Das API-Authentifizierungsprotokoll WebAuthn wird immer stärker in Browsern, Betriebssystemen und Geräten eingesetzt und funktioniert ohne Passwort. Es läuft in Browsern, um Benutzer zu registrieren, zu verwalten und zu authentifizieren. Da es kein Passwort erfordert, ist es resistent gegen Phishing, und es verwendet zwei Faktoren gleichzeitig.
Beim WebAuthn braucht es von Anfang bis Ende vier Dinge: einen Nutzer, einen WebAuthn-fähigen Browser, eine Anwendung/einen Dienst und einen Authentifikator. Die Authentifikatoren sind zwar nicht Teil des eigentlichen Protokolls, werden aber benötigt, weil WebAuthn die Notwendigkeit von Passwörtern durch die Nutzung eines Authentifikators ersetzt. Die Authentifikatoren befinden sich auf dem Benutzergerät und basieren entweder auf Biometrie (Fingerabdrücke oder Gesichtserkennung) oder sind Teil eines externen Hardware-Geräts (wie beispielsweise ein Yubi Key). Sie können auch in eine Softwareplattform wie MacOS, Windows, Android oder iOS eingebunden sein.
ZWEI FAKTOREN IN EINEM
WebAuthn macht die Verwendung des gewöhnlichen Passworts als Einzelfaktor hinfällig, funktioniert aber trotzdem wie eine Multi-Faktor-Authentifizierung (MFA), denn der Benutzer muss „etwas, das er ist“ vorweisen (eine biometrische ID) und auch „etwas, das er hat“ (das Gerät).
Das WebAuthn-Protokoll überträgt Benutzeridentitäten über den Browser von Gerät zu Gerät, ohne dass eine direkte Kommunikation zwischen dem Benutzer und dem Server erforderlich ist. So geht die anfängliche Abfrage an den Browser, und nicht an den Dienst. Die Antwort auf die Abfrage geht wiederum zurück an den Browser, nicht an den Nutzer.
Zu diesem Zweck verwendet WebAuthn einen öffentlichen Schlüssel (von der Webanwendung) und einen privaten Schlüssel des Benutzers (biometrische oder besitzbasierte Authentifikatoren in Mobiltelefonen, Tablets, Laptops, usw.). Mit diesem Verfahren können sich die Benutzer mit ein und derselben Identität bei verschiedenen Cloud-Anwendungen und -Diensten einloggen, so dass sie nicht für jede Anwendung separate Anmeldedaten erstellen müssen.
BEISPIEL
Ian öffnet einen Browser, und möchte sich über einen WebAuthn-fähigen Browser auf der Website seiner Universität anmelden.
Der Browser erkennt Ians registriertes Gerät und fragt sein Mac OS ab, um die zugehörigen Authentifizierungsdaten (privater Schlüssel) zu erhalten.
Sobald die Identität von Ian verifiziert wurde, richtet der Browser einen sicheren Identitätsschlüssel ein, mit dem Ian automatisch auf der Website der Universität angemeldet werden kann.
Wenn Ian die Website seiner Universität verlässt und sich bei einer anderen WebAuthn-fähigen Anwendung anmeldet, kann der Browser seinen Identitätsschlüssel, abgedeckt durch das Mac OS, für Ians Identifizierung bei weiteren Diensten und Geräten verwenden, nicht nur bei seiner Universität.
Das WebAuthn-Protokoll verwendet ein öffentlich-privates Schlüsselpaar für die Authentifizierung des Benutzers über einen WebAuthn-fähigen Browser. Der private Schlüssel (biometrische Daten oder externe Hardware) wird auf dem Gerät des Nutzers gespeichert. Der öffentliche Schlüssel wird in der Webanwendung gemeinsam mit einem zufällig generierten, kodierten Berechtigungsnachweis abgelegt.
Wenn sich ein Benutzer bei einer Webanwendung anmeldet, fordert der Browser ihn auf, sich mithilfe eines Authentifikators, auch bekannt als privater Schlüssel, zu authentifizieren. Der Benutzer reagierte auf diese Anforderung, indem er seine biometrische ID (Fingerabdrücke oder Gesichtserkennung) oder ein externes Hardware-Gerät (z. B. einen Yubi-Key) aktiviert. Der Browser teilt dem Dienst über das WebAuthn-Protokoll mit, dass der Benutzer authentifiziert wurde, und gibt den privaten Schlüssel weiter.
Sobald der private Schlüssel vom Dienst bestätigt wurde, signiert er die Abfrage und gibt sie mit einem öffentlichen Schlüssel an den Browser zurück. Sobald sie wieder beim Browser ankommt, ist der Benutzer für die Nutzung des Dienstes authentifiziert.
Mit WebAuthn bieten Sie Ihren Mitarbeitern, Kunden und anderen Nutzern eine bessere Online-Erfahrung. Die Authentifizierung mit biometrischen Merkmalen oder einem physischen Schlüssel ist der Verwendung eines Passworts als einzigem Schlüssel überlegen. Sie sorgt für eine optimierte Benutzererfahrung mit geringerer Reibung als andere Methoden und umgeht die mit der Verwendung eines Passworts verbundenen Risiken.
In Unternehmen ermöglicht das WebAuthn eine schnellere Anmeldung, wenn unterschiedliche Methoden, Geräte und Betriebssysteme verwendet werden. Es verhindert die Risiken durch passwortbasierte Cyberangriffe und bietet Phishing-Attacken die Stirn, insbesondere, wenn ein biometrischer Authentifikator verwendet wird. Für die IT-Fachkräfte bedeutet WebAuthn mehr Zeit für andere Projekte und weniger Arbeit für Helpdesk und Support.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern