WebAuthn ist ein vom World Wide Web Consortium (W3C) veröffentlichter Standard für eine Programmierschnittstelle, mit der Webanwendungen und Websites ihren Benutzern eine direkte Authentifikation mittels Public-Key-Verfahren im Webbrowser anbieten können. Dadurch kann die Bedienung vereinfacht und auf die Vielzahl individueller Kennwörter für jede Website verzichtet werden. Die Voraussetzung ist, dass der Webbrowser sicher auf einen Authentifikator im oder am Gerät des Benutzers zugreifen kann. Viele modernen Smartphones oder Laptops bieten diese in Form von Fingerabdrucksensoren oder Gesichtserkennung. Der Standard ermöglicht es dem Webentwickler mit Hilfe eines WebAuthn-kompatiblen Webbrowsers den Zugriff auf einen Authentikator zur sicheren und einfachen Nutzung seiner Dienste. Dem Webentwickler entsteht damit ein erheblicher Sicherheitsvorteil, da er keine Kundenpasswörter mehr verwalten und vor Zugriffen Dritter schützen muss.
Übersicht Bearbeiten
WebAuthn ist eine Kernkomponente des FIDO2-Projekts innerhalb des W3C unter enger Einbeziehung der FIDO-Allianz.
Auf der Client-Seite kann die Unterstützung für WebAuthn auf verschiedene Arten implementiert werden. Die zugrunde liegenden kryptografischen Operationen werden von einem Authentifikator ausgeführt. Hierbei handelt es sich um ein abstraktes Funktionsmodell, das hinsichtlich der Verwaltung des Schlüsselmaterials meist unbeteiligt ist. Dadurch ist es möglich, die Unterstützung für WebAuthn in Software zu implementieren, welche die vertrauenswürdige Ausführungsumgebung eines Prozessors oder ein Trusted Platform Module (TPM) nutzt.
Sensible kryptografische Vorgänge können auch auf einen Roaming-Hardware-Authentifikator übertragen werden, auf den wiederum über USB, Bluetooth Low Energy oder Near Field Communication (NFC) zugegriffen werden kann. Ein Roaming-Hardware-Authentifikator entspricht dem Client to Authenticator Protocol (CTAP) des FIDO-Clients, wodurch WebAuthn effektiv abwärtskompatibel zum FIDO-Standard U2F (Universal 2nd Factor) ist.
Der WebAuthn-Level-1-Standard wurde am 4. März 2019 als Empfehlung des World Wide Web Consortiums (W3C) veröffentlicht. Am 8. April 2021 folgte die Level-2-Spezifikation.
Webauthn wird von verschiedenen Webbrowsern wie Firefox und Google Chrome plattformübergreifend, beispielsweise unter Linux oder unter Microsoft Windows, unterstützt. Weiters auch von den betriebssystemgebundenen Web-Browsern Safari (Apple, iOS) und Microsoft Edge.
Weblinks Bearbeiten
Einzelnachweise Bearbeiten
- W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins. Abgerufen am 18. Januar 2023.
- Web Authentication: An API for accessing Public Key Credentials - Level 2. Abgerufen am 13. Februar 2023.
- Apple Developer Documentation. Abgerufen am 16. Dezember 2022.