WebAuthn
Was ist WebAuthn?
WebAuthnW3C-Standard-JavaScript-API, mit der Webanwendungen Nutzer über Public-Key-Credentials auf Plattform- oder Roaming-Authenticatoren registrieren und authentifizieren.
Web Authentication (WebAuthn) ist die browserseitige Hälfte von FIDO2. Sie stellt die Methoden navigator.credentials.create() und navigator.credentials.get() bereit, mit denen eine Relying Party ein neues Schlüsselpaar im Authenticator des Nutzers erzeugen und später eine Assertion (eine signierte Challenge) anfordern kann, um den Besitz zu prüfen. Der Standard unterstützt Plattform-Authenticatoren (Touch ID, Windows Hello, Android), Roaming-Authenticatoren (USB-, NFC- und Bluetooth-Sicherheitsschlüssel) und synchronisierte Passkeys. Da die Signatur an den Relying-Party-Origin gebunden ist, ist WebAuthn gegen Phishing, MITM-Angriffe und Credential-Reuse resistent. Browser und Identity Provider unterstützen ihn breit, und er bildet die Grundlage für passwortlose, phishing-resistente MFA im Web.
● Beispiele
- 01
Die Login-Seite einer Bank ruft navigator.credentials.get() auf, um einen wiederkehrenden Kunden per Passkey zu authentifizieren.
- 02
Registrieren eines Security Keys in einer Entwicklerkonsole über den WebAuthn-Registrierungsflow.
● Häufige Fragen
Was ist WebAuthn?
W3C-Standard-JavaScript-API, mit der Webanwendungen Nutzer über Public-Key-Credentials auf Plattform- oder Roaming-Authenticatoren registrieren und authentifizieren. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet WebAuthn?
W3C-Standard-JavaScript-API, mit der Webanwendungen Nutzer über Public-Key-Credentials auf Plattform- oder Roaming-Authenticatoren registrieren und authentifizieren.
Wie schützt man sich gegen WebAuthn?
Schutzmaßnahmen gegen WebAuthn kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für WebAuthn?
Übliche alternative Bezeichnungen: Web Authentication.