open4business implementiert den W3C Standard „Web Authentication API“ (WebAuthn) in ihre Software am Beispiel „User Acess Manager“ (ZF PortalManager)

21-10-2019

Als Web-Authentifizierungsmethode soll WebAuthn aus dem Standard FIDO2 (Fast Identity Online) Passwörter überflüssig machen. Die WebAuthn-API des W3C kann in Browser und Webplattform-Infrastrukturen integriert werden und ermöglicht starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Website.
Sie eliminiert damit das Risiko, dass ein von einer Website gestohlenes Passwort verwendet werden kann.



WebAuthn erlaubt dem Nutzer die Anmeldung und Authentifizierung bei Websites und Mobil-Apps mit einem „Authentikator“ anstelle eines Passworts. Dabei kann es sich um einen Hardware-Security-Key handeln, der mit seinem Computer verbunden wurde. Ebenso möglich ist eine Identifizierung durch Mobilgeräte und durch biometrische Informationen – etwa anhand von Fingerabdruck, Gesichtsscan oder Iris-Scan. Die Befürworter erhoffen sich davon mehr Sicherheit und eine breitere Akzeptanz als bei herkömmlicher Multi-Faktor-Authentifizierung (MFA) wie etwa dem Versenden von Einmal-Codes per SMS, bei dem noch immer eine Anfälligkeit für Phishing-Attacken gegeben sei.

Mit FIDO2 und WebAuthn erfolgte eine Weiterentwicklung, bei der eine Vielzahl weiterer Authentifizierungssysteme einschließlich biometrischer Verfahren Unterstützung findet. „Jetzt ist es Zeit für Webdienste und Unternehmen, WebAuthn einzuführen, um angreifbare Passwörter hinter sich zu lassen und Nutzern zu helfen, die Sicherheit ihrer Online-Erfahrungen zu verbessern“, sagte W3C-Chef Jeff Jaffe.

Im „User Access Manager“ (ZF PortalManager) wird ein persönlicher Sicherheitsschlüssel bei den sich beteiligenden Portalen registriert. Diesen Schlüssel kann man mit verschiedenen Endpunkten verbinden und hat dabei die Möglichkeit, bestimmte U2F-(USB)-Sticks, Kameras oder auch den Fingerabdruckscanner an diversen Handys zu verwenden. Eine kurze Geste reicht üblicherweise zur Authentifizierung.

Im „User Access Manager“ haben wir sowohl die backendseitige Schnittstelle von FIDO2 als auch die frontendseitige Implementierung in Vaadin und Angular erfolgreich umgesetzt (beide mit dem gleichen Backend).