Der kryptografische Schlüssel WebAuthn, mit dem Passwörter überflüssig werden, ist jetzt ein offizieller Webstandard. Das gaben die Web-Standardisierungs-Organisation World Wide Web Consortium (W3C) und die Standard-Entwickler-Organisation FIDO Alliance bekannt.
Chrome, Firefox und Edge schon dabei
WebAuthn steht für Web Authentication, was auf Deutsch Web-Authentifizierung heisst. Konkret handelt es sich dabei um einen kryptografischen Schlüssel, über den man sich ohne Passworteingabe mit seinem bevorzugten Gerät auf Webseiten oder in Apps einloggen kann. Bislang war dieser neue Sicherheitszugang nur eine Empfehlung, wurde aber bereits von den Betriebssystemen Windows 10 und Android unterstützt sowie von den Browsern Google Chrome, Mozilla Firefox und Microsoft Edge. Bei Apples Safari funktionierte er bislang nur in einer Vorschau-Version.
Webseitenbetreibern und App-Entwicklern wird vom W3C und der FIDO Alliance empfohlen, die Anmeldung über den neuen WebAuthn-Standard mit biometrischen Erkennungsmethoden, mobilen Geräten oder einen FIDO-Sicherheitsschlüssel zu kombinieren. Damit würde die Sicherheit im Vergleich zur Anmeldung mit Passwörtern deutlich erhöht.
»10,9 Stunden im Jahr für Passwörter verschwendet
Neben Phishing sollen durch die Nutzung von WebAuthn auch Passwortdiebstahl und sogenannte Replay-Angriffe unterbunden werden. Ein weiterer Vorteil, sich ohne Passwort auf Webseiten und in Apps einzuloggen, sei die Zeit- und Ressourcenschonung.
«Laut einer aktuellen Yubico-Studie verbringen Benutzer 10,9 Stunden pro Jahr mit der Eingabe und/ oder dem Zurücksetzen von Passwörtern, was Unternehmen durchschnittlich 5,2 Millionen US-Dollar [circa 5,2 Millionen Schweizer Franken] pro Jahr kostet. Während traditionelle Multi-Faktor-Authentifizierungs-Lösungen wie SMS-Einmalcodes eine weitere Sicherheitsebene hinzufügen, sind diese immer noch anfällig für Phishing-Angriffe und nicht einfach zu bedienen. Ausserdem leiden sie unter niedrigen Opt-in-Raten», wie W3C und FIDO mitteilen.
Bei Microsoft– und Dropbox-Konten können Nutzer bereits seit letztem Jahr erste Erfahrungen mit WebAuthn sammeln.