Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

webbasiert Authentication: Wie wird die webbasiert API Standardauthentifizierung verwendet?

Aktualisiert: 01. November 2024 Lesezeit: ~

Topics

Cybersecurity, Compliance

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

webbasiert authentication (auch WebAuthn oder FIDO2.0 genannt) ist ein Authentifizierungsstandard, der Passwörter obsolet machen könnte. Anstatt Buchstaben und Zahlen zum Nachweis der Identität zu verwenden, bietet Benutzer einen biometrischen Schlüssel (wie einen Fingerabdruck) oder Hardware (wie einen Schlüssel von Yubikey) an. 

Jahrelang haben wir Passwörter verwendet, um Zugriff auf Websites und Server zu erhalten. Wenn wir uns anmelden möchten, tippen wir auf einen Benutzernamen und fügen eine Reihe von Buchstaben und Zahlen hinzu, um zu beweisen, dass wir die sind, die wir vorgeben zu sein. 

Der durchschnittliche Büroangestellte muss sich jedoch bis zu 40 eindeutige Kombinationen aus Benutzername und Passwort merken. Diese hohe Nachfrage führt zu schlechten Gewohnheiten, wie z. B. Wiederholungen, die Ihre Sicherheitsbemühungen torpedieren können.

Eine kurze Geschichte von WebAuthn

Passwörter sind für Hacker Katzenminze. Mit ein wenig Programmiergeschick und Glück kann ein Hacker entweder Kombinationen erraten oder jemanden dazu verleiten, sie preiszugeben. Verizon hat erklärt, dass mehr als 80 Prozent der Sicherheitsverletzungen im Zusammenhang mit Hacking durch die Kompromittierung von Anmeldedaten verursacht werden. Es musste sich etwas ändern. 

Webmaster haben Zwei-Faktor-Authentifizierungsmethoden ausprobiert. Dazu gehörten:

  • Registrierung. Ein Gerät wie ein Telefon wurde an das Profil des Benutzers angehängt. 
  • Anmeldung. Ein Benutzer hat einen Namen und ein Passwort eingegeben. 
  • Aufforderungen. Der Server hat eine Anfrage an das autorisierte Gerät gesendet. 
  • Fertigstellung. Der Benutzer hat die Anweisungen auf dem Gerät befolgt, um die Website aufzurufen.

Wenn Sie beim Anmelden schon einmal auf einen Code warten mussten, der Ihr Telefon anpingt, haben Sie die Zwei-Faktor-Authentifizierung verwendet. Es scheint effizient zu sein, aber die Implementierung war sporadisch. Einige Websites wollten dem Prozess ihre eigene Note verleihen, was die Benutzer frustrierte. Und manche machten schlechte Erfahrungen, die die Leute einfach nicht verstanden. 

Das World Wide webbasiert Consortium (W3C) wollte etwas Neues und Besseres, um die User Experience zu verbessern und gleichzeitig die Sicherheit zu gewährleisten. Im Jahr 2019 hat die Gruppe die webbasiert Authentication APIveröffentlicht, um genau das zu tun. 

Seit der IT-Veröffentlichung erfreut sichWebAuthn breiter Akzeptanz. Gruppe wie Fast Identität Online (FIDO) sprangen auf den Zug auf, und das bedeutete, dass auch namhafte Unternehmen wie Amazon, Facebook und Microsoft begannen, mit der Technologie zu experimentieren. 

So funktioniert die webbasiert Authentifizierung 

WebAuthn handelt sich um eine Anwendungsprogrammierschnittstelle ( API), die es Servern ermöglicht, ihren Benutzer zu registrieren und zu erkennen, ohne dass Passwörter erforderlich sind. Viele Websites haben Formulare, die es Menschen ermöglichen, sich anzumelden und Mitglieder mit eindeutigen Benutzernamen und Passwörtern zu werden. WebAuthn wird all das ersetzen. 

