Internet

Log-in ohne Passwort ist jetzt ein Web-Standard

Anmeldungen mit Benutzername und Password sind von gestern. Bald reicht der Fingerabdruck oder das Handy.
Von mit Material von dpa
AAA
Teilen (13)

Bereits seit 2012 arbeitet die Allianz FIDO daran, offene Authen­ti­fi­zie­rungs­stan­dards für das Internet zu entwi­ckeln. Nun ist die WebAuthn (Web Authen­ti­ca­tion) genannte Authen­ti­fi­zie­rungs­me­thode vom zustän­digen Stan­dar­di­sie­rungs­gre­mium W3C (World Wide Web Consor­tium) offi­ziell zu einem Internet-Stan­dard erklärt worden.

Die neue Technik soll vor allem eines: Das Internet sicherer machen. WebAuthn bietet nämlich pass­wort­freie Log-ins, die die bisher gebräuch­li­chen Iden­ti­fi­zie­rungs­tools bestehend aus Nutzer­name und Pass­wort ablösen sollen. Deren Zeit scheint abge­laufen, sie gelten als nicht mehr sicher. Mehr als 81 Prozent aller Daten­lecks gehen laut W3C auf gestoh­lene oder zu einfache Pass­wörter zurück. Sie sind zudem ziem­lich unprak­tisch und kosten viel Zeit. So hat etwa eine Studie des Sicher­heits­spe­zia­listen Yubico ergeben, dass ein durch­schnitt­li­cher Nutzer 10,9 Stunden pro Jahr nur damit verbringt, Pass­wörter einzu­geben oder zurück­zu­setzen. Die betrof­fenen Unter­nehmen soll das laut der Studie 5,2 Mio. Dollar kosten, etwa 4,6 Mio. Euro.

Iden­ti­fi­zie­rung mit dem Handy

WebAuthn ist jetzt Web-Standard und soll Passwörter überflüssig machen.WebAuthn ist jetzt Web-Standard und soll Passwörter überflüssig machen. WebAuth geht einen anderen Weg zur Nutze­r­iden­ti­fi­zie­rung. Es funk­tio­niert ähnlich wie bei PGP, statt des Pass­worts kommt ein öffent­li­cher und ein privater kryp­to­gra­fi­scher Schlüssel zum Einsatz. Unter­stützt neben dem Browser auch der jewei­lige Dienst - aktuell etwa Dropbox oder Face­book - diese Methode, benö­tigt der Nutzer nur noch eine Iden­ti­fi­zie­rungs­kom­po­nente (Token), um sich anzu­melden. Das kann ein spezi­eller USB-Stick sein, ein biome­tri­sches Anmel­de­ver­fahren wie ein Finger­ab­druck­sensor oder ein Smart­phone mit einer App. Das ist deut­lich bequemer als eine lange Pass­wort­liste.

Weiterer Vorteil: Die Schlüssel, die für die jewei­ligen Seiten benö­tigt werden, sind einmalig. Ein Tracking über verschie­dene Webseiten ist so nicht mehr möglich.

Auch für Zwei­faktor-Iden­ti­fi­zie­rung geeignet

Alter­nativ lässt sich ein WebAuthn-Token als soge­nannter zweiter Faktor bei Log-ins nutzen, um das Konto besser abzu­si­chern. Das bedeutet, dass man weiterhin sein Pass­wort eingibt, sich aber zusätz­lich noch mit dem Token ausweisen muss. Dieses Prinzip nennt sich Zwei-Faktor-Authen­ti­fi­zie­rung (2FA).

Kritik gibt es an dem Verfahren auch. So gilt etwa die verwen­dete RSA-Verschlüs­se­lung als veraltet und unsi­cher. Doch alles ist relativ. Im Vergleich zum Pass­wort-Verfahren bringt WebAuth einen gewal­tigen Sicher­heits­schub.

Webauthn wird bereits seit einem knappen Jahr von den Brow­sern Firefox, Edge und Chrome über eine entspre­chende Schnitt­stelle unter­stützt, teltarif.de berich­tete. Auch unter Android und Windows 10 kann der neue Stan­dard verwendet werden. Neuere Android-Geräte werden ihn bereits ab Werk unter­stützen, für ältere Geräte ab Android 7.0 gibt es eine Nach­rüs­tung.

Teilen (13)

Mehr zum Thema Sicherheit