Im Bereich Web Authentication tut sich momentan einiges. Das Web Authentication Interface (WebAuthn) [1] des World Wide Web Consortium (W3C) ist dabei nur ein Baustein des FIDO2-Projekts. Dieses wurde von der FIDO-Allianz (Fast IDentity Online) ins Leben gerufen, um einen allgemeinen Standard zur Authentifizierung von Benutzern im Web zu schaffen. Die Allianz verfügt über viele namhafte Mitglieder: Unter anderem engagieren sich dort Amazon, Google, Microsoft, RSA, Yubico und viele andere Größen der IT-Branche.
Bei FIDO2 soll die Eingabe eines Benutzernamens und Passworts komplett entfallen und stattdessen die Authentifizierung eines Benutzers mit Hilfe von Public-Key-Verschlüsselung, kombiniert mit einem Hardware-Token und optional weiteren Faktoren, durchgeführt werden. Bei den optionalen Faktoren kann es sich sowohl um biometrische Merkmale, wie beispielsweise ein Fingerabdruck oder ein Iris-Scan, als auch um eine Benutzer-bezogene PIN handeln. Die Authentifizierung auf Basis eines Benutzernamens und Passworts ist somit nicht mehr notwendig.
Um FIDO2 und WebAuthn besser zu verstehen, hilft es, sich die einzelnen Komponenten einmal näher
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.