Anzeige

Passwort-Ablösung

Viele Nutzer schätzen bereits heute kennwortlose Authentifizierung. Über Touch-ID auf unseren Smartphones ist sie heute schon Realität. Der nächste Schritt in dieser Entwicklung ist die Authentifizierung ohne Benutzernamen. 

Diese neue Möglichkeit ist eine Erweiterung der FIDO 2.0 WebAuthn-Spezifikation. Hierbei kann es sich um externe Schlüssel oder um integrierte Schlüssel handeln, auf die zum Beispiel über Touch-ID oder Windows Hello zugegriffen werden kann.

Auf Websites, die dieses Verfahren aktiviert haben, kann man sich anstelle eines Passworts in Zukunft mit diesen Services authentifizieren. Der neue Resident Key-Berechtigungsnachweis – Teil der ForgeRock Identity Plattform, Version 7.0 und der ForgeRock Identity Cloud – ermöglicht es Nutzern, sich bei einer App oder Website, die dieses Verfahren zulässt, zu authentifizieren, ohne einen Benutzernamen oder ein Kennwort eingeben zu müssen.

Was genau ist WebAuthn?

WebAuthn ist ein Webstandard, der vom World Wide Web Consortium (W3C) veröffentlicht wird und ein wichtiger Bestandteil der FIDO 2.0 (Fast Identity Online) ist. Durch die Unterstützung in den neuesten Chrome-, Firefox-, Safari- und Edge-Browsern gewinnt WebAuthn aktuell an breiter Akzeptanz.

Die Unterstützung für Resident Keys, die eine kennwort- und benutzernamenlose Authentifizierung ermöglichen, ist derzeit in Chrome und Edge integriert und wird in Kürze auch in anderen Browsern verfügbar sein.

Vereinfachte Nutzung im Alltag

Angewendet wird WebAuthn, indem dem Besucher einer Website die Möglichkeit angeboten wird, einen Token zu erstellen und zu registrieren. Websites, die hierfür aktiviert sind, fordern den Benutzer beispielsweise auf, einen physischen Security-Token in einen USB-Port einzustecken oder ihn auf einem Android-Telefon anzutippen.

Das Nutzererlebnis wäre dem der heutigen Single Sign-On Methode (SSO) sehr ähnlich, auch wenn es technisch völlig anders ist. Im ersten Anwendungsschritt würde ein Nutzer eine Login-Seite aufrufen. Anstatt eines Benutzernamens oder Passworts würde der Nutzer einen Authentifikator verwenden, wie etwa einen externen Security-Token oder integrierte Plattformschlüssel, auf die über Touch-ID oder Windows Hello zugegriffen wird. Der Benutzer ist dann eingeloggt und muss nichts Weiteres tun.

Zusätzliche Sicherheit gegen Man-in-the-Middle-Angriffe

Da das WebAuthn vom W3C geregelt wird, geht es hinter den Kulissen um mehr als nur Authentifizierung. Indem Token beispielsweise auf dem Gerät und nicht auf einem Remote-Server gespeichert werden, kann WebAuthn auch dazu beitragen, die Sicherheit in Hinblick auf Phishing- und Man-in-the-Middle-Angriffe zu erhöhen.

Wie funktioniert das? Wenn ein Benutzer zum ersten Mal eine kennwort- oder benutzernamenlose Zugangsberechtigung erstellt, wird ein öffentlicher Schlüssel an die berechtigte Website weitergegeben. Im Falle eines Phishing-Angriffs funktioniert der Anmeldevorgang allerdings nicht: Wenn der Nutzer auf eine nicht-WebAuthn-fähige Kopie einer Website geleitet wird, funktioniert der Schlüssel des Benutzers nicht, und er wird aufgefordert, einen Benutzernamen und ein Passwort einzugeben. Diese Unterbrechung des regulären Anmeldevorgangs sollte den Nutzer alarmieren, dass etwas nicht in Ordnung ist.

Dadurch, dass Nutzer keine Passwörter und Benutzernamen mehr eingeben müssen, sollten außerdem potenzielle Man-in-the-Middle-Angriffe, die versuchen Passwörter abzugreifen, häufiger vereitelt werden, da ein Abhören der Passwörter nicht mehr möglich ist.

www.forgerock.de

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

E-Mail Angst

Die fünf schlimmsten Fehler bei der E-Mail-Kommunikation

Angesichts steigender Corona-Fallzahlen ist eine „zweite Welle“ im Herbst ein wahrscheinliches Szenario. Ungewiss ist noch, welche Maßnahmen dieses Mal zur Eindämmung ergriffen werden. Die erste Lockdown-Phase hat gezeigt, dass für Unternehmen eine effiziente…
Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…
MFA

Multi-Faktor-Authentifizierung weniger sicher als angenommen

Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!