Es handelt sich um zwei Hauptteile, die sind:

  • Registrierung. Sie müssen einen Benutzernamen und eine Art Anmeldedaten angeben. Sie geben biometrische Daten an, etwa ein Foto Ihres Gesichts oder einen Abdruck Ihres Fingerabdrucks, oder Sie registrieren ein von einem Drittanbieter erstelltes Hardwareteil, das Sie jederzeit in Ihrem Besitz behalten.
  • Genehmigung. Wenn Ihre Anmeldedaten erstellt und überprüft werden, werden sie in einem sogenannten Authentifizierungsfaktor gespeichert, der sich normalerweise in Ihrem Betriebssystem befindet. 

Um sich bei einer Website anzumelden, für die WebAuthnaktiviert ist, muss ein Benutzer:

  • Registrieren. Sie folgen einem vertrauten Verfahren, bei dem Sie einen eindeutigen Benutzernamen auswählen. Anstatt jedoch ein Passwort zu wählen, geben Sie biometrische Daten weiter oder registrieren einen physischen Schlüssel. 
  • Wiederholen. Wann immer Sie sich auf der Website anmelden möchten, müssen Sie Ihr Passwort und eine Bestätigung Ihrer Registrierungsdaten anbieten. 

Wenn Sie diesen Vorgang abschließen, erhalten Sie so genannte Anmeldedaten. Es handelt sich um ein Schlüsselpaar (einen öffentlichen und einen privaten) für die Website. Ihr privater Schlüssel bleibt auf Ihrem privaten Gerät und nirgendwo sonst. Ihr öffentlicher Schlüssel befindet sich zur Speicherung auf dem Server.

Möglicherweise wissen Sie nicht, wie diese Schlüssel aussehen oder wie sie funktionieren. Aber sie spielen bei jedem Anmeldeversuch eine wichtige Rolle. 

Wenn Sie bereit sind, sich erneut bei der Site anzumelden, durchlaufen Ihr Gerät und der Server eine Reihe von Schritten.

  • Versuch: Sie geben Ihren Benutzernamen ein oder geben auf andere Weise an, dass Sie Zugriff auf den Server erhalten möchten. Ihr System sendet Ihre Anmeldedaten inklusive der Angabe, wo sich Ihr Schlüssel befindet, mit.
  • Kontakt: Der Browser verbindet sich mit dem Authentifizierungsfaktor, um festzustellen, ob Sie über die richtigen Bits verfügen und zugelassen werden sollten. 
  • Genehmigung: Wenn Sie alle richtigen Teile haben, unterzeichnet der Authentifizierungsfaktor Ihre Anmeldungsgenehmigung und sendet sie weiter. 
  • Server-Kontakt: Der Server prüft alle gesendeten Informationen, überprüft die IT und lässt Sie herein. 

Die Verwendung von öffentlichen und privaten Schlüsseln macht WebAuthn unglaublich sicher. Sie müssen sich überhaupt nichts merken, aber Sie haben einen eindeutigen Benutzernamen / ein eindeutiges Passwort für die Website erstellt. Im Wesentlichen befolgen Sie die Passwort Best Practice, ohne es überhaupt zu versuchen.

Wie WebAuthn implementiert wird 

Eine breite Akzeptanz war das Ziel des W3C-Teams. Sie wollten, dass so viele Websites wie möglich diese Technologie nutzen, um das Web zu schützen. Infolgedessen haben sie den Code mit Blick auf Einfachheit und Leichtigkeit erstellt. 

WebAuthn ist eine Erweiterung der Anmeldedaten Management API. Die IT übernimmt zwei Hauptfunktionen.

  • Navigator.Anmeldedaten.create wird verwendet, um ein neues Konto zu registrieren oder neue Schlüssel mit einem vorhandenen Konto zu koppeln. 
  • Navigator.Anmeldedaten.get wird verwendet, um einen Benutzer mit vorhandenen Anmeldedaten anzumelden. 

