WebAuthn: Mozilla, Microsoft und Google sagen Browser-Unterstützung für Logins ohne Passwort zu
Logins per Nutzername und Passwort, sie sind ein Überbleibsel aus den Anfangszeiten des Internets, das sich wenig verändert hat. Es ist schon länger bekannt, dass dies nicht die sicherste Methode ist. Deshalb hat man vor ein paar Jahren angefangen, die 2-Faktor-Authentifizierung einzführen. Zusätzlich zum eigentlichen Login wird noch ein temporärer Code benötigt, generiert durch eine App oder per SMS oder Mail zu erhalten.
Nicht gerade bequem und auch ein Grund, warum nur wenige Nutzer ihre Accounts auf diese Weise absichern. Aber es gibt einen weiteren Standard, FIDO genannt, der zum Beispiel den Login über USB-Tokens ermöglicht. Logins ohne Passwörter, das ist das langfristige Ziel. Diesem Ziel ist man nun ein ganzes Stück näher gekommen, WebAuthn, eine FIDO-Schnittstelle für Webseiten wird künftig von mehreren Browsern unterstützt.
Mozilla, Microsoft und Google haben erklärt, die Schnittstelle zu unterstützen. Während dies im aktuellen Firefox bereits der Fall ist, wird die Unterstützung erst mit einem späteren Update in Edge und Chrome Einzug erhalten. Während große Seiten bereits den Login via FIDO-Standard unterstützen, soll WebAuthn die Implementierung vor allem für kleinere Seiten attraktiver machen, da sie sich leichter gestalten lässt.
Ein solcher USB-Token kann zum Beispiel sowohl als „zweiter Faktor“ genutzt werden als auch direkt ein Passwort ersetzen. Aber FIDO2 setzt nicht nur auf USB-Tokens, wie man es vielleicht vom YubiKey kennt, sondern das kann auch ein Smartphone oder eine Smartwatch sein. Die Ankündigung von W3C und FIDO erklärt, dass Entwickler sofort mit der Implementierung loslegen können. Weitere Informationen zu FIDO2 findet Ihr auf dieser Seite.
Klingt gut, wenn ich die Tokens auch direkt auf meiner verschlüsselten Festplatte speichern kann ist das eine sehr komfortable Möglichkeit.
Bitte beachten, dass die meisten Webseiten momentan U2F nach altem Protokoll und nicht das WebAuthN-Framework nutzen. Firefox kennt nur WebAuthN (muss derzeit noch manuell aktiviert werden), so dass U2F nicht funktioniert.
Derzeit bleibt meistens nur Chrome, die Datenkrake.
Es wurde auch langsam Zeit, dass für den Passwortwahnsinn ein Ersatz gefunden wird. Ich nörgel da schon lange, noh? Hoffentlich setzt sich diese Technologie schnellstens durch.
Die Idee ist eigentlich wunderbar, weil sie es Website-Betreibern ermöglicht, die clientseitige Verwaltung dem Browser zu überlassen und das nur per JavaScript anzustoßen. Leider ergab ein Test, daß das nicht so weit geht, wie erhofft. FireFox Nightly installiert, dann eine Testseite aufgerufen. Die „einfache Variante“ – Browser generiert Schlüsselpaar, sichert das mit einer direkt eingegebenen PIN ab – funktionierte leider auf einem normalen Windows-10 – PC nicht.
Wer das testen will: https://webauthn.bin.coffee/