Passwortfreier Login im Browser: Neue API unterstützt Fingerabdrucksensoren und Gesichtsscanner

Ein neuer Web-Standard von FIDO Alliance und W3C bietet interessante Authentifizierungs-Alternativen für Internetseiten. Statt eines Passwortes verwendet die „WebAuthn“ genannte API vorhandene Hardware-Features des jeweiligen Endgeräts, darunter Fingerabdrucksensoren und Gesichtsscanner.

Nutzer steuern die jeweilige Seite per Browser an und loggen sich über die passwortfreie FIDO-Authentifizierung ein. Außer Kameras und Fingerabdrucksensoren unterstützt die API ebenso spezielle, mit Sicherheitsinformationen ausgestattete USB-Sticks.


Browser-Login per Touch ID oder Face ID denkbar
Apple könnte die API dazu nutzen, Loginprozesse in Safari per Touch ID oder Face ID zu ermöglichen. Die biometrischen Nutzerdaten würden in dem Fall, wie bei anderen Login-Prozessen auch, in der Secure Enclave des iDevice oder Macs bleiben, ohne dass die jeweilige Website Zugriff darauf hätte. Es gibt aber noch keine Informationen dazu, ob Apple plant, die neue Technologie im hauseigenen Browser zu verwenden. In der Vergangenheit ließ sich das Unternehmen oftmals Zeit damit, entsprechende Features einzubauen.

Mozilla Firefox unterstützt WebAuthn dagegen direkt. Google Chrome and Microsoft Edge werden die Funktion in den nächsten Monaten implementieren.

Kommentare

Oligabler
Oligabler10.04.18 17:59
Interessant hört es sich ja an, nur wenn man mal wirklich ein Passwort eingeben muss ist man aufgeschmissen.
Letzte Tage Outbank, der hat mein Daumen nicht angenommen und ich wusste das Passwort nicht mehr. Musste dann alles zurücksetzten.
Ist wie mit Telefonnummer, wenn du die manchmal nicht manuell eingibst, weißt ich die auch nicht mehr. Wenn das Handy mal unterwegs kaputt geht und ich in die Telefonzelle muss bin ich aufgeschmissen. 😁😁😁
0
zacwinter10.04.18 18:18
Super. Hoffe das kommt mit iOS 12. Wobei es jetzt schon sehr komfortabel ist.
0
dan@mac
dan@mac10.04.18 22:19
@MTN: Wie kommt ihr darauf gerade jetzt darüber zu berichten? Die FIDO Alliance gibt es ja schon länger und ich hätte mir gewünscht, dass Apple da längst mitmischt und den Standard pusht.
-1
aMacUser
aMacUser10.04.18 22:46
dan@mac
@MTN: Wie kommt ihr darauf gerade jetzt darüber zu berichten? Die FIDO Alliance gibt es ja schon länger [...]
Und was hat die Dauer des Bestehens FIDO Alliance mit dem Inhalt des Artikels zu tun? WebAuthn ist schließlich nicht deren einziges Projekt.
Der jetzige Zeitpunkt könnte damit zusammenhängen, dass der WebAuthn Standard seit zwei Wochen fast fertig ist.
0
aMacUser
aMacUser10.04.18 22:55
Was ich mich nur frage ist, wie das in der Realität funktionieren soll. Es ist ja die eine Sache, wenn ich mir irgendwo einen Account habe, und dann per Benutzername eine eindeutige ID habe und ein Passwort als Schutz. Aber wie soll das sinnvoll durch einen Fingerabdruck oder Gesichtsscann ersetzt werden? Laut Artikel würde beides ja das Gerät nie verlassen, wie soll der Webserver dann also sicher wissen, ob ich jetzt tatsächlich vor dem Gerät sitze? Ein einfaches Ja oder Nein reicht da ja nicht, dann würde ich mir einfach einen Fingerabdruckscanner bauen, der immer Ja zurückgibt. Dann könnte ich mich problemlos überall einloggen. Hardware-Tokens haben eine ID, die der Webdienst speichern kann zur Identifizierung. Aber wie soll das bei einem Gesichtsscan funktionieren? Ich habe eigentlich keine Lust, mir einen QR-Code auf die Stirn tätowieren zu lassen.
Und was ist, wenn ich mich an meinem Heimcomputer einen Fingerabdruck benutze, aber auf der Arbeit gibt es keinen solchen Scanner? Dann muss man wieder ein Passwort als Fallback nutzen, und damit ist der angebliche Sicherheitsvorteil auch wieder dahin.
Allerdings lasse ich mich gerne eines besseren belehren. Vielleicht kennt ja jemand eine gute, verständliche Beschreibung von dem WebAuthn-Prozess. Bei Google habe ich auf die schnelle nichts gefunden.
+1
rene204
rene20411.04.18 07:27
Vielleicht kommt dann ja auch endlich die Touchbar mit Touch-ID-Sensor auf das kabelgebundene Mac-Keyboard?
Gelassenheit und Gesundheit.. ist das wichtigste...
0
elBohu
elBohu11.04.18 08:46
Gegen vergessene Passwörter gibt es aber etwas. Vorher, hinterher natürlich nicht mehr. Ich kann Enpass sehr empfehlen!
wyrd bið ful aræd
+1
dan@mac
dan@mac11.04.18 09:22
aMacUser: Entschuldigung, dass ich frage. War nur neugierig was MTN zum Schreiben des Artikels bewegt hat. Vermutlich die quasi Fertigstellung des Standards. Davon hatte ich noch nichts mitbekommen und im Artikel wird das auch nicht erwähnt. Ich behalte meine Fragen künftig für mich.

