Sicherheitsforscher kritisieren Standard für passwortloses Login

Webauthn soll zukünftig Passwörter überflüssig machen. Doch die aktuelle Version weist einige ernste Design-Probleme auf, warnen Sicherheitsforscher.

In Pocket speichern vorlesen Druckansicht 43 Kommentare lesen
Sicherheitsforscher kritisieren Standard für passwortloses Login

(Bild: HQuality/Shutterstock.com)

Lesezeit: 2 Min.

Noch vor der Verabschiedung als Standard haben sich Sicherheitsforscher der Firma Paragon den aktuellen Entwurf für WebAuthn genauer angeschaut. Sie bemängeln einige Probleme, die ihrer Ansicht nach jeder Krypto-Experte hätte bemerken können und plädieren für eine Überarbeitung des Drafts.

Das Web Authentication API, kurz WebAuthn ist eine Initiative des World Wide Web Consortiums (W3C) und der FIDO Alliance. Sie soll den Login im Web mit Zweifaktor-Authentifizierung etwa mit einer Kombination von Hardware-Tokens und Biometrie aber dafür ohne Passwort standardisieren. Obwohl dieser Standard noch nicht verabschiedet ist, haben ihn Chrome (ab Version 67) und Firefox (Version 60) bereits eingebaut. Auch Microsoft und Apple haben Unterstützung angekündigt.

Die Kritik von Paragon an WebAuthn konzentriert sich vor allem auf die im Draft fixierte Nutzung von RSA. Dies sei ein veralteter Standard, der sich in vielen Szenarien als angreifbar erweisen habe. Deshalb sollte man ihn insbesondere bei zukunftsweisenden Projekten vermeiden und stattdessen Alternativen wie EdDSA für digitale Signaturen nutzen. Außerdem solle man die aktuelle Inkarnation von ECDAA lieber nicht einsetzen.

Die Forscher betonen in einem Update ihrer Analyse, dass es sich keineswegs um eine Liste kritischer Schwachstellen handle. Vielmehr wollen sie ihre Analyse als konstruktive Kritik verstanden wissen, die dabei hilft, das Design von WebAuthn zu verbessern, noch bevor es "in Stein gemeißelt" werde. Wer WebAuthn bereits heute nutze, sollte das ruhig auch weiterhin tun. (ju)