Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Was ist WebAuthn? | Ping Identity
Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
Expand All | Collapse All

Was ist WebAuthn?


Das API-Authentifizierungsprotokoll WebAuthn wird immer stärker in Browsern, Betriebssystemen und Geräten eingesetzt und funktioniert ohne Passwort. Es läuft in Browsern, um Benutzer zu registrieren, zu verwalten und zu authentifizieren. Da es kein Passwort erfordert, ist es resistent gegen Phishing, und es verwendet zwei Faktoren gleichzeitig.

 

Authentifikatoren anstelle von Passwörtern

Beim WebAuthn braucht es von Anfang bis Ende vier Dinge: einen Nutzer, einen WebAuthn-fähigen Browser, eine Anwendung/einen Dienst und einen Authentifikator. Die Authentifikatoren sind zwar nicht Teil des eigentlichen Protokolls, werden aber benötigt, weil WebAuthn die Notwendigkeit von Passwörtern durch die Nutzung eines Authentifikators ersetzt. Die Authentifikatoren befinden sich auf dem Benutzergerät und basieren entweder auf Biometrie (Fingerabdrücke oder Gesichtserkennung) oder sind Teil eines externen Hardware-Geräts (wie beispielsweise ein Yubi Key). Sie können auch in eine Softwareplattform wie MacOS, Windows, Android oder iOS eingebunden sein.

 

ZWEI FAKTOREN IN EINEM

WebAuthn macht die Verwendung des gewöhnlichen Passworts als Einzelfaktor hinfällig, funktioniert aber trotzdem wie eine Multi-Faktor-Authentifizierung (MFA), denn der Benutzer muss „etwas, das er ist“ vorweisen (eine biometrische ID) und auch „etwas, das er hat“ (das Gerät).

 

So funktioniert es

Das WebAuthn-Protokoll überträgt Benutzeridentitäten über den Browser von Gerät zu Gerät, ohne dass eine direkte Kommunikation zwischen dem Benutzer und dem Server erforderlich ist. So geht die anfängliche Abfrage an den Browser, und nicht an den Dienst. Die Antwort auf die Abfrage geht wiederum zurück an den Browser, nicht an den Nutzer. 

 

Eine Grafik veranschaulicht den Ablauf von WebAuthn Der Benutzer sendet eine anfngliche Abfrage an den Browser der Browser leitet die erste Abfrage mit einem Authentifizierungsnachweis ber einen privaten Schlssel weiter die Anwendung antwortet auf die erste Abfrage und gibt den ffentlichen Schlssel zurck an den Browser

 

Zu diesem Zweck verwendet WebAuthn einen öffentlichen Schlüssel (von der Webanwendung) und einen privaten Schlüssel des Benutzers (biometrische oder besitzbasierte Authentifikatoren in Mobiltelefonen, Tablets, Laptops, usw.). Mit diesem Verfahren können sich die Benutzer mit ein und derselben Identität bei verschiedenen Cloud-Anwendungen und -Diensten einloggen, so dass sie nicht für jede Anwendung separate Anmeldedaten erstellen müssen.

 

BEISPIEL

  1. Ian öffnet einen Browser, und möchte sich über einen WebAuthn-fähigen Browser auf der Website seiner Universität anmelden.

     

  2. Der Browser erkennt Ians registriertes Gerät und fragt sein Mac OS ab, um die zugehörigen Authentifizierungsdaten (privater Schlüssel) zu erhalten. 

     

  3. Sobald die Identität von Ian verifiziert wurde, richtet der Browser einen sicheren Identitätsschlüssel ein, mit dem Ian automatisch auf der Website der Universität angemeldet werden kann.

     

  4. Wenn Ian die Website seiner Universität verlässt und sich bei einer anderen WebAuthn-fähigen Anwendung anmeldet, kann der Browser seinen Identitätsschlüssel, abgedeckt durch das Mac OS, für Ians Identifizierung bei weiteren Diensten und Geräten verwenden, nicht nur bei seiner Universität.

 

 

Es sind immer zwei Schlüssel

Das WebAuthn-Protokoll verwendet ein öffentlich-privates Schlüsselpaar für die Authentifizierung des Benutzers über einen WebAuthn-fähigen Browser. Der private Schlüssel (biometrische Daten oder externe Hardware) wird auf dem Gerät des Nutzers gespeichert. Der öffentliche Schlüssel wird in der Webanwendung gemeinsam mit einem zufällig generierten, kodierten Berechtigungsnachweis abgelegt.

 

PRIVATER SCHLÜSSEL

Wenn sich ein Benutzer bei einer Webanwendung anmeldet, fordert der Browser ihn auf, sich mithilfe eines Authentifikators, auch bekannt als privater Schlüssel, zu authentifizieren. Der Benutzer reagierte auf diese Anforderung, indem er seine biometrische ID (Fingerabdrücke oder Gesichtserkennung) oder ein externes Hardware-Gerät (z. B. einen Yubi-Key) aktiviert. Der Browser teilt dem Dienst über das WebAuthn-Protokoll mit, dass der Benutzer authentifiziert wurde, und gibt den privaten Schlüssel weiter. 

 

ÖFFENTLICHER SCHLÜSSEL

Sobald der private Schlüssel vom Dienst bestätigt wurde, signiert er die Abfrage und gibt sie mit einem öffentlichen Schlüssel an den Browser zurück. Sobald sie wieder beim Browser ankommt, ist der Benutzer für die Nutzung des Dienstes authentifiziert. 

 

Die Vorteile von WebAuthn für Ihr Unternehmen

Mit WebAuthn bieten Sie Ihren Mitarbeitern, Kunden und anderen Nutzern eine bessere Online-Erfahrung. Die Authentifizierung mit biometrischen Merkmalen oder einem physischen Schlüssel ist der Verwendung eines Passworts als einzigem Schlüssel überlegen. Sie sorgt für eine optimierte Benutzererfahrung mit geringerer Reibung als andere Methoden und umgeht die mit der Verwendung eines Passworts verbundenen Risiken.

 

In Unternehmen ermöglicht das WebAuthn eine schnellere Anmeldung, wenn unterschiedliche Methoden, Geräte und Betriebssysteme verwendet werden. Es verhindert die Risiken durch passwortbasierte Cyberangriffe und bietet Phishing-Attacken die Stirn, insbesondere, wenn ein biometrischer Authentifikator verwendet wird. Für die IT-Fachkräfte bedeutet WebAuthn mehr Zeit für andere Projekte und weniger Arbeit für Helpdesk und Support.

Verwandte Ressourcen

Funktionalität
Multifaktor-Authentifizierung

  

Web

Web-Authentifizierung: Eine API für den Zugriff auf öffentliche Schlüssel

  

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.