Nach langer Arbeit hat das W3C nun die Web Authentication API zum Standard erklärt. Das besser unter dem Namen WebAuthn bekannte Verfahren welches vom W3C und der FIDO Alliance ins leben gerufen wurde, war bislang lediglich eine Empfehlung. Mit der Erklärung zum Standard hat das W3C nun den Weg für ein einfacheres sicheres Authentifizieren im Netz freigemacht.
Mit dem neuen WebAuthn genannten Standard gibt es nun endlich eine einheitliche Basis auf der eine Systemübergreifende und einheitliche Authentifizierung ohne Passwort möglich sein wird.
WebAuthn ermöglicht den Login mit verschiedenen Faktoren. Neben biometrischen Informationen wie der Fingerabdruck gehören hierzu Fido-2-Security-Keys oder auch das eigene Smartphone.
Statt eines Passworts setzt WebAutn auf ein Prinzip mit einem Challenge-Response-Verfahren das asymmetrische Kryptografie (Public-Key-Verfahren) zur authentifizierung nutzt.
Schon heute wird der Standard von vielen Browsern und Anbietern unterstützt. Browser wie Firefox, Google Chrome und Microsoft Edge unterstützten beispielsweise bereits die notwendigen Schnittstellen.
Apples Safari bietet derzeit nur eine Vorabversion mit Unterstützung für WebAuthn.
Auch Dienste wie Google, Dropbox, Facebook, GitHub und GitLab bieten bereits unterstützug für WebAuthn teilweise jedoch lediglich diese als FIDO-kompatiblen U2F Faktor zu registrieren. Mit der Ernennung zum Standard dürften hier jedoch zeitnahm weitere Dienste folgen.
Die hier genannte Browserunterstützung kommt übrigens nicht von ungefähr. Die genannten Browser-Hersteller sind Mitglieder der Fido Alliance und treiben den Standard daher aktiv voran.
Wer sich nun mehr für die Details des WebAuthn Standard oder dieser Passwortlosen authentifizierung interessiert, findet weitere Informationen auf den Seiten des W3C (Standardbeschreibung von WebAuthn) oder der Fido-Alliance