Mehr Sicherheit im Netz: Passwörter sollen dank WebAuthn sterben

Wäre die Online-Welt ohne Passwörter sicherer und bequemer? So glaubt es zumindest das World Wide Web Consortium. Das W3C hat die Web Authentication API (WebAuthn) zu einem offiziellen Standard gemacht. In Zukunft wird es Authentifikationen ohne ... mehr... Sicherheit, Security, passwort, Passwörter, Authentifizierung, Authenticator, password, Webauthn Bildquelle: Pexels / CC0 Sicherheit, Security, passwort, Passwörter, Authentifizierung, password, Webauthn Sicherheit, Security, passwort, Passwörter, Authentifizierung, password, Webauthn Pexels & CC0

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Grundsätzlich ist das eibe sehr gute Sache.
Nur was machen Menschen ohne Smartphone?
Gut, die müsste nen Fingerabdruckscanner o.ä. nutzen,

Ich sehe aber grade ein Problem:
I.d.R. hat man ja nicht nur einen Account, sondern mehrere.
Mit Fingerabdruckscanner kommt man dann in alle Accounts.
Wo ist da die Sicherheit?
Wenn ich mit schön cryptischen Passwörtern arbeite und für jeden Account ein anderes nehme dorfte das sicherer sein.
 
@flocke74: Dann nimmt man für jedes Konto einen anderen Finger. :-D

Aber stimmt schon, da hast du recht. Das ist ein Punkt den man nicht außer Acht lassen sollte.
 
@flocke74: Nein, das ist unsicherer. WebAuthn erlaubt eine Single-Faktor-Authentifizierung oder falls gewünscht auch eine Multi-Faktor-Authentifizierung. Das ist dann sicherer als eine lange Liste vieler Passwörter. Dazu kommt, dass Du bei sehr vielen Accounts keine Chance hast die Passwörter zu merken, also einen Passwort-Manager nutzen musst. (Oder einfache Passwörter - was die meisten machen - was aber so sinnlos ist wie gar kein Passowort.) Jede Webseite speichert in Deinen Fall Deinen Account und Passwort und Du musst Dich darauf verlassen, dass sie das gut und sicher machen. Bei WebAuthn hast Du die Gefahr nicht.
 
naja aber auch diese "Schlüssel" können gestohlen werden und damit mißbraucht ... nur lassen die sich dann nicht mal eben neu anlegen ... einmal verbrannt auf ewig verbrannt!

Hat jemand mein Fingerabdruck ... hat er Zugriff ohne das ich das ändern kann ...
das die Geräte (Biometrische Daten) nicht sicher sind wurde bereits mehrfach bewiesen.

Ne tolle theoretische Idee ... die in der Realität an den Schwachpunkten scheitert.

Sicherheitstoken ... ja an sich ebenfalls toll, wer aber ein so gesicherten Dienst mal wieder entsperren musste weil er das Teil verloren hat ... kennt die Freude, die da aufkommt.
 
Viele Menschen nehmen ganz banal meist einfach Passwörter, weil sich die Zeichenfolgen niemand mehr für hunderte Programme merken kann. Und nicht nur das Passwort selbst nervt, sondern wenn man dann auch noch aufgefordert wird dieses regelmässig zu ändern oder die letzten 3 Stück nicht mehr benutzt werden dürfen. Dies alles hat man nicht nur privat, sondern auch in der Firma.

Und vertraut man irgendwelchen Passwortprogrammen und diese werden gehackt oder verkaufen sich an irgendendjemanden kann man seine Passwörter gleich ins Internet stellen.

Für mich persönlich ist das sicherste immer noch die 2 Wege Authentifizierung, denn die Chance dass E-Mail und Handy bzw. PIN Ticker gehackt wurden ist gleich null.

Peinlich ist es z.B. bei Spotify, welches solche Standards immer noch nicht hat - ich war 3 Wochen dort Premium als ich nur noch eine Info bekam, dass mein Passwort einfach mal so von jemand geändert bzw. mein Account übernommen wurde.

Fingerabdrücke zu nutzen (vom Datenschutz mal abgesehen) halte ich für gefährlich, denn zusätzlich zu dem eigenen Account möchte wohl niemand einzelne oder alle Finger einer Hand verlieren, denn man könnte auch direkt bedroht werden. Ach den Inhaber seines Gesicht könnte man zwingen sich vor die Erkennungslinse zu schieben.
 
@Postman1970: lol spotfy. Die sind unfähig bis zum geht nicht mehr. Täglich rauschen bei denen zig beschwerden ein, dass das Web Connect Feature dazu genutzt wird, den Account zu kapern und man dann jemand anderen hat der über den Account hört. Hatte das selbst schon zwei mal (und nein, mein Passwort ist nicht schuld, das ist 64 Zeichen lang und nicht mal ich kenn das)
 
@Postman1970: Die Qualität des Kennwortes wäre völlig egal, wenn der Dienst nur 3 Fehlversuche erlauben würde und dann den Account für 2 Stunden sperrt. Egal ob Du 32 Zeichen benutzt oder "56789", bei 3 Versuchen wird beides nicht geknackt. Das gillt auch fürs Smartphone, nimm "6666", und Niemand wird es öffnen, weil er das nicht probiert.
 
@Bjorn_Maurer: Stimmt, eine Sperrung nach 3 Fehlversuchen plus die 2 Wege Authentifizierung würde das ganze schon gegen automatische Hackversuche absichern.
 
@Postman1970: Um das Passwortprogramm zu hacken muss jemand erst mal mein Handy haben oder auf meinen Rechner kommen.
 
