Kurz erklärt: Sichere Authentifizierung mit WebAuthn

Seit einigen Jahren veröffentlichen Sicherheitsforscher jährlich eine Liste der nach ihren Erhebungen gängigsten deutschen Passwörter. Und was sich auf dieser Liste findet, bietet wenig Grund zur Freude: „123456“ etwa schaffte es bereits mehrere Male sogar an die Spitze der Liste. „Passwort“ ist auch nicht viel kreativer. Und wer glaubt, mit Anzüglichkeiten besser zu fahren, sieht sich auch in guter Gesellschaft – der menschlichen Fantasie sind hier offenbar doch Grenzen gesetzt. Mit dem Problem grundsätzlich aufzuräumen verspricht die FIDO-Allianz, die mit CTAP und WebAuthn im FIFO2-­Standard zwei Protokolle pflegt, die Public-Key-Verfahren mit Hardware- oder biometrischen Token zu kombinieren verstehen. GitHub (siehe Abbildung) und mehr und mehr große Webseiten unterstützen das passwortfreie Log-in bereits. 

Ansätze, Passwörter zu erweitern oder durch andere Verfahren zu ersetzen, gibt es seit einer gefühlten Ewigkeit. Eine Möglichkeit besteht darin, die Anmeldung an einen anderen Faktor als ein Passwort zu binden – etwa an ein biometrisches Merkmal oder ein bestimmtes Gerät. Besitzt der Mensch vor dem Rechner Zugang zu diesem Faktor, meldet er sich damit an und gibt dadurch zweifelsfrei zu erkennen, dass er er ist. Direkt auf der Systemebene kennen Anwender das Prinzip beispielsweise von Apple- oder Android-Bluetooth-­Geräten: Wer mit seinem Smartphone den Raum betritt, entsperrt auf Wunsch seinen Rechner automatisch, entfernt er sich von ihm, schaltet sich der Screensaver ein.