News

Neuer Webstandard macht LogIn einfacher

Petya 2 Virus

Das World Wide Web Consortium und die FIDO-Allianz haben einen neuen Standard zum LogIn veröffentlicht, mit diesem Standard soll es einfacher und sicherer werden. WebAuthn lag zwar schon 2 Jahre auf den Schreibtischen, aber diese Ankündigung kann als Startschuss gesehen werden.

Bisher wird er nur von Firefox unterstützt, Chrome und Edge werden jedoch in den nächsten Monaten nachziehen, von Opera gibt es ebenfalls eine Zusage. Nur von Apple hört man nichts, sie halten sich bisher zu Zusagen über eine Einbindung in Safari zurück, allerdings ist zu erwarten, dass auch hier bald ein Statement kommt.

Bisher waren ähnliche Methoden propietär und auf die Website des Anbieters begrenzt. Dieser Standard ermöglicht nun vereinheitlichte Treiber.

Und so funktioniert er:

  1. Registrierung (am Phone):
    • Der Benutzer öffnet eine Website und loggt sich dort ein oder erstellt ein neues Konto.
    • Anschließend taucht eine Meldung auf: „Wollen Sie dieses Gerät mit dieser Seite registrieren?“
    • Der Benutzer akzeptiert.
    • Er wird aufgefordert eine Authentifizierungsmethode (PIN, Fingerabdruck, Iris, etc) auszuwählen.
    • Die Website bestätigt die Registrierung mit einer Meldung.
  2. Authentifizierung:
    • Am PC/Laptop
      • Der Benutzer öffnet wieder die Website und wählt die Option „Einloggen mit Phone“
      • Er wird aufgefordert den Prozess am Phone abzuschließen.
    • Am Phone
      • Eine diskrete Benachrichtigung mit der Meldung „Einloggen auf Website“ erscheint.
      • Der Benutzer wählt diese Benachrichtigung aus.
      • Er muss nun eines seiner hinterlegten Benutzerkonten auf dieser Website auswählen.
      • Anschließend authentifiziert er sich mit seiner gewählten Methode.
    • Am PC/Laptop
      • Die Website meldet den erfolgreichen LogIn.

Außerdem sehen die Verantwortlichen weitere Anwendungsmöglichkeiten. So kann es auch möglich sein, sein Phone am PC für das gewählte Nutzerkonto zu registrieren, statt des Phones einen passiven Token per USB, NFC oder Bluetooth zu nutzen, oder sogar einzelne Aktionen auf den Websites zu authorisieren, z.B. Banktransaktionen.

Mit diesem Verfahren sollen Phishingversuche erschwert werden, da der LogIn quasi auf dem Phone extra bestätigt werden muss.

Würdet ihr ein solches Verfahren nutzen?


Quelle W3C via MSPoweruser

Vorheriger Artikel

Windows 10: Anniversary Update Support läuft aus - Jetzt System updaten

Nächster Artikel

Windows 10 Version 1803/RS4/Spring Creators Update kommt heute nicht

Der Autor

Florian_L

Florian_L

"Seal the deal and let's boogie for a while"

12
Hinterlasse einen Kommentar

avatar
10 Comment threads
2 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
10 Comment authors
DrDunkeymelexisDoctore99keinuntertanThomasB0815 Recent comment authors
  Diskussion abonnieren  
neuste älteste beste Bewertung
Benachrichtige mich zu:
Andi
Mitglied

Nur zum verstehen. Ich muss also meine Telefonnummer preisgeben?? Oder geht es nur um das Gerät, Smartphone.?

Meik
Mitglied

Dafür wir dann ja auch eine App auf dem Handy gebraucht, oder?
1. Nur wenn diese auch funktioniert wenn sie keinen zugriff auf irgendwas hat
2. Wenn App, wird es diese dann auch für ALLE Plattformen geben (net nur Roboter und Obstler)?!

Steffen1303
Mitglied

Ich finde das toll….geht ja um „Unsere Sicherheit“. Doch wahrscheinlich wird es bald wieder ersetzt werden durch noch bessere Systeme. Keiner schläft, weder der User noch der Betrüger. Also die normale Endlos-Schleife….

RoiDanton
Mitglied

Hört sich ähnlich an wie google oder der MS Authenticator.

kram
Mitglied

Nö.

ThomasB0815
Mitglied

Ja! Bei der TARGO Bank ist das bereits gängige Praxis. Nennt sich Easy-Tan Verfahren, weil du keine Tan mehr brauchst, denn dein Phone (L950 DS) autorisiert die Transaktion.

keinuntertan
Mitglied

Diese Methode hier muss durch den Browser unterstützt werden, verlangt also nach Anpassung. Da bei Edge auf Mobile nichts mehr kommt, kann man die hier vorgestellte Methode folglich vergessen.

Doctore99
Mitglied

Na also ich brauche ne Interaktion vom Handy übers Netz wie soll das über ein Webinterface sicherer sein als „nativ“ über eine App ?

Doctore99
Mitglied

Ja würde ich nutzen, wenn der MS-Autheticator sicherer wäre nähm ich den.
Hab auch schon Tokens als USB-Sticks genutzt find ich toll wenn das dann auf allen Websites funktionieren würde wär das echt ein Meilenstein fürs Netz.

DrDunkey
Mitglied

Ist der MS Authenticator unsicher?

melexis
Mitglied

Entfällt dann endlich so nerviges Zeugs wie „Klicken sie auf alle Straßenschilder im nachfolgenden Bild“?
Manche Webseiten wie z.B. die TeamViewer Management Console fragen das ja bei jedem Login ab, nicht nur bei der Registrierung. Da wäre ich echt mal dankbar.

DrDunkey
Mitglied

Klingt für mich vergleichbar mit dem Login via Google oder Microsoft Authenticator, also 2FA. Wo genau ist der Unterschied?