Passwörter und Benutzernamen gehören mit Resident Keys bald der Vergangenheit an

Viele Nutzer schätzen bereits heute kennwortlose Authentifizierung. Über Touch-ID auf unseren Smartphones ist sie heute schon Realität. Der nächste Schritt in dieser Entwicklung ist die Authentifizierung ohne Benutzernamen. Diese neue Möglichkeit ist eine Erweiterung der FIDO 2.0 WebAuthn-Spezifikation. Hierbei kann es sich um externe Schlüssel oder um integrierte Schlüssel handeln, auf die z.B. über Touch-ID oder Windows Hello zugegriffen werden kann.

Auf Websites, die dieses Verfahren aktiviert haben, kann man sich anstelle eines Passworts in Zukunft mit diesen Services authentifizieren. Der neue Resident Key-Berechtigungsnachweis – Teil der ForgeRock Identity Plattform, Version 7.0 und der ForgeRock Identity Cloud – ermöglicht es Nutzern, sich bei einer App oder Website, die dieses Verfahren zulässt, zu authentifizieren, ohne einen Benutzernamen oder ein Kennwort eingeben zu müssen.

Was genau ist WebAuthn?

WebAuthn ist ein Webstandard, der vom World Wide Web Consortium (W3C) veröffentlicht wird und ein wichtiger Bestandteil der FIDO 2.0 (Fast Identity Online) ist. Durch die Unterstützung in den neuesten Chrome-, Firefox-, Safari- und Edge-Browsern gewinnt WebAuthn aktuell an breiter Akzeptanz.

Die Unterstützung für Resident Keys, die eine kennwort- und benutzernamenlose Authentifizierung ermöglichen, ist derzeit in Chrome und Edge integriert und wird in Kürze auch in anderen Browsern verfügbar sein.

Vereinfachte Nutzung im Alltag

Angewendet wird WebAuthn, indem dem Besucher einer Website die Möglichkeit angeboten wird, einen Token zu erstellen und zu registrieren. Websites, die hierfür aktiviert sind, fordern den Benutzer beispielsweise auf, einen physischen Security-Token in einen USB-Port einzustecken oder ihn auf einem Android-Telefon anzutippen.

Das Nutzererlebnis wäre dem der heutigen Single Sign-On Methode (SSO) sehr ähnlich, auch wenn es technisch völlig anders ist. Im ersten Anwendungsschritt würde ein Nutzer eine Login-Seite aufrufen. Anstatt eines Benutzernamens oder Passworts würde der Nutzer einen Authentifikator verwenden, wie z.B. einen externen Security-Token oder integrierte Plattformschlüssel, auf die über Touch-ID oder Windows Hello zugegriffen wird. Der Benutzer ist dann eingeloggt und muss nichts Weiteres tun.

Zusätzliche Sicherheit gegen Man-in-the-Middle-Angriffe

Da das WebAuthn vom W3C geregelt wird, geht es hinter den Kulissen um mehr als nur Authentifizierung. Indem Token beispielsweise auf dem Gerät und nicht auf einem Remote-Server gespeichert werden, kann WebAuthn auch dazu beitragen, die Sicherheit in Hinblick auf Phishing- und Man-in-the-Middle-Angriffe zu erhöhen.

Wie funktioniert das? Wenn ein Benutzer zum ersten Mal eine kennwort- oder benutzernamenlose Zugangsberechtigung erstellt, wird ein öffentlicher Schlüssel an die berechtigte Website weitergegeben. Im Falle eines Phishing-Angriffs funktioniert der Anmeldevorgang allerdings nicht: Wenn der Nutzer auf eine nicht-WebAuthn-fähige Kopie einer Website geleitet wird, funktioniert der Schlüssel des Benutzers nicht, und er wird aufgefordert, einen Benutzernamen und ein Passwort einzugeben. Diese Unterbrechung des regulären Anmeldevorgangs sollte den Nutzer alarmieren, dass etwas nicht in Ordnung ist.

Dadurch, dass Nutzer keine Passwörter und Benutzernamen mehr eingeben müssen, sollten außerdem potenzielle Man-in-the-Middle-Angriffe, die versuchen Passwörter abzugreifen, häufiger vereitelt werden, da ein Abhören der Passwörter nicht mehr möglich ist.

* * * * *

Publiziert durch PR-Gateway.de.

Veröffentlicht von:

ForgeRock

Viktualienmarkt 8
80331 München
Deutschland
Telefon: 089 / 211 871 39
Homepage: https://www.forgerock.de/

Ansprechpartner(in):
Eva Fleckner
Pressefach öffnen

Firmenprofil:

Über ForgeRock
ForgeRock, führender Anbieter im digitalen Identitätsmanagement, definiert den Aufbau vertrauensvoller Beziehungen mit Kunden, Diensten und Dingen völlig neu: Unternehmen nutzen die ForgeRock Identity Platform als digitales, zentrales Identitätssystem, um ihre Kundenbeziehungen zu monetisieren und den strikten Datenschutz-Anforderungen (DSGVO, HIPAA, FCC Privacy usw.) und unterstützt die Umsetzung des Internet of Things. Zahlreiche Unternehmen vertrauen auf die Lösungen von ForgeRock wie Morningstar, Vodafone, GEICO, Toyota, TomTom und Pearson sowie Regierungsbehörden in Norwegen, Neuseeland und Belgien. ForgeRock verfügt mit Hauptsitz in San Francisco über Niederlassungen in Austin, London, Bristol, Grenoble, München, Paris, Oslo, Singapur, Sydney und Vancouver, Washington. Das Unternehmen ist nicht börsennotiert wird von zahlreichen renommierten Investoren finanziert, darunter Accel Partners, Foundation Capital, Meritech Capital und KKR. Weitere Informationen und kostenlose Downloads unter www.forgerock.com.

Informationen sind erhältlich bei:

Schwartz Public Relations
Sendlinger Straße 42 A
80331 München
forgerock@schwartzpr.de
089 / 211 871 39
https://www.forgerock.de/