WebAuthn
WebAuthn ist ein vom World Wide Web Consortium (W3C) veröffentlichter Standard und eine Kernkomponente des FIDO2-Projekts unter der Leitung der FIDO-Allianz für die Authentifizierung von Benutzern mittels eines Public-Key-Verfahrens. Die einfache Nutzung ohne weitere Faktoren (zum Beispiel biometrische Identifikation) kommt dabei ohne Passwörter aus.
Auf der Clientseite kann die Unterstützung für WebAuthn auf verschiedene Arten implementiert werden. Die zugrunde liegenden kryptografischen Operationen werden von einem Authentifikator ausgeführt. Hierbei handelt es sich um ein abstraktes Funktionsmodell, das hinsichtlich der Verwaltung des Schlüsselmaterials meist agnostisch ist. Dadurch ist es möglich, die Unterstützung für WebAuthn ausschließlich in Software zu implementieren, indem die vertrauenswürdige Ausführungsumgebung eines Prozessors oder ein Trusted Platform Module (TPM) verwendet wird. Sensible kryptografische Vorgänge können auch auf einen Roaming-Hardware-Authentifikator übertragen werden, auf den wiederum über USB , Bluetooth Low Energy oder Near Field Communication (NFC) zugegriffen werden kann. Ein Roaming-Hardware-Authentifikator entspricht dem Authenticator Protocol (CTAP) des FIDO-Clients, wodurch WebAuthn effektiv abwärtskompatibel zum FIDO Universal 2nd Factor (U2F)-Standard ist.
Ähnlich wie das alte U2F ist auch die Web-Authentifizierung ein nachvollziehbarer Identitätswechsel, d. h. sie ist resistent gegen aktive Man-in-the-Middle-Angriffe, aber im Gegensatz zu U2F erfordert WebAuthn kein herkömmliches Kennwort. Darüber hinaus ist ein Roaming-Hardware-Authentifikator resistent gegen Malware, da auf das private Schlüsselmaterial zu keiner Zeit Software für den Host-Computer zugreifen kann.
Der WebAuthn Level 1-Standard wurde am 4. März 2019 als W3C-Empfehlung veröffentlicht. Eine Level-2-Spezifikation befindet sich in der Entwicklung.