WebAuthn-Authentifizierung

Im Bereich Web Authentication tut sich momentan einiges. Das Web Authentication Interface (WebAuthn) [1] des World Wide Web Consortium (W3C) ist dabei nur ein Baustein des FIDO2-Projekts. Dieses wurde von der FIDO-Allianz (Fast IDentity Online) ins Leben gerufen, um einen allgemeinen Standard zur Authentifizierung von Benutzern im Web zu schaffen. Die Allianz verfügt über viele namhafte Mitglieder: Unter anderem engagieren sich dort Amazon, Google, Microsoft, RSA, Yubico und viele andere Größen der IT-Branche.

Bei FIDO2 soll die Eingabe eines Benutzernamens und Passworts komplett entfallen und stattdessen die Authentifizierung eines Benutzers mit Hilfe von Public-Key-Verschlüsselung, kombiniert mit einem Hardware-Token und optional weiteren Faktoren, durchgeführt werden. Bei den optionalen Faktoren kann es sich sowohl um biometrische Merkmale, wie beispielsweise ein Fingerabdruck oder ein Iris-Scan, als auch um eine Benutzer-bezogene PIN handeln. Die Authentifizierung auf Basis eines Benutzernamens und Passworts ist somit nicht mehr notwendig.

Um FIDO2 und WebAuthn besser zu verstehen, hilft es, sich die einzelnen Komponenten einmal näher anzusehen. Web­Authn ist eigentlich lediglich ein Interface, das Webdienste und Anwendungen dafür verwenden können, um einem Benutzer mit Hilfe von Public-Key-Authentifizierung Zugang zu gewähren. Im W3C-Standard wird in diesem Zusammenhang von einer "WebAuthn Relying Party" gesprochen, die mit Hilfe von "conforming User Agents" Zugang zu den "public key credentials" des Benutzers erhält.

Webbrowser, die das WebAuthn-Interface unterstützen, sind dabei die "conforming User Agents". Die Public-Keys werden dabei von einem "Authenticator" erzeugt und geschützt. Hierbei handelt es sich zumeist um externe Tokens, die mittels USB-Schnittstelle, Bluetooth oder NFC mit einem System kommunizieren. Als Alternative dazu kann auch Hardware zum Einsatz kommen,

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.