Definition Was ist WebAuthn?

Anbieter zum Thema

WatchGuard Technologies GmbH

Heidelberg iT Management GmbH & Co. KG

WebAuthn ist die Bezeichnung für einen W3C-Standard, der dem FIDO2-Projekt beigeordnet ist. Er widmet sich der Frage, wie sich Nutzer mittels des Public-Key-Verfahrens einfacher in Apps oder auf Webseiten authentifizieren können.

Der Name WebAuthn bezieht sich auf einen vom World Wide Web Consortium (W3C) entwickelten Standard. Ziel ist es, dass sich Nutzer künftig ohne eine Vielzahl von Kennwörtern in Apps, für die Nutzung von Web-Services oder zum Einloggen auf Internetseiten authentifizieren können. Der Name ist eine Verkürzung beiden zugehörigen englischen Vokabeln „Web Authentification“. Der Standard bildet den Kern des FIDO2-Projekts, das vom W3C und der FIDO-Allianz („Fast IDentity Online“ – „schnelle Identifizierung im Netz“) gemeinsam betreut wird.

Public-Key-Verfahren als Schlüssel für WebAuthn

Um den Wegfall der Passwörter zu ermöglichen, vertraut der Standard auf das sogenannte Public-Key-Verfahren. Dabei kommt ein System zum Einsatz, das digitale Zertifikate ausstellt, verteilt und prüft. Ist ein gültiges Zertifikat vorhanden, kann ein angefragter Prozess wie geplant ausgeführt werden. Dies ermöglicht es, dass ein bereits vorhandenes Authentifikationsverfahren an die Stelle individueller Lösungen tritt.

Ein Beispiel soll dies verdeutlichen: Smartphones verfügen in der heutigen Zeit praktisch ausnahmslos über biometrische Authentifizierungsverfahren – beispielsweise per Gesicht oder Fingerabdruck. Apps wissen, dass diese Möglichkeit besteht. Sie können deshalb die Authentifizierung an das Betriebssystem auslagern. Sie fragen an, ob es sich um den berechtigten Nutzer des Handys handelt, der auf die Anwendung zugreifen möchte. Das System führt eine biometrische Prüfung durch und stellt bei einem positiven Ergebnis ein entsprechendes Zertifikat aus. Der Prozess darf stattfinden.

Vereinfacht gesagt funktioniert das Ganze so:

• Die App stellt einen öffentlichen Schlüssel („Public Key“) aus.

• Dieser verlangt allerdings ein geheimes Pendant („Private Key“).

• Dieses liegt nicht auf dem Server der App, sondern im Smartphone.

• Um den geheimen Schlüssel zu nutzen, muss der Anwender die biometrische Prüfung erfolgreich abschließen.

• Dadurch signalisiert der geheime Schlüssel dem öffentlichen, dass alles in Ordnung ist.

WebAuthn zielt auf Flexibilität ab

Die Erklärung zeigt, dass das Betriebssystem bei einem normalen Public-Key-Verfahren stark involviert ist. Dies kann zu Kompatibilitätsproblemen führen. Außerdem kann es zu Sicherheitslücken im Rahmen der Kommunikation zwischen den beteiligten Systemen kommen. WebAuthn-Systeme zielen deshalb auf eine größere Flexibilität ab, die Probleme verhindern und das Verfahren absichern sollen. Alle sensiblen Operationen laufen in einem eigenen Authentificator-Modul ab, das vom Schlüsselmaterial getrennt ist. Es befindet sich deshalb in einem abgesicherten Software-Bereich.

Eine Metapher soll dies verdeutlichen: Eine Tür in ein Gebäude ist öffentlich zu sehen (Public Key). Wer sie durchschreiten möchte, benötigt allerdings einen Zugangscode (Private Key). Theoretisch können Nutzer aber bei der Eingabe beobachtet werden oder die letzte Änderung vergessen haben. Stattdessen gehen sie in einen nicht einsehbaren Raum und authentifizieren sich z.B. mittels Fingerabdruck. Sie zeigen so an, dass sie einen berechtigten Private Key besitzen. Das Raumsystem meldet deshalb an die Tür, dass die Person eintreten darf.

(ID:48743607)