Das World Wide Web Consortium und die FIDO-Allianz haben einen neuen Standard zum LogIn veröffentlicht, mit diesem Standard soll es einfacher und sicherer werden. WebAuthn lag zwar schon 2 Jahre auf den Schreibtischen, aber diese Ankündigung kann als Startschuss gesehen werden.
Bisher wird er nur von Firefox unterstützt, Chrome und Edge werden jedoch in den nächsten Monaten nachziehen, von Opera gibt es ebenfalls eine Zusage. Nur von Apple hört man nichts, sie halten sich bisher zu Zusagen über eine Einbindung in Safari zurück, allerdings ist zu erwarten, dass auch hier bald ein Statement kommt.
Bisher waren ähnliche Methoden propietär und auf die Website des Anbieters begrenzt. Dieser Standard ermöglicht nun vereinheitlichte Treiber.
Und so funktioniert er:
- Registrierung (am Phone):
- Der Benutzer öffnet eine Website und loggt sich dort ein oder erstellt ein neues Konto.
- Anschließend taucht eine Meldung auf: „Wollen Sie dieses Gerät mit dieser Seite registrieren?“
- Der Benutzer akzeptiert.
- Er wird aufgefordert eine Authentifizierungsmethode (PIN, Fingerabdruck, Iris, etc) auszuwählen.
- Die Website bestätigt die Registrierung mit einer Meldung.
- Authentifizierung:
- Am PC/Laptop
- Der Benutzer öffnet wieder die Website und wählt die Option „Einloggen mit Phone“
- Er wird aufgefordert den Prozess am Phone abzuschließen.
- Am Phone
- Eine diskrete Benachrichtigung mit der Meldung „Einloggen auf Website“ erscheint.
- Der Benutzer wählt diese Benachrichtigung aus.
- Er muss nun eines seiner hinterlegten Benutzerkonten auf dieser Website auswählen.
- Anschließend authentifiziert er sich mit seiner gewählten Methode.
- Am PC/Laptop
- Die Website meldet den erfolgreichen LogIn.
- Am PC/Laptop
Außerdem sehen die Verantwortlichen weitere Anwendungsmöglichkeiten. So kann es auch möglich sein, sein Phone am PC für das gewählte Nutzerkonto zu registrieren, statt des Phones einen passiven Token per USB, NFC oder Bluetooth zu nutzen, oder sogar einzelne Aktionen auf den Websites zu authorisieren, z.B. Banktransaktionen.
Mit diesem Verfahren sollen Phishingversuche erschwert werden, da der LogIn quasi auf dem Phone extra bestätigt werden muss.
Würdet ihr ein solches Verfahren nutzen?
Quelle W3C via MSPoweruser
Nur zum verstehen. Ich muss also meine Telefonnummer preisgeben?? Oder geht es nur um das Gerät, Smartphone.?
Dafür wir dann ja auch eine App auf dem Handy gebraucht, oder?
1. Nur wenn diese auch funktioniert wenn sie keinen zugriff auf irgendwas hat
2. Wenn App, wird es diese dann auch für ALLE Plattformen geben (net nur Roboter und Obstler)?!
Ich finde das toll….geht ja um „Unsere Sicherheit“. Doch wahrscheinlich wird es bald wieder ersetzt werden durch noch bessere Systeme. Keiner schläft, weder der User noch der Betrüger. Also die normale Endlos-Schleife….
Hört sich ähnlich an wie google oder der MS Authenticator.
Nö.
Ja! Bei der TARGO Bank ist das bereits gängige Praxis. Nennt sich Easy-Tan Verfahren, weil du keine Tan mehr brauchst, denn dein Phone (L950 DS) autorisiert die Transaktion.
Diese Methode hier muss durch den Browser unterstützt werden, verlangt also nach Anpassung. Da bei Edge auf Mobile nichts mehr kommt, kann man die hier vorgestellte Methode folglich vergessen.
Na also ich brauche ne Interaktion vom Handy übers Netz wie soll das über ein Webinterface sicherer sein als „nativ“ über eine App ?
Ja würde ich nutzen, wenn der MS-Autheticator sicherer wäre nähm ich den.
Hab auch schon Tokens als USB-Sticks genutzt find ich toll wenn das dann auf allen Websites funktionieren würde wär das echt ein Meilenstein fürs Netz.
Ist der MS Authenticator unsicher?
Entfällt dann endlich so nerviges Zeugs wie „Klicken sie auf alle Straßenschilder im nachfolgenden Bild“?
Manche Webseiten wie z.B. die TeamViewer Management Console fragen das ja bei jedem Login ab, nicht nur bei der Registrierung. Da wäre ich echt mal dankbar.
Klingt für mich vergleichbar mit dem Login via Google oder Microsoft Authenticator, also 2FA. Wo genau ist der Unterschied?