WebAuthn-API
29.01.2018, 16:34 Uhr
Firefox 60 unterstützt sichere 2FA-Anmeldung
Die kommende Firefox-Version 60 wird erstmals mit aktiver WebAuthn-API ausgeliefert. Diese erlaubt eine abgesicherte Zwei-Faktor-Authentifizierung nach U2F, die gegen gängige Phishing-Angriffe immun ist.
Mehr Sicherheit für kritische Web-Zugänge: Wie Mozilla in einem Blogpost ankündigt, soll Firefox ab Version 60 standardmässig mit aktiver WebAuthn-API ausgeliefert werden. Damit unterstützt der kommende Browser standardmässig eine Zwei-Faktor-Authentifizierung auf Basis von Public-Key-Kryptographie, die sich mit gängigen Phishing-Attacken nicht knacken lässt.
Die WebAuthn-API ist für eine Anmeldung über Hardware-Token nach dem U2F-Standard erforderlich. Dieser offene Standard bietet einen besseren Schutz der Privatsphäre, da die beim Dienstanbieter hinterlegten persönlichen Daten auch bei Datendiebstahl nicht mit anderen U2F-Geräten genutzt werden können.
Für eine erfolgreiche Anmeldung sind hier neben Nutzernamen und Passwort auch der Anschluss eines U2F-Hardware-Tokens erforderlich. Alternative Lösungen erlauben auch eine Verbindung via Bluetooth oder NFC am Smartphone. Aktuell unterstützen das Anmeldeverfahren via U2F-Token unter anderem die Systeme Windows, macOS und Linux, die Dienste von Google, Facebook, Salesforce und Dropbox sowie die Tools KeePass oder Password Safe.
Darüber hinaus erlaubt die WebAuthn-Schnittstelle auch die Nutzung einer sicheren Ein-Faktor-Authentifizierung. Bei diesem Anmeldemechanismus erfolgt der Login ganz ohne Nutzername und Passwort über einen einzelnen Token. Nach vorheriger Konfiguration genügt es bei der Anmeldung über diese Methode etwa, eine Loggin-Anfrage auf dem Smartphone zu bestätigen. Ähnliche Methoden nutzten bereits Google und Dropbox über die mobilen Apps.
Mit NoScript können Sie im Browser den Einsatz von JavaScript besser steuern. JavaScript/Java und Flash ist beim Surfen für vieles verantwortlich, was nervt oder gar unsicher ist: Ungefragt aufspringende Fenster und sich durch Hintertürchen einschleichende Werbung gehen beispielsweise auf das Konto der Programmiersprache. JavaScript einfach abschalten ist aber keine Lösung, weil viele Webseiten dann nicht mehr richtig funktionieren.
U2F-Unterstützung: Pünktlich zur neuen ESR-Version
Durch die Implementierung der neuen API wolle Mozilla Web-Entwickler dazu ermutigen, ihre Dienste über eine moderne Zwei-Faktor-Authentifizierung nach U2F abzusichern. Dass Mozilla für die Aktivierung der WebAuthn-API die kommende Version 60 wählt, kommt nicht von ungefähr. Firefox 60 bildet die Basis für die nächste ESR-Version, die speziell bei Unternehmen aufgrund des längeren Supports beliebt ist. Mit der aktivierten API haben Firmen dadurch nun auch unter Firefox die Möglichkeit, auf U2F-Logins zurückzugreifen. In Google Chrome wird diese Technologie bereits seit Oktober 2014 unterstützt.