WebAuthn – Der nächste Sargnagel für Benutzername/Passwort

Es ist ein langsames Sterben, aber irgendwann wird die letzte Benutzername/Passwort-Kombination eingegeben sein. Das ist auch gut so, denn ein Datenleck nach dem anderen zeigt, dass weder die Privatwirtschaft noch öffentliche Einrichtungen persönliche Daten ausreichend schützen können. Die EU-DSGVO wird das Problem vielleicht etwas entschärfen, aber nicht grundlegend lösen. Die sichere Alternative zu Benutzername und Passwort ist Multifaktor- oder Zweifaktor-Authentifizierung (MFA/2FA). Etwas wissen und etwas haben zu müssen, macht gestohlene Passwörter wertlos. So weit so gut, doch alle Theorie ist grau. Auch wenn bereits viele Web-Dienste wie Facebook eine 2FA-Authentifizierung anbieten, wird sie noch kaum genutzt. Es ist etwas umständlich, eine App öffnen zu müssen, IT-ferne Anwender finden das Konzept kompliziert, etc. Wirklich umfassende Akzeptanz lässt sich nur über eine nahtlose Integration in alle wichtigen und von Anwendern genutzten Dienste erreichen.

Der kommende WebAuthn-Standard hat großes Potential, 2FA genau über diese nahtlose Integration auf breiter Front einzuführen. WebAuthn nutzt einen Hardware-Token nach dem U2F-Standard. Universal Second Factor, ist ein Industriestandard für eine allgemein anwendbare Zwei-Faktor-Authentifizierung. Yubikey ist einer der wichtigsten Hersteller passender Token und auch einer der Mitentwickler des Standards. Die Weiterentwicklung übernimmt die nichtkommerzielle FIDO-Allianz mit mehr als 30 Mitgliedern. U2F gibt es schon seit 2014; was nun die Hoffnung auf allgemeine Verbreitung schürt, ist die Ankündigung von Mozilla, dass der Browser Firefox 60 Authentifizierung über WebAuthn eingebaut hat. Auch wenn WebAuthn andere Merkmale wie Biometrie unterstützt, sind WebAuthn und U2F eine ideale Kombi, die Anwender endgültig von der Eingabe von Passwörtern für beliebte Web-Dienste befreien können. Zwar muss das World Wide Web Consortium (W3C) WebAuthn noch als allgemeinen Web-Standard final bestätigen, doch schon heute haben neben Mozilla zahlreiche weitere Hersteller wie Microsoft (Windows 10, Edge) und Google (Chrome) ihre Unterstützung signalisiert. Auch Apple entwickelt eine Implementierung für den Safari-Browser, wie ein Bug Ticket eines Apple-Entwicklers vermuten lässt.

WebAuthn definiert ein Web-API, das in Browser und verbundenen Web-Plattformen eingebaut werden kann. Dahinter steht ein Public-Key-Authentifizierungsverfahren. Für jeden Dienst wird ein Identifizierungsdatensatz angelegt, dessen öffentliche Schlüsselanteile an den Dienst übergeben werden. Der private Key verlässt normalerweise nie den U2F-Token, auch wenn das, je nach Token, möglich ist. Weil WebAuthn nach dem Challenge-Response Verfahren funktioniert, fordert der Webdienst den Anwender auf, eine Anmeldung über einen Knopf auf dem Token auszulösen. Ohne die Benutzerinteraktion ist keine Anmeldung möglich. Damit kann der Token auch im Computer bleiben – er ist kryptographisch vor Angriffen geschützt und benötigt den Tastendruck des Anwenders. Weil das Passwort das Endgerät normalerweise nicht verlässt, kann es auch nicht auf Seiten des Dienstanbieters geleakt werden. Bedenken hinsichtlich des Datenschutzes gibt es auch nicht – WebAuthn ist kein Single-Sign-On, auch wenn es natürlich sehr viele Dienste absichern kann. Aber jeder Web-Dienst hat sein eigenes Schlüsselpaar und der Standard ist so ausgeführt, dass Server keine Auskunft über andere Schlüsselpaare auf dem U2F-Token erhalten können. Weil die Benutzeraccounts nach wie vor individuell verwaltet werden, ohne zentrales Register, ist auch die Anonymität zumindest im Rahmen der Anmeldung gewahrt. Welche identifizierbaren Daten der Anwender danach mit dem Service-Anbieter teilt, ist eine andere Angelegenheit.

Was sich in der Beschreibung komplex anhört, ist in der Praxis intuitiv und simpel, gerade wenn man einen Browser nutzt, der WebAuthn bereits eingebaut hat. Das Sicherheitsniveau ist deutlich höher als bei einer Benutzername/Passwort-Kombination und schlägt in punkto Bequemlichkeit auch One-Time-PINs per SMS oder App. Einziger Wermutstropfen könnte der Preis für ein U2F-fähiges Token sein, er liegt im Moment zwischen 10 und 50 Euro. In Anbetracht des deutlich erhöhten Sicherheitsniveaus sollte die Investition eigentlich keine Frage sein. Vielleicht erkennen aber auch die Service-Anbieter das WebAuthn/U2F-Potential und sponsern entsprechende Token mit Firmen-Branding im Rahmen der Nutzungsgebühren.