Ich muss ehrlich eingestehen, dass ich über die Sicherheit von "WebAuthn" keine Ahnung habe.

Aber was mir schon zu Anfang absolut zuwider ist, ist das man um es zu benutzen einen noch größeren Persönlichen Striptease machen muss, als es die einfachen Passwörter verlangten.
Eins dürfte klar sein, sind solche Daten erstmal vorhanden, werden Begehrlichkeiten geweckt.
 
@Kribs: Nichts von dem, was du schreibst, hat irgendwas mit WebAuthn zu tun.
 
@sowas: Zur Hardware basierten Web Authentication (WebAuthn) müssen also keine Daten, insbesondre Biometrische, hinterlegt werden, das funktioniert einfach so?
 
@Kribs: Nein, muss man nicht.
 
@sowas: Und wo kommen dann die Biometrischen Daten her, die zur Authentifizierung genutzt werden?
 
@Kribs: Meine Fresse, RTFM!
 
@sowas: Hab ich mir gedacht, die ohne Ahnung spucken die größten Töne!
 
Biometrie hat sich in der Vergangenheit als sehr angreifbar erwiesen. Smartphones sind regelmäßig Ziel von Malware und bieten eine große Angriffsfläche. Der Ansatz scheint aber gut.

Ich würde für Bluetooth/NFC/USB-Hardwarekeys plädieren, die One Time Passwort Challenges unterstützen. als letzte Sicherheit sollten sie aber die Eingabe einer änderbaren Masterpassphrase verlangen, das im Hardwarekey selbst geprüft wird.

Backup, sichere Einrichtung, Vergabe von Passphrasen müssen nutzerfreundlich gestaltet werden.
 
@dpazra: WebAuthn ist aber unabhängig vom Fingerabdruck, es ist jedoch auch möglich diesen mit Fingerabdruck zu benutzen. Und selbst wenn dein Fingerabdruck geklaut wird, dann bringt es einem ohne die Hardware, mit der du den Fingerabdruck gescannt hast, reichlich wenig. Webauthn benötigt ein signiertes Zweitgerät.

Stell dir WebAuthn als Passwort Manager auf einen Zweitgerät vor, der für jede Webseite einen individuellen ewig langen Benutzernamen und Passwort generiert. Wenn Benutzername und Passwort auf einer Webseite gefragt werden, dann fragt der Browser das Zweitgerät an. Dieses Zweitgerät fragt dich um Erlaubnis, das er dem Browser Benutzernamen und Passwort weitergeben darf. Dann gibt dieses Zweitgerät per asymmetrischen Schlüsselverfahren die angefragten Daten an den Browser weiter. Der Browser selbst sieht nichts von deinen Daten. Die Webseite überprüft die Daten auf Gültigkeit und akzeptiert oder lehnt ab.

Man-in-the-middle, Phising, einfaches PW Problem sind so nicht mehr möglich.
 
Das größte Sicherheitsleck ist der Noteingang für DUMME Nutzer, die ihr Kennwort vergessen haben. Sicherheitsfragen, Telefonsupport der Hilft usw usw. All das gehört abgeschafft.
 
Fingerabdrücke klauen ist doch bereits oft gemacht worden, das ist für Kriminelle meist eine leichte Übung.
verschiedene komplexe PW in einem password Safe (programm) gesichert mit ner Schlüsseldatei + Master PW. Das halte ich für sicherer.
Gut der Aufwand ist ein wenig höher, aber nichtmal all zu sehr. Aber Komfort ist offenbar wichtiger als Sicherheit...
 
@pcfan: Und wer sagt dir, dass die Betreiber der Passwort Programme vertrauenswürdig sind und was für Tricks (Key Logger, etc.) in den Tools verbaut sind um doch an deine "sicheren" Daten zu kommen?

Die Entwickler sitzen meist entweder in den USA oder im Ostblock.
Beide Richtungen gelten heutzutage nicht gerade als vertrauensvoll im Bereich der IT.
 
@Postman1970: 2 Wörter: OPEN SOURCE
 
@Postman1970: Der Source Code von Keepass z.B. ist öffentlich zugänglich. Dieser öffentlich zugängliche Code wurde im Auftrag der EU (also weder Ostblock noch USA) einem ausführlichen Audit unterzogen, der volle Bericht ist öffentlich https://joinup.ec.europa.eu/sites/default/files/ckeditor_files/files/DLV%20WP6%20-01-%20KeePass%20Code%20Review%20Results%20Report_published.pdf

Es gibt außerdem staatlich finanzierte Bounties für Sicherheitslücken in Keepass.

Unabhängig von der EU gibt es noch eine Empfehlung von den Schweizer Behörden für Informationssicherheit.

Der Source Code wurde außerdem von vielen Augen gelesen, weil es sehr viele Derivate von Keepass gibt.

Ich würde sagen, dass die Grundlage für Vertrauen hier deutlich stärker ist, als z.B. für Google Chrome (proprietäre Erweiterungen enthalten), Microsoft Windows, Mac OS, iOS oder Android mit proprietären Play Services.
 
Dutzende Kommentare hier von Leuten, die den Standard nicht gelesen haben.

1.) Webauthn ist unabhängig vom Fingerabdruck! Wenn jemand den Fingerabdruck klaut, bringt ihm das nix.
2.) Die Leute sind nicht gedankenlos an den Standard gegangen.
3.) Das Verfahren hat andere Probleme, z.B. in der Verschlüsselung.
 
Läuft das ganze nicht irgendwie auf eindeutige Identifizierbarkeit hinaus?
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.