{"version":1,"type":"rich","provider_name":"Libsyn","provider_url":"https:\/\/www.libsyn.com","height":90,"width":600,"title":"#117 - Was versteckt sich hinter WebAuthn?\u201d ","description":"Hinter der Abk\u00fcrzung WebAuthn verbirgt sich der Begriff Web Authentication. Hierbei handelt es sich um einen ver\u00f6ffentlichten Webstandard f\u00fcr eine Programmierschnittstelle -auch bekannt unter dem Begriff Application-Programming-Interface, kurz API -  die zur Authentifizierung von Usern im Web dient und anstelle von Passw\u00f6rtern auf dem Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones basiert. Dar\u00fcber hinaus soll die WebAuthn-API die Kommunikation zwischen einer Webseite und einem Sicherheitsger\u00e4t einem sogenannten Token erleichtern und die Anmeldeverfahren im Internet sicherer und komfortabler machen. Die WebAuthn ist eine Kernkomponente des FIDO2-Projektes. Im M\u00e4rz 2019 wurde sie vom World-Wide-Web-Consortium (W3C), dem Standardisierungsgremium f\u00fcr das Internet, und der Fast IDentity Online-Allianz, kurz FIDO-Allianz, zu einem offiziellen Webstandard erkl\u00e4rt. Die WebAuthn-API kann sowohl im Browser als auch auf Webplattform-Infrastrukturen integriert werden. Durch den Einsatz der WebAuthn-API k\u00f6nnen Webseitenbetreiber ihren Benutzern alternativ zum klassischen Passwort-Login, die Registrierung und Authentifizierung mittels \u201eAuthenticator\u201c anbieten. Bei einem \u201cAuthenticator\u201d kann es sich dabei um einen Hardware-Security-Token handeln, wie zum Beispiel einem FIDO-USB-Sicherheitsschl\u00fcssel, der mit einem Computer verbunden wird oder aber um ein Smartphone, an dem man sich durch biometrische Informationen identifiziert wie zum Beispiel durch den Fingerabdruck, Gesichts- oder Iris-Scan. Bei WebAuthn haben User zudem die M\u00f6glichkeit, verschiedene Authenticatoren gleichzeitig f\u00fcr ihr Online-Konto zu registrieren. Dadurch wird f\u00fcr sie die Kontoverwaltung und -wiederherstellung wesentlich komfortabler. Beispielsweise kann sich ein User mit einem Fingerabdruckscanner bei mobilen Anwendungen auf seinem Mobilger\u00e4t anmelden und parallel dazu einen Hardware-Security-Token registrieren. Falls das urspr\u00fcngliche Ger\u00e4t aktualisiert, verloren, gestohlen oder kompromittiert wurde, l\u00e4sst sich so der Zugriff auf das Online-Konto schnell wiederherstellen Aber lassen Sie mich die Funktionsweise der Web Authentication noch etwas n\u00e4her erkl\u00e4ren. Zun\u00e4chst einmal m\u00fcssen Sie wissen, dass bei einer WebAuthn-Kommunikation grunds\u00e4tzlich drei \u201cParteien\u201d beteiligt sind: Der Authenticator, der Server und der JavaScript-Client -auch bekannt als Web App. Mal angenommen, ein User m\u00f6chte sich auf einer Webseite die eine WebAuthn-API benutzt registrieren: Zu aller Erst bietet ihm die API mehrere Authentifizierungsmethoden an. Der User kann zwischen externen Hardware-Security-Token oder biometrische Authentifizierungsmethoden, wie dem Iris-Scan, der Gesichtserkennung oder dem Fingerabdruck w\u00e4hlen. Sobald er die gew\u00fcnschte Authentifizierungsmethode ausgesucht hat, muss er seinen \u201cAuthenticator\u201d einmalig registrieren. Bei diesem Prozess erzeugt der Server zun\u00e4chst eine Challenge (Herausforderung) und sendet sie samt Login-Daten zum JavaScript-Client im Browser des Nutzers. Diese weist das Endger\u00e4t an, den neuen Authenticator zu registrieren. Anschlie\u00dfend generiert der \u201cAuthenticator\u201d ein individuelles Schl\u00fcsselpaar. Der Privat Key wird auf dem Endger\u00e4t gespeichert und der Public Key wird gemeinsam mit der Credential-ID und der Signatur der Challenge an den Server \u00fcbermittelt. Der Server verifiziert die Informationen und hinterlegt sie in einer Datenbank. Beim erneuten Login \u00fcbermittelt der Server erneut eine Challenge. Diese wird vom Browser zusammen mit der Domain an den Authenticator weitergereicht. Nach der Best\u00e4tigung durch den Benutzer, beispielsweise durch einen Fingerabdruck-Scan wird die digitale Signatur zur\u00fcck an den Server gesendet und der erfolgreiche Login erfolgt. Sie sehen, mit WebAuthn profitieren sowohl die Webentwickler als auch die User. Denn: die Web Authentication erm\u00f6glicht starke, eindeutige, auf \u00f6ffentlichen Schl\u00fcsseln basierende Anmeldeinformationen f\u00fcr jede Webseite oder Webanwendung. Gleichzeitig minimiert sie damit das Risiko, dass User zum Opfer gef\u00e4hrlicher Man-in-the-Middle-Angriffe und Passwortdiebstahl durch Phishing oder Keylogging werden. Au\u00dferdem erleichtert WebAuthn die Bereitstellung sicherer Webanwendungen mit einer Auswahl an st\u00e4rkeren Authentifizierungsmethoden. Auf diese Weise wird die Abh\u00e4ngigkeit von schwachen Passw\u00f6rtern verringert. Dar\u00fcber hinaus bietet WebAuthn den Benutzern die M\u00f6glichkeit, verschiedene Authenticatoren f\u00fcr ihr Konto zu registrieren, um die Kontoverwaltung und -wiederherstellung komfortabler zu gestalten. Bevor wir zum Ende unseres Podcasts kommen, lassen Sie mich noch einmal kurz die wichtigsten Merkmale der Web Authentication zusammenfassen: Erstens, f\u00fcr jeden Webservice ist ein eigener, eindeutiger Account vorhanden. Sprich, es lassen sich nicht mehr gleiche Zugangsdaten zur Anmeldung an unterschiedlichen Webservices verwenden. Zweitens, die Zugangsfaktoren wie biometrische Informationen verlassen niemals das Endger\u00e4t eines Users Drittens, die Anwender k\u00f6nnen sich mithilfe eines Hardware-Tokens, einem Smartphone oder biometrischen Merkmalen wie beispielsweise einem Fingerabdruck, Gesichtserkennung oder Iris Scan anmelden. Viertens, f\u00fcr die Anmeldung sind keine Passw\u00f6rter notwendig. Dadurch ist diese Authentifizierungsmethode resistent gegen Man-in-the-Middle-Angriffe und verhindert den Passwortdiebstahl durch Phishing. F\u00fcnftens, WebAuthn wird inzwischen von Windows 10, Android, Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari unterst\u00fctzt. Ebenso ist die Integration auf Webseiten \u00fcber den Aufruf der WebAuthn-API m\u00f6glich. Fazit: Die Web Authentication ist ein Meilenstein in der Geschichte der Internetsicherheit. Sie ist der erste globale Standard f\u00fcr eine sichere Web-Authentifizierung und ebnet somit den Weg in eine Welt der benutzerfreundlichen, hochsicheren und passwortfreien Authentifizierung. Kontakt: Ingo L\u00fccker, ingo.luecker@itleague.de ","author_name":"IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert","author_url":"https:\/\/www.itleague.de","html":"