WebAuthn (Web Authentication)

Wer sich viel im Internet bewegt, wird vermutlich unzählige Passwörter und Benutzernamen haben. Soziale Medien, E-Commerce oder E-Mail-Konten: Für alles braucht man einen eigenen Zugang. Zukünftig könnte das Surfen im Internet für Nutzer aber sehr viel komfortabler ablaufen – zumindest wenn es nach dem World Wide Web Consortium (W3C) geht. Der neue Standard WebAuthn soll das Merken von Passwörtern unnötig machen, und zwar ohne die Sicherheit von sensiblen Daten zu gefährden.

Die Idee von Web Authentication

Früher war die einzige Möglichkeit, seine Identität im Internet zu bestätigen, eine Kombination aus Benutzername und Passwort. Mit Benutzernamen (in manchen Fällen auch der E-Mail-Adresse) gibt ein Nutzer an, auf welches Konto er zugreifen darf. Ein Passwort, das nur er kennt, bestätigt seine Identität.

Dieses Verfahren hat sich in der Vergangenheit als mangelhaft erwiesen: Da es sehr umständlich ist, neigen Nutzer dazu, es selbstständig zu vereinfachen. Man verwendet leicht zu merkende Zeichenkombinationen – die schnell geknackt werden können – oder benutzt für jedes Konto das gleiche Kennwort. Um dem zu begegnen, wurden Passwort-Manager und Multi-Faktor-Authentisierung (MFA) eingeführt. Doch auch diese Maßnahmen sind für Nutzer nicht komfortabel.

Das World Wide Web Consortium (ein Zusammenschluss von IT-Unternehmen, der regelmäßig Standards fürs Web veröffentlicht) hat das Problem erkannt und nach einer Lösung gesucht. Gemeinsam mit der FIDO-Allianz (einer Kooperation verschiedener Unternehmen für einheitliche Authentisierungsmaßnahmen) hat man im FIDO2-Projekt gleich mehrere Maßnahmen entwickelt: Neben dem Client-to-Authenticator-Protocol (CTAP) ist das vor allem der neue Standard WebAuthn.

Der Web Authenticator soll eine einheitliche Authentisierungsmöglichkeit sein, die nicht mehr auf Passwörter, sondern auf biometrische Daten zurückgreift. Der Standard sieht also vor, dass Nutzer sich per Fingerabdruck oder Gesichtserkennung in ihren Konten anmelden. Heutzutage sind bereits viele Geräte (vor allem Smartphones und Laptops) mit entsprechender Hard- und Software ausgestattet, weshalb die Hürde für Nutzer relativ gering ist. Alternativ kann ein Hardware-Token verwendet werden, mit dem man sich quasi ausweist. Da Nutzer diese Informationen immer mit sich tragen, können sie sie weder vergessen noch unbedacht weitergeben: Phishing könnte mit WebAuthn also vermutlich der Vergangenheit angehören.

Technische Umsetzung von WebAuthn

WebAuthn soll zukünftig über jeden Browser funktionieren. Chrome, Firefox, (teilweise) Safari und Edge unterstützen den Standard beispielsweise bereits. Websites, die die Identität von Nutzern zwecks Log-in überprüfen wollen, greifen auf das Web Authentication API im Browser zu. Der jeweilige Nutzer wiederum bestätigt seine Identität nur an seinem eigenen Gerät. Er nutzt beispielsweise einen Fingerabdruckscanner oder verbindet seinen Token mit Laptop oder PC. Die sensiblen Identitätsdaten (z. B. der Fingerabdruck) verlassen das Gerät dabei nicht. Per Public-Key-Verfahren wird nur eine Bestätigung des Browsers an den Webservice versendet. Der Nutzer muss weder ein Passwort noch einen Benutzernamen angeben.

Die Schnittstelle wird per JavaScript angesprochen. Dies macht es sehr einfach für Website-Betreiber, Web Authentication zu implementieren, und sollte deshalb für eine rasche Verbreitung des Standards sorgen. Wenn der Anbieter des Webservices noch mehr Sicherheit für seinen Dienst verlangen möchte, können WebAuthn und MFA auch gemeinsam verwendet werden. Zusätzlich zur Authentisierung mit biometrischen Daten kann man also theoretisch trotzdem noch ein Passwort verlangen.

Hinweis

Website-Betreiber müssen die Verbindung zum Web Authenticator API herstellen bzw. den korrekten JavaScript-Code implementieren. Die offizielle W3C-Empfehlung enthält nähere Informationen zur serverseitigen Umsetzung.

