Passwortlose Anmeldung: WebAuthn ist beschlossene Sache
Das W3C hat den WebAuthn-Standard für passwortlose Anmeldung per öffentlichem Schlüssel im Browser finalisiert.
Die Standardisierung von WebAuthn (Web Authentication) durch das W3C (World Wide Web Consortium) ist abgeschlossen. WebAuthn definiert eine Browser-Schnittstelle, mittels derer man sich bei Diensten ohne Passwort anmelden kann. Statt des Passworts kommt dazu ein öffentlicher kryptografischer Schlüssel zum Einsatz. Das ermöglicht eine Anmeldung bei Websites mittels Hardware-Security-Tokens, biometrischen Anmeldeverfahren oder Mobilgeräten.
Bislang war die WebAuthn-Spezifikation lediglich eine Empfehlung und ist nun zu einem Webstandard geworden. Die großen Browser Firefox, Chrome und Edge beherrschen WebAuthn bereits. Lediglich Safari bietet WebAuthn nur als experimentelles Feature an.
Nicht nur Lob
Laut dem W3C-CEO Jeff Jaffe sollten "Webservices und Unternehmen [...] jetzt auf WebAuthn umsteigen, um anfällige Passwörter auszumustern und den Webnutzern zu helfen, ihre Online-Sicherheit zu erhöhen". Dienste wie Facebook, GitHub oder Dropbox bieten bereits Unterstützung für die Anmeldung per WebAuthn.
Der Standard wurde in der Vergangenheit auch kritisiert. So gilt die für WebAuthn vorgeschlagene veraltete RSA-Verschlüsselung als angreifbar. Auch das zur Verifikation der Schlüsselintegrität empfohlene ECDAA gilt als problematisch. (mls)
