Viele Nutzer schätzen bereits heute kennwortlose Authentifizierung. Über Touch-ID auf unseren Smartphones ist sie heute schon Realität. Der nächste Schritt in dieser Entwicklung ist die Authentifizierung ohne Benutzernamen. Diese neue Möglichkeit ist eine Erweiterung der FIDO 2.0 WebAuthn-Spezifikation. Hierbei kann es sich um externe Schlüssel oder um integrierte Schlüssel handeln, auf die z.B. über Touch-ID oder Windows Hello zugegriffen werden kann.
Auf Websites, die dieses Verfahren aktiviert haben, kann man sich anstelle eines Passworts in Zukunft mit diesen Services authentifizieren. Der neue Resident Key-Berechtigungsnachweis – Teil der ForgeRock Identity Plattform, Version 7.0 und der ForgeRock Identity Cloud – ermöglicht es Nutzern, sich bei einer App oder Website, die dieses Verfahren zulässt, zu authentifizieren, ohne einen Benutzernamen oder ein Kennwort eingeben zu müssen.
Was genau ist WebAuthn?
WebAuthn ist ein Webstandard, der vom World Wide Web Consortium (W3C) veröffentlicht wird und ein wichtiger Bestandteil der FIDO 2.0 (Fast Identity Online) ist. Durch die Unterstützung in den neuesten Chrome-, Firefox-, Safari- und Edge-Browsern gewinnt WebAuthn aktuell an breiter Akzeptanz.
Die Unterstützung für Resident Keys, die eine kennwort- und benutzernamenlose Authentifizierung ermöglichen, ist derzeit in Chrome und Edge integriert und wird in Kürze auch in anderen Browsern verfügbar sein.
Vereinfachte Nutzung im Alltag
Angewendet wird WebAuthn, indem dem Besucher einer Website die Möglichkeit angeboten wird, einen Token zu erstellen und zu registrieren. Websites, die hierfür aktiviert sind, fordern den Benutzer beispielsweise auf, einen physischen Security-Token in einen USB-Port einzustecken oder ihn auf einem Android-Telefon anzutippen.
Das Nutzererlebnis wäre dem der heutigen Single Sign-On Methode (SSO) sehr ähnlich, auch wenn es technisch völlig anders ist. Im ersten Anwendungsschritt würde ein Nutzer eine Login-Seite aufrufen. Anstatt eines Benutzernamens oder Passworts würde der Nutzer einen Authentifikator verwenden, wie z.B. einen externen Security-Token oder integrierte Plattformschlüssel, auf die über Touch-ID oder Windows Hello zugegriffen wird. Der Benutzer ist dann eingeloggt und muss nichts Weiteres tun.
Zusätzliche Sicherheit gegen Man-in-the-Middle-Angriffe
Da das WebAuthn vom W3C geregelt wird, geht es hinter den Kulissen um mehr als nur Authentifizierung. Indem Token beispielsweise auf dem Gerät und nicht auf einem Remote-Server gespeichert werden, kann WebAuthn auch dazu beitragen, die Sicherheit in Hinblick auf Phishing- und Man-in-the-Middle-Angriffe zu erhöhen.
Wie funktioniert das? Wenn ein Benutzer zum ersten Mal eine kennwort- oder benutzernamenlose Zugangsberechtigung erstellt, wird ein öffentlicher Schlüssel an die berechtigte Website weitergegeben. Im Falle eines Phishing-Angriffs funktioniert der Anmeldevorgang allerdings nicht: Wenn der Nutzer auf eine nicht-WebAuthn-fähige Kopie einer Website geleitet wird, funktioniert der Schlüssel des Benutzers nicht, und er wird aufgefordert, einen Benutzernamen und ein Passwort einzugeben. Diese Unterbrechung des regulären Anmeldevorgangs sollte den Nutzer alarmieren, dass etwas nicht in Ordnung ist.
Dadurch, dass Nutzer keine Passwörter und Benutzernamen mehr eingeben müssen, sollten außerdem potenzielle Man-in-the-Middle-Angriffe, die versuchen Passwörter abzugreifen, häufiger vereitelt werden, da ein Abhören der Passwörter nicht mehr möglich ist.
Über ForgeRock
ForgeRock®, der Marktführer für das Handling digitaler Identitäten, bietet moderne und umfassende Identitäts- und Zugangsmanagementlösungen für Verbraucher, Mitarbeiter, Geräte und andere Dinge, um einfachen und vor allem sicheren Zugang zur vernetzten Welt zu ermöglichen. Mit ForgeRock orchestrieren, verwalten und sichern mehr als tausend globale Unternehmen den gesamten Lebenszyklus von Identitäten angefangen bei dynamischen Zugriffskontrollen, Verwaltung, APIs bis hin zur Speicherung maßgeblicher Daten – verwendbar in jeder Cloud- oder Hybridumgebung. Das Unternehmen befindet sich in Privatbesitz mit Hauptsitz in San Francisco und hat Niederlassungen auf der ganzen Welt. Weitere Informationen und kostenlose Downloads finden Sie unter unter www.forgerock.com
Firmenkontakt
ForgeRock
Dave De Jear
201 Mission St #2900
CA 94105 San Francisco
089 / 211 871 47
forgerock@schwartzpr.de
https://www.forgerock.com/
Pressekontakt
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
089 / 211 871 47
forgerock@schwartzpr.de
https://www.schwartzpr.de
Bildquelle: @ForgeRock