WebAuthn

  • Der Nachteil ist aber nicht groß, da eine Nutzung von WebAuthn üblicherweise optional stattfindet und jemand, der die Voraussetzungen nicht erfüllt, das dann gar nicht aktiviert und dementsprechend keine Probleme hat. ;)

    Übrigens hat Apple mittlerweile experimentellen Support in Webkit / Desktop-Safari implementiert, das ist also mehr eine Frage des wanns und nicht mehr des obs, dass das standardmäßigen Einzug auf iOS erhält. Zwar beinhaltet das an sich keine Garantie, aber in Anbetracht der Tatsache, dass Google, Mozilla und Microsoft bereits WebAuthn unterstützen, darf man diesen experimentellen Support wohl so interpretieren, dass hier eine ernsthafte Absicht besteht, nicht als einziger Browserhersteller WebAuthn zu verweigern.

  • Schon verfügbar oder nähere Infos?

    Frank

    Bisher ist es nicht von mir umgesetzt. Prinzipiell möchte ich die Funktionalität gerne in mein Plugin 2-Faktor-Authentisierung einbauen.

    Hanashi
    January 26, 2021 at 9:56 AM

    WebAuthN ist aber eigentlich so gedacht, dass es das Passwort komplett ersetzt. Deswegen ist es in dem genannten Plugin nur bedingt gut aufgehoben. Sicherlich werde ich es trotzdem dort implementieren. Gleichzeitig wird es ein weiteres Plugin geben, welches die Passwortauthentifizierung ablösen soll. Hier muss natürlich bedacht werden, dass das nicht jeder will und vor allem nicht jeder die benötigte Hardware (z.B. YubiKey) dafür besitzt.

    Ein weiterer wichtiger Punkt ist, dass immer noch nicht alle Browser WebAuthN unterstützen. Führend ist hier meiner Meinung nach Google Chrome. Da funktioniert WebAuthN auf jeden mir bekannten und getesteten Gerät. Ich habe das ebenfalls unter Android erfolgreich getestet. Ganz anders sieht es hier leider immer noch bei Safari aus. Vor allem auf dem iPhone wird WebAuthN von Safari immer noch nicht unterstützt. Auf dem Mac wiederum wird WebAuthN in Safari bereits unterstützt. Vor einigen Tagen ist der YubiKey 5Ci erschienen. Dieser hat einen Lightning und USB Typ-C Anschluss und soll potentiell auch mit dem iPhone funktionieren. Ich habe mir diesen bereits vorbestellt und warte aktuell auf die Lieferung um das entsprechend testen zu können. Alternativ gibt es bereits einen Browser für iOS, der den neuen YubiKey 5Ci unterstützt.

    Hier mal eine kleine Tabelle, die ich vor einiger Zeit in meinem Forum gepostet habe (Stand 16.05.2019):

    Browser/BetriebssystemSafariFirefoxChrome
    WindowsSafari auf Windows zu altunterstützt WebAuthn, aber nur via USBunterstützt WebAuthn vollständig via USB, Fingerprint, etc.
    macOSunterstützt WebAuthn, aber nur via USB und nur als Experimental Featureunterstützt WebAuthn, aber nur via USBunterstützt WebAuthn vollständig via USB, TouchID, Fingerprint, etc.
    iOSkonnte noch nicht getestet, weil kein USB-Adapter vorhanden bzw. YubiKey 5Ci noch nicht erschienen

    funktioniert auf jeden Fall bisher nicht mit Touch ID
    konnte noch nicht getestet, weil kein USB-Adapter vorhanden bzw. YubiKey 5Ci noch nicht erschienen

    funktioniert auf jeden Fall bisher nicht mit Touch ID
    konnte noch nicht getestet, weil kein USB-Adapter vorhanden bzw. YubiKey 5Ci noch nicht erschienen

    funktioniert auf jeden Fall bisher nicht mit Touch ID

    Nur wie sieht es mit Thema Sicherheit aus?

    Bei WebAuthN wird Sicherheit groß geschrieben. Ok das ist ein Substantiv und wird sowieso groß geschrieben ^^

    Allerdings hat WebAuthN natürlich auch seine Nachteile. Wenn man WebAuthN als 2. Faktor nutzt (also Passwort + WebAuthN) ist es schon ziemlich sicher. Wenn jemand das Passwort geknackt hat, müsste er außerdem die Hardware besitzen. Wenn nur WebAuthN verwendet wird sieht es bisschen anders aus. Jeder der die Hardware besitzt, hat am Ende Zugriff auf den Account. Das heißt an dieser Stelle musst du sehr gut auf die Hardware achten.

    Der große Vorteil wiederum an der Hardware ist: wenn jemand Remotezugriff auf deinen Rechner hat, kann er nicht unbedingt deine Accounts nutzen. Bei den meisten Keys (z.B. YubiKey) musst du einen leichten Druck auf den YubiKey geben, damit er überhaupt erst reagiert.

    Übrigens hatte auch YubiKey bereits Sicherheitslücken. Allerdings betraf das nur die FIPO-Serie.

    WebAuthN ist übrigens immer sicherer als Passwörter, insofern man gut auf seine Hardware aufpasst. Ein Passwort kann bei einem Datenbruch geklaut werden (ok eigentlich der Passwort-Hash). Mit den WebAuthN-Information kann man bei einem Datenbruch nicht viel anfangen :)

  • Danke für das Bereitstellen dieser Lösung.

    Da die Ein-Faktor-Authentifizierung per Passwort sehr gut Angreifbar ist, würde ich mich freuen, wenn Zwei-Faktor-Authentifizierung und auch WebAuthn spätestens im nächsten Major-Release vom WCS implementiert ist.

    Darüber hinaus entfällt auf lange Sicht die Nutzung von reCAPTCHA, was auf jeden Fall gut ist.

    Freundliche Grüße

    Benedikt

  • Hanashi Ich habe auf deiner Seite gesehen, dass du ein Plugin für WebAuthn im Beta-Test hast.

    Wird das dann in das 2 Faktor Plugin mit einfließen, oder was eigenständiges?

    Wie bereits im Bereich für Two-Step-Verification geschrieben, wird es WebAuthN auch als Faktor für die 2-Stufen-Authentifizierung geben. WebAuthN-Login hat allerdings ein anderes Konzept und soll die Passwortauthentifizierung für die entsprechenden Benutzer deaktivieren. Eine Implementierung von WebAuthN als 2. Faktor in Two-Step-Verification erfolgt zu einem späteren Zeitpunkt, wird aber auf jeden Fall umgesetzt.

    Vorerst als eigenes Plugin, später auch als 2. Stufe in Two-Step-Verification.

  • Marcel Werk March 5, 2021 at 2:09 PM

    Added the Label 5.4.x
  • Marcel Werk March 5, 2021 at 2:09 PM

    Added the Label Implemented

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!