Was ist WebAuthn?
Im März 2019 gab das World Wide Web Consortium (W3C) bekannt, dass WebAuthn nun der offizielle Webstandard für die passwortfreie Anmeldung ist. Dank der Unterstützung durch zahlreiche Anwendungen (Microsoft Edge, Chrome, Firefox, mobile Browser), wird für die kommenden Jahre eine weite Verbreitung von WebAuthn erwartet.
In diesem Beitrag untersuchen wir die Schwächen bisheriger Authentifizierungsmethoden, betrachten die Vorteile von WebAuthn und stellen die wichtigsten Abläufe für WebAuthn vor.
Schwächen bisheriger Authentifizierungsmethoden
Bevor wir betrachten, warum WebAuthn entwickelt wurde und welche Funktionalität es bietet, müssen wir zunächst verstehen, wie die Benutzerauthentifizierung entstanden ist und welche Schwächen die derzeitigen Methoden haben.
Passwortbasierte Anmeldedaten
Benutzernamen und Passwörter als Authentifizierungsmethode sind uns nur allzu vertraut. Obwohl dieses Framework allgegenwärtig und für Verbraucher leicht verständlich ist, hat jeder fünfte Amerikaner schon einmal eine Kontoübernahme durch Missbrauch eines Passworts erlebt. Da der durchschnittliche Endbenutzer über mehr als 130, Online-Konten verfügt, sollten Unternehmen an ihrem Framework zur Benutzerauthentifizierung arbeiten, um selbst keinen Schaden zu nehmen.
Zwei-Faktor-Authentifizierung
Die nächste Stufe der Authentifizierung mit Anmeldedaten ist 2FA, die Zwei-Faktor-Authentifizierung. Es ist jedoch bekannt, dass für Kundenkonten beliebte, unsichere zweite Faktoren wie SMS anfällig für Phishing-Angriffe sind. Angesichts der Schwächen von 2FA bietet nun WebAuthn eine potenzielle Lösung gegen ausgefeilte Phishing-Angriffe und verbessert gleichzeitig das Kundenerlebnis.
Was ist WebAuthn?
Wir stellen vor: Den neuen globalen Standard für die Web-Authentifizierung. WebAuthn ist eine browserbasierte API, mit der die Benutzerauthentifizierung für Webanwendungen vereinfacht und gesichert werden kann, indem registrierte Geräte (Smartphones, Laptops usw.) als Faktoren verwendet werden. Der Standard nutzt die Public-Key-Verschlüsselung, um Benutzer vor ausgefeilten Phishing-Angriffen zu schützen.
Vorteile von WebAuthn
Die Vorteile von WebAuthn lassen sich in drei Hauptbereiche einteilen, die sich auf mehrere Beteiligte auswirken, darunter Kunden, Produktverantwortliche, Sicherheitsteams und Supportteams.
Sehen wir uns diese Bereiche im Detail an.
Bessere Kundeninteraktionen
Kunden – Reibungslose Anmeldung
Da WebAuthn eine gerätebasierte Authentifizierung verwendet, werden keine Passwörter mehr benötigt. Der Kunde muss sich also für die Anmeldung nicht mehr seinen Benutzernamen und sein Passwort merken und bei einem Step-up kein Einmal-Passwort für den zweiten Faktor anfordern. Der Authentifizierungsablauf wird vereinfacht, indem der Endbenutzer lediglich sein registriertes Gerät zur Authentifizierung verwendet.
Produktverantwortliche – Zeitaufwand für die Authentifizierung, Zeit bis zur Marktreife
Wie bereits erwähnt, macht WebAuthn Passwörter überflüssig. Produktverantwortliche möchten, dass ihre Anwendung genutzt wird, und die Beseitigung von Hindernissen für die Kunden ist in der Regel ihr oberstes Ziel. WebAuthn trägt zur reibungslosen Anmeldung der Benutzer bei.