Da die Nutzer zudem nicht mehr für die Erstellung von Passwörtern und Benutzernamen verantwortlich sind, besteht keine Gefahr, dass die gleichen Daten für verschiedene Konten verwendet werden. Der Standard sorgt dafür, dass für jedes Konto eines Nutzers einzigartige Anmeldeinformationen vorliegen. Man muss nur einmalig seinen Authenticator (Fingerabdruck, Token etc.) beim Webdienst registrieren und kann dann den komfortablen Log-in verwenden.

Fakt

Da für jedes Konto unterschiedliche Daten verwendet werden, kann per WebAuthn auch kein Tracking über verschiedene Websites hinweg funktionieren.

Vorteile und Nachteile der Web Authentication

Im Gegensatz zu älteren Maßnahmen, die auf ein Passwort gesetzt haben, ergeben sich mit WebAuthn gleich mehrere Vorteile für Nutzer und Anbieter von Webservices gleichermaßen. Besonders der Komfort dürfte Anwender überzeugen. Es müssen keine Informationen mehr auswendig gelernt werden. Damit einher geht auch ein großer Gewinn in puncto Sicherheit: Das Verwenden von Passwörtern ist schließlich nur bedingt sicher. Entweder sie lassen sich knacken (mit Brute Force oder Rainbow Tables beispielsweise) oder die Kennwörter werden per Phishing ausgespäht. Bei WebAuthn gibt es keine Passwörter, die ein Anwender unbedacht weitergeben kann.

Da bei dem neuen Standard keine Identitätsdaten über das Internet übertragen werden, bringt auch ein Man-in-the-Middle-Angriff, bei dem die Daten während der Übertragung abgegriffen werden könnten, nichts. Durch das Public-Key-Verfahren ist zudem die Übermittlung des Authentizitätszertifikats kryptografisch gesichert.

Dass alle sensiblen Daten im Gerät des Nutzers bleiben, ist gleichzeitig der Vorteil für Website-Betreiber. Anbietern von Diensten, die eine Anmeldung voraussetzen, müssen derzeit sehr viel Energie und Kompetenz in die Sicherung von Passwörtern und Benutzernamen stecken. Es ist fatal, wenn es Kriminellen gelingt, in die Datenbanken des Anbieters einzudringen. Auf Unternehmen, die einen solchen Angriff nicht abwenden können, kommen schwerwiegende Konsequenzen zu, und auch die leidtragenden Nutzer müssen mit erheblichem Datenmissbrauch rechnen – besonders dann, wenn sie die Anmeldedaten auch auf anderen Plattformen verwenden.

WebAuthn gilt überdies als sicherer als die Multi-Faktor-Authentisierung. Zwar bietet das zusätzliche Identitätsmerkmal, das beim Anmelden per MFA abgefragt wird, einen zusätzlichen Schutz, dies ist aber dennoch nicht komplett ohne Risiko. Manche Authentisierungsmerkmale – wie ein One-Time-Password per SMS – können relativ leicht abgefangen werden. Außerdem sind auch diese Kurzzeitpasswörter zu beliebten Angriffspunkten von Phishing geworden. Hinzu kommt: MFA ist ein relativ zeitaufwendiger Vorgang. WebAuthn funktioniert schneller und ist somit nutzerfreundlicher.

Nachteile ergeben sich allerdings dann, wenn ein neuer Authenticator für ein bestehendes Konto angemeldet werden muss. Wenn beispielsweise der Hardware-Token verloren geht, braucht man einen neuen. Dieser neue Token lässt sich dann nicht ohne weiteres mit dem bestehenden Profil verknüpfen – das wäre ein zu großes Sicherheitsrisiko. Stattdessen muss entweder ein Ersatz-Authenticator vorhanden sein, der genau für diesen Einsatz bestimmt ist, oder man muss einen Reset vornehmen. Letzteres entspricht etwa dem Zurücksetzen eines Passworts und ist vor allem für Dienste geeignet, die keinen hohen Sicherheitsstandard verlangen.

Fazit

WebAuthn bietet einen höheren Sicherheitsstandard als ältere Verfahren und erhöht gleichzeitig den Komfort beim Anmelden auf Websites. Auch Anbieter von Webservices haben mit WebAuthn weniger Aufwand, zumal die Implementierung vergleichsweise einfach ist.