Lösung gesucht. Gemeinsam mit der FIDO-Allianz (einer Ko­ope­ra­ti­on ver­schie­de­ner Un­ter­neh­men für ein­heit­li­che Au­then­ti­sie­rungs­maß­nah­men) hat man im FIDO2-Projekt gleich mehrere Maßnahmen ent­wi­ckelt: Neben dem Client-to-Au­then­ti­ca­tor-Protocol (CTAP) ist das vor allem der neue Standard WebAuthn.

Der Web Au­then­ti­ca­tor soll eine ein­heit­li­che Au­then­ti­sie­rungs­mög­lich­keit sein, die nicht mehr auf Pass­wör­ter, sondern auf bio­me­tri­sche Daten zu­rück­greift. Der Standard sieht also vor, dass Nutzer sich per Fin­ger­ab­druck oder Ge­sichts­er­ken­nung in ihren Konten anmelden. Heut­zu­ta­ge sind bereits viele Geräte (vor allem Smart­phones und Laptops) mit ent­spre­chen­der Hard- und Software aus­ge­stat­tet, weshalb die Hürde für Nutzer relativ gering ist. Al­ter­na­tiv kann ein Hardware-Token verwendet werden, mit dem man sich quasi ausweist. Da Nutzer diese In­for­ma­tio­nen immer mit sich tragen, können sie sie weder vergessen noch unbedacht wei­ter­ge­ben: Phishing könnte mit WebAuthn also ver­mut­lich der Ver­gan­gen­heit angehören.

Tech­ni­sche Umsetzung von WebAuthn

WebAuthn soll zukünftig über jeden Browser funk­tio­nie­ren. Chrome, Firefox, (teilweise) Safari und Edge un­ter­stüt­zen den Standard bei­spiels­wei­se bereits. Websites, die die Identität von Nutzern zwecks Log-in über­prü­fen wollen, greifen auf das Web Au­then­ti­ca­ti­on API im Browser zu. Der jeweilige Nutzer wiederum bestätigt seine Identität nur an seinem eigenen Gerät. Er nutzt bei­spiels­wei­se einen Fin­ger­ab­druck­scan­ner oder verbindet seinen Token mit Laptop oder PC. Die sensiblen Iden­ti­täts­da­ten (z. B. der Fin­ger­ab­druck) verlassen das Gerät dabei nicht. Per Public-Key-Verfahren wird nur eine Be­stä­ti­gung des Browsers an den Web­ser­vice versendet. Der Nutzer muss weder ein Passwort noch einen Be­nut­zer­na­men angeben.

Die Schnitt­stel­le wird per Ja­va­Script an­ge­spro­chen. Dies macht es sehr einfach für Website-Betreiber, Web Au­then­ti­ca­ti­on zu im­ple­men­tie­ren, und sollte deshalb für eine rasche Ver­brei­tung des Standards sorgen. Wenn der Anbieter des Web­ser­vices noch mehr Si­cher­heit für seinen Dienst verlangen möchte, können WebAuthn und MFA auch gemeinsam verwendet werden. Zu­sätz­lich zur Au­then­ti­sie­rung mit bio­me­tri­schen Daten kann man also theo­re­tisch trotzdem noch ein Passwort verlangen.

Hinweis

Website-Betreiber müssen die Ver­bin­dung zum Web Au­then­ti­ca­tor API her­stel­len bzw. den korrekten Ja­va­Script-Code im­ple­men­tie­ren. Die of­fi­zi­el­le W3C-Emp­feh­lung enthält nähere In­for­ma­tio­nen zur ser­ver­sei­ti­gen Umsetzung.

Da die Nutzer zudem nicht mehr für die Er­stel­lung von Pass­wör­tern und Be­nut­zer­na­men ver­ant­wort­lich sind, besteht keine Gefahr, dass die gleichen Daten für ver­schie­de­ne Konten verwendet werden. Der Standard sorgt dafür, dass für jedes Konto eines Nutzers ein­zig­ar­ti­ge An­mel­de­infor­ma­tio­nen vorliegen. Man muss nur einmalig seinen Au­then­ti­ca­tor (Fin­ger­ab­druck, Token etc.) beim Webdienst re­gis­trie­ren und kann dann den kom­for­ta­blen Log-in verwenden.

Fakt

Da für jedes Konto un­ter­schied­li­che Daten verwendet werden, kann per WebAuthn auch kein Tracking über ver­schie­de­ne Websites hinweg funk­tio­nie­ren.

