Das Passwort ist nicht totzukriegen - oder doch?

WebAuthn und FIDO2

Jerrod Chong, Chief Solutions Officer bei Yubico, vertritt die Ansicht, dass die Passwörter (noch) nicht tot sind, sondern sich vielmehr weiterentwickeln: «Es wird sich sicher nicht über Nacht ein vollständiges Ende der Passwörter ereignen - aber wir sind auf dem Weg zu einigen signifikanten Weiterentwicklungen in den nächsten Jahren. Das ist hauptsächlich auf die aktuelle Standardisierung von WebAuthn durch das W3C zurückzuführen.»
Quelle: Ponemon "The 2019 State of Password (...) Report"
WebAuthn steht für einen vom World Wide Web Consortium (W3C) veröffentlichten Standard zur Authentifizierung von Usern im Web. Er ermöglicht die Authentifizierung von Benutzern ohne ein Passwort und basiert auf Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen das Verfahren bereits.
WebAuthn ist ein wichtiges Ergebnis des FIDO2-Projekts der FIDO-Alliance (Fast IDentity Online). Die Technik wurde ursprünglich bereits 2011 von Yubico und Google als offener Authentifizierungsstandard FIDO Universal Second Factor (FIDO U2F) entwickelt, um die Abhängigkeit von Passwörtern zu reduzieren und besser vor Phishing, Man-in-the-Middle- und Replay-Attacken zu schützen, bei denen gestohlene Passwörter benutzt werden.
Mehrere Firmen, darunter Microsoft und Yubico, haben sich seitdem zur gemeinnützigen FIDO Alliance mit dem Ziel zusammengeschlossen, international gültige Standards zur Authentifizierung im Internet zu entwickeln. Gemeinsam haben sie als Weiterentwicklung von FIDO U2F den offenen Standard FIDO2 geschaffen. Gerade Hersteller der verschiedenen Security-Token dürften diesen Standard in naher Zukunft immer häufiger unterstützen.
“Wir sind auf dem Weg zu einigen signifikanten Weiterentwicklungen, die hauptsächlich auf die Standardisierung von WebAuthn zurückzuführen sind.„
Jerrod Chong, Chief Solutions Officer bei Yubico (www.yubico.com)
Microsoft bietet mit Windows 10 zudem eine direkte Unterstützung für eine passwortfreie Anmeldung mittels FIDO2 an. Auch viele Webseiten wie Twitter, Dropbox, Google und Amazon unterstützen diesen Standard schon. Auf der Website Webauthn.io können Anwender sich testweise per WebAuthn registrieren und einloggen.



Das könnte Sie auch interessieren