WebAuthn soll das Eintippen von Passworten ablösen

WebAuthn hat nun definierte Standards für die passwortlose Authentifizierung, dies melden das World Wide Web Consortium (W3C) und die FIDO-Alliance (Fast IDentity Online) in einer gemeinsamen Mitteilung.
 
Die nun gültige Spezifikation definiert eine API, welche die Erstellung und den Einsatz beglaubigter, auf Public Keyes basierenden Credentials durch jegliche Webanwendungen ermöglicht.
 
Oder, andersrum formuliert: Mit WebAuthn können sich User mit ihrem bevorzugten Gerät bei ihren Internetkonten ohne Passworteinsatz anmelden. Webservices und Apps ihrerseits können WebAuthn aktivieren, damit sich User via biometrische Faktoren, mobile Geräte und/oder FIDO-Sicherheitsschlüssel anmelden.
 
WebAuthn ersetzt Passworte durch asymmetrische Verfahren und soll von jeder Web-Applikation genutzt werden können.
 
Der versprochene Nutzen: Das User-Interface sei wesentlich einfacher als bei klassischen Authentifizierungs-Möglichkeiten, gleichzeitig würden Phishing-Chancen von Hackern erheblich reduziert. Dies sei ein wesentlicher Vorteil gegenüber Mehrfach-Faktor-Authentifizierung via SMS und ähnlichem.
 
"Die kryptografischen Anmeldeinformationen von FIDO2 sind für jede Website eindeutig. Biometrische Daten oder andere sensible Informationen wie Passwörter verlassen niemals das Gerät des Benutzers und werden niemals auf einem Server gespeichert", begründen die Zuständigen die höhere Sicherheit.
 
Der WebAuthn-Standard ermögliche eine starke Authentifizierung, schreiben die Autoren, darunter Google-, Microsoft, Mozilla- und PayPal-Vertreter in den Spezifikationen.
 
Und es gebe Sparpotential: Bei den Usern würden über zehn Stunden eintippen von Passworten entfallen und bei Firmen durchschnittliche Kosten von 5,2 Millionen Dollar jährlich.
 
Windows 10, Android, Google Chrome, Firefox, Microsoft Edge und Apple Safari würden WebAuthn schon unterstützen, so die Mitteilung.
 
Details finden sich beim W3C-Konsortium. (mag)