Vorteile und Nachteile der Web Au­then­ti­ca­ti­on

Im Gegensatz zu älteren Maßnahmen, die auf ein Passwort gesetzt haben, ergeben sich mit WebAuthn gleich mehrere Vorteile für Nutzer und Anbieter von Web­ser­vices glei­cher­ma­ßen. Besonders der Komfort dürfte Anwender über­zeu­gen. Es müssen keine In­for­ma­tio­nen mehr auswendig gelernt werden. Damit einher geht auch ein großer Gewinn in puncto Si­cher­heit: Das Verwenden von Pass­wör­tern ist schließ­lich nur bedingt sicher. Entweder sie lassen sich knacken (mit Brute Force oder Rainbow Tables bei­spiels­wei­se) oder die Kenn­wör­ter werden per Phishing aus­ge­späht. Bei WebAuthn gibt es keine Pass­wör­ter, die ein Anwender unbedacht wei­ter­ge­ben kann.

Da bei dem neuen Standard keine Iden­ti­täts­da­ten über das Internet über­tra­gen werden, bringt auch ein Man-in-the-Middle-Angriff, bei dem die Daten während der Über­tra­gung ab­ge­grif­fen werden könnten, nichts. Durch das Public-Key-Verfahren ist zudem die Über­mitt­lung des Au­then­ti­zi­täts­zer­ti­fi­kats kryp­to­gra­fisch gesichert.

Dass alle sensiblen Daten im Gerät des Nutzers bleiben, ist gleich­zei­tig der Vorteil für Website-Betreiber. Anbietern von Diensten, die eine Anmeldung vor­aus­set­zen, müssen derzeit sehr viel Energie und Kompetenz in die Sicherung von Pass­wör­tern und Be­nut­zer­na­men stecken. Es ist fatal, wenn es Kri­mi­nel­len gelingt, in die Da­ten­ban­ken des Anbieters ein­zu­drin­gen. Auf Un­ter­neh­men, die einen solchen Angriff nicht abwenden können, kommen schwer­wie­gen­de Kon­se­quen­zen zu, und auch die leid­tra­gen­den Nutzer müssen mit er­heb­li­chem Da­ten­miss­brauch rechnen – besonders dann, wenn sie die An­mel­de­da­ten auch auf anderen Platt­for­men verwenden.

WebAuthn gilt überdies als sicherer als die Multi-Faktor-Au­then­ti­sie­rung. Zwar bietet das zu­sätz­li­che Iden­ti­täts­merk­mal, das beim Anmelden per MFA abgefragt wird, einen zu­sätz­li­chen Schutz, dies ist aber dennoch nicht komplett ohne Risiko. Manche Au­then­ti­sie­rungs­merk­ma­le – wie ein One-Time-Password per SMS – können relativ leicht ab­ge­fan­gen werden. Außerdem sind auch diese Kurz­zeit­pass­wör­ter zu beliebten An­griffs­punk­ten von Phishing geworden. Hinzu kommt: MFA ist ein relativ zeit­auf­wen­di­ger Vorgang. WebAuthn funk­tio­niert schneller und ist somit nut­zer­freund­li­cher.

Nachteile ergeben sich al­ler­dings dann, wenn ein neuer Au­then­ti­ca­tor für ein be­stehen­des Konto an­ge­mel­det werden muss. Wenn bei­spiels­wei­se der Hardware-Token verloren geht, braucht man einen neuen. Dieser neue Token lässt sich dann nicht ohne weiteres mit dem be­stehen­den Profil ver­knüp­fen – das wäre ein zu großes Si­cher­heits­ri­si­ko. Statt­des­sen muss entweder ein Ersatz-Au­then­ti­ca­tor vorhanden sein, der genau für diesen Einsatz bestimmt ist, oder man muss einen Reset vornehmen. Letzteres ent­spricht etwa dem Zu­rück­set­zen eines Passworts und ist vor allem für Dienste geeignet, die keinen hohen Si­cher­heits­stan­dard verlangen.

Fazit

WebAuthn bietet einen höheren Si­cher­heits­stan­dard als ältere Verfahren und erhöht gleich­zei­tig den Komfort beim Anmelden auf Websites. Auch Anbieter von Web­ser­vices haben mit WebAuthn weniger Aufwand, zumal die Im­ple­men­tie­rung ver­gleichs­wei­se einfach ist.

Zum Hauptmenü