Um deine zu beantworten:
Es wird ein Challenge-Response-Verfahren verwendet. Der Benutzer authentisiert sich nur gegenüber dem Authenticator (z.B. TouchID). Ist dies erfolgreich wird eine zuvor von der Gegenstelle erhaltene Challenge (mit dem privaten Schlüssel) signiert und die so entstandene Response von der Gegenstelle (mit dem öffentlichen Schlüssel) verifiziert. Ist das Ergebnis gleich der versendeten Challenge, wurde der Benutzer erfolgreich gegenüber der Gegenstelle authentifiziert.

Die Gegenseite verlässt sich also darauf dass der Benutzer sich zuvor lokal authentifiziert. Deinen selbstgebauten Fingerabdrucksensor muss du zuvor von der FIDO Alliance zertifizieren lassen und wenn der immer "ja" zurück gibt, wird das nichts. Das ist ganz praktisch, denn sollte z.B. TouchID mal gehackt werden, kann die FIDO Alliance einfach das Zertifikat zurückziehen und schon kann TouchID nicht mehr verwendet werden.

Wenn du auf der Arbeit keinen Fingerabdrucksensor hast, kannst du auf andere Authentikatoren zurückgreifen. Auch einen mit PIN. Trotzdem wird ja noch nach WebAuthn authentifiziert.
+1
ratti11.04.18 20:16
dan@mac
@MTN: Wie kommt ihr darauf gerade jetzt darüber zu berichten?
Weil FIDO heute die Specs veröffentlicht hat.



Für mich liest sich das so, als seien alle dabei — ausser Apple, die schweigen bisher. Schade.
+1
sierkb11.04.18 23:48
ratti
Für mich liest sich das so, als seien alle dabei — ausser Apple, die schweigen bisher. Schade.

The Verge
WebAuthn has been working its way toward W3C approval for nearly two years, but today marks the first major announcement of browser support. Apple has not commented on Safari support for WebAuthn, although the company is part of the working group that developed the standard .
Q: The Verge (10.04.2018): Chrome, Firefox and Edge will support a new standard for password-free logins

Und/Wobei/Immerhin:

WebKit.org: WebKit Feature Status: Web Authentication :
WebKit Feature Status
[…]

Web Authentication Under Consideration

An API enabling the creation and use of strong, attested, cryptographic scoped credentials by web applications, for the purpose of strongly authenticating users.

Reference: ,

[…]
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen