Thought Leadership
Viele Nutzer schätzen bereits heute kennwortlose Authentifizierung. Über Touch-ID auf unseren Smartphones ist sie heute schon Realität. Der nächste Schritt in dieser Entwicklung ist die Authentifizierung ohne Benutzernamen.
Diese neue Möglichkeit ist eine Erweiterung der FIDO 2.0 WebAuthn-Spezifikation. Hierbei kann es sich um externe Schlüssel oder um integrierte Schlüssel handeln, auf die zum Beispiel über Touch-ID oder Windows Hello zugegriffen werden kann.
Auf Websites, die dieses Verfahren aktiviert haben, kann man sich anstelle eines Passworts in Zukunft mit diesen Services authentifizieren. Der neue Resident Key-Berechtigungsnachweis – Teil der ForgeRock Identity Plattform, Version 7.0 und der ForgeRock Identity Cloud – ermöglicht es Nutzern, sich bei einer App oder Website, die dieses Verfahren zulässt, zu authentifizieren, ohne einen Benutzernamen oder ein Kennwort eingeben zu müssen.
Was genau ist WebAuthn?
WebAuthn ist ein Webstandard, der vom World Wide Web Consortium (W3C) veröffentlicht wird und ein wichtiger Bestandteil der FIDO 2.0 (Fast Identity Online) ist. Durch die Unterstützung in den neuesten Chrome-, Firefox-, Safari- und Edge-Browsern gewinnt WebAuthn aktuell an breiter Akzeptanz.
Die Unterstützung für Resident Keys, die eine kennwort- und benutzernamenlose Authentifizierung ermöglichen, ist derzeit in Chrome und Edge integriert und wird in Kürze auch in anderen Browsern verfügbar sein.
Vereinfachte Nutzung im Alltag
Angewendet wird WebAuthn, indem dem Besucher einer Website die Möglichkeit angeboten wird, einen Token zu erstellen und zu registrieren. Websites, die hierfür aktiviert sind, fordern den Benutzer beispielsweise auf, einen physischen Security-Token in einen USB-Port einzustecken oder ihn auf einem Android-Telefon anzutippen.
Das Nutzererlebnis wäre dem der heutigen Single Sign-On Methode (SSO) sehr ähnlich, auch wenn es technisch völlig anders ist. Im ersten Anwendungsschritt würde ein Nutzer eine Login-Seite aufrufen. Anstatt eines Benutzernamens oder Passworts würde der Nutzer einen Authentifikator verwenden, wie etwa einen externen Security-Token oder integrierte Plattformschlüssel, auf die über Touch-ID oder Windows Hello zugegriffen wird. Der Benutzer ist dann eingeloggt und muss nichts Weiteres tun.
Zusätzliche Sicherheit gegen Man-in-the-Middle-Angriffe
Da das WebAuthn vom W3C geregelt wird, geht es hinter den Kulissen um mehr als nur Authentifizierung. Indem Token beispielsweise auf dem Gerät und nicht auf einem Remote-Server gespeichert werden, kann WebAuthn auch dazu beitragen, die Sicherheit in Hinblick auf Phishing- und Man-in-the-Middle-Angriffe zu erhöhen.
Wie funktioniert das? Wenn ein Benutzer zum ersten Mal eine kennwort- oder benutzernamenlose Zugangsberechtigung erstellt, wird ein öffentlicher Schlüssel an die berechtigte Website weitergegeben. Im Falle eines Phishing-Angriffs funktioniert der Anmeldevorgang allerdings nicht: Wenn der Nutzer auf eine nicht-WebAuthn-fähige Kopie einer Website geleitet wird, funktioniert der Schlüssel des Benutzers nicht, und er wird aufgefordert, einen Benutzernamen und ein Passwort einzugeben. Diese Unterbrechung des regulären Anmeldevorgangs sollte den Nutzer alarmieren, dass etwas nicht in Ordnung ist.
Dadurch, dass Nutzer keine Passwörter und Benutzernamen mehr eingeben müssen, sollten außerdem potenzielle Man-in-the-Middle-Angriffe, die versuchen Passwörter abzugreifen, häufiger vereitelt werden, da ein Abhören der Passwörter nicht mehr möglich ist.
www.forgerock.de