Da Produktverantwortliche mit WebAuthn nicht mehr über komplexe Passworteinstellungen nachdenken und keine komplexen Architekturen für die Verwaltung und Speicherung von Passwörtern erstellen müssen, können sie ihre Produkte außerdem schneller auf den Markt bringen.
Stärkere Gesamtsicherheit
Kunden – Erhaltung des Vertrauens
Angesichts der zunehmenden Probleme mit entwendeten Daten ist es besonders wichtig, sich das Vertrauen der Verbraucher zu erhalten. Kunden vertrauen Ihnen ihre Daten an und wollen wissen, dass sie sicher sind. Mit WebAuthn erhalten Sie eine wesentlich sicherere Authentifizierungsmethode, die die mit Passwörtern verbundenen Risiken umgeht.
Sicherheitsteams – Vermeiden der Schwächen von Passwörtern
WebAuthn ist nicht auf eine wissensbasierte Authentifizierung wie Benutzernamen und Passwörter angewiesen. Stattdessen werden registrierte Geräte genutzt, die dem Endbenutzer gehören. Das Risiko einer gefälschten Authentifizierung ist geringer, da registrierte physische Geräte schwieriger zu stehlen sind als Passwörter. Dies freut Ihr Sicherheitsteam.
Geringerer organisatorischer Aufwand für die Unterstützung von Anwendungen
Supportteam – Reduzierung der Supportzyklen gegenüber einer Authentifizierung mit mehreren Faktoren
Der WebAuthn-Standard wird als primäre Anmeldemethode eingesetzt. Durch die Implementierung von WebAuthn werden die Supportzyklen reduziert, da die Benutzer sich nicht mehr für mehrere Faktoren registrieren müssen, sondern nur noch für WebAuthn.
Wie funktioniert WebAuthn?
Wir wissen nun also, dass der Hauptvorteil von WebAuthn in der Vermeidung von Passwörtern liegt. Aber wie erreicht dieser offene Standard das? WebAuthn nutzt drei wesentliche Komponenten, die alle diese Vorteile ermöglichen: den Authentifikator, den Browser und den Webserver.
Das Authentifizieren von Benutzern ohne Passwort erfolgt in 6 Schritten
Schritt 1: Der Benutzer öffnet den Browser, um sich anzumelden.
Schritt 2: Der Webserver erstellt eine eindeutige Anfrage, die an den Authentifikator gesendet wird.
Schritt 3: Der Authentifikator erhält die Anfrage mit dem zugehörigen Domänennamen.
Schritt 4: Der Authentifikator erhält die biometrische Zustimmung des Benutzers.
Schritt 5: Der Authentifikator erzeugt eine kryptografische Signatur, die an den Webserver zurückgesendet wird.
Schritt 6: Der Webserver verifiziert die Signatur für die eindeutige Anfrage, um den Benutzer anzumelden.
Mehr zur technischen Spezifikation finden Sie auf der Seite des W3C zu WebAuthn.
Der Weg zur Authentifizierung ohne Passwort
Zusammenfassend lässt sich sagen, dass die Zukunft der Authentifizierung ohne Passwort gehört. Kontoübernahmen und geringe Benutzerfreundlichkeit werden bald der Vergangenheit angehören, da zunehmend eine Authentifizierung mit WebAuthn umgesetzt wird.
Wir bei Okta widmen uns der Entwicklung sicherer Lösungen ohne Passwörter, um unsere Kunden bei ihren Authentifizierungsaufgaben zu unterstützen. Wir unterstützen Authentifizierungsstandards wie WebAuthn, die die weitere Verbreitung passwortfreier Strategien erleichtern. Uns ist jedoch auch bewusst, dass der schwierige Teil für viele Unternehmen die Absicherung der Wiederherstellungsphasen für die Registrierung und die Bereitstellung sicherer alternativer Authentifizierungsmethoden auf nicht unterstützten Geräten ist.
Um mehr über die Integration von Okta in Anwendungen zu erfahren, laden Sie unser kostenloses Whitepaper zum Thema herunter.