Google weist darauf hin, dass die Integrationstechniken von Website zu Website sehr unterschiedlich sind . Wenn Sie eine Single-Page-Webanwendung betreiben, haben Sie eine andere Arbeit zu erledigen als jemand mit einer komplexen Website voller Popups. Aber Google bietet Entwicklern, die den Code verstehen und IT richtig anwenden möchten, viel Unterstützung und Beratung. 

Sie müssen Ihre Benutzer auch über die Änderung informieren . Wenn Sie beispielsweise WebAuthn nur mit Hardwareschlüssel (nicht mit Biometrie) verwenden möchten, müssen Ihre Benutzer dies möglicherweise frühzeitig verstehen, damit sie die benötigten Artikel lange vor Inkrafttreten der Änderungen kaufen können.

Benötigen Sie eine Website-Authentifizierung?

Der Wechsel des Legacy-Anmeldesystems kann sowohl für Sie als auch für Ihren Benutzer nervenaufreibend sein. Aber die neue Technologie bringt viele Vorteile mit sich, die Sie einfach nicht ignorieren können. 

Integrieren Sie WebAuthn in Ihre Website, und Sie könnten Folgendes erhalten:

  • Schutz. Jemand mit gestohlenen Passwörtern kann nicht reinkommen, da die Authentifizierung von Website zu Website unterschiedlich ist. 
  • Beachtung. webbasiert Manager wissen, dass die Wiederverwendung von Passwörtern ernst gemeint ist, aber 45 Prozent der Menschen sind anderer Meinung. Steigen Sie auf diese neue Technologie um, und Sie müssen die Leute nicht mehr davon überzeugen, sich an Ihre Regeln zu halten. Sie müssen dies tun, um Zugang zu erhalten. 
  • Reduziertes Risiko. Hacker graben gerne tief in Ihre Datenbank ein, um an Passwörter und Benutzernamen zu gelangen. Da sie diese Daten nicht mehr wiederverwenden können, können sie zu einem neuen Ziel wechseln. 
  • Bessere Nutzerfreundlichkeit. Etwa ein Drittel der Kunden bricht den Einkaufswagen ab, weil sie sich nicht an ihre Benutzernamen/Passwörter erinnern können. Viele App-Benutzer tun dasselbe. In einer WebAuthn-Welt brauchen die Menschen keine außergewöhnlichen Erinnerungen, um an ihr Ziel zu gelangen. 

Wir wissen, dass schon der Gedanke an diese neue Technologie stressig sein kann, aber die Vorteile liegen auf der Hand. Lassen Sie uns helfen.

Entdecken Sie, wie mühelos und sicher die webbasierte Authentifizierung mit den Identity-Management-Diensten von Oktaist. Kontaktieren Sie uns, und lassen Sie uns loslegen.

Referenzen

Hier ist der Grund, warum Google, Apple und Microsoft der Meinung sind, dass es an der Zeit ist, das Passwort abzuschaffen. (Januar 2020). CNBC.

Aktivieren einer starken Authentifizierung mit WebAuthn. (Mai 2018). Googeln. 

Verizon DBIR 2020: Diebstahl von Anmeldedaten, Phishing, Cloud-Angriffe (Juni 2020). Sicherheits-Boulevard.

Ein Blick auf die Passwortsicherheit, Teil IV: WebAuthn. (August 2020). Mozilla. 

W3C finalisiert webbasiert Authentication Standard. (März 2019). ZDNet. 

Apple schließt sich den Bemühungen der Branche an, Passwörter abzuschaffen. (Februar 2020). Computerwelt. 

webbasiert Authentication: Ein API für den Zugriff auf Public Key Anmeldedaten. (März 2019). W3C. 

Optimierung des Anmeldeablaufs mit Anmeldedaten Management API. (April 2016). Googeln. 

WebAuthn: Was Sie über die Zukunft des passwortlos webbasierten Unternehmens wissen müssen. (März 2019). PCWorld. 

Ihre Mitarbeiter verwenden Passwörter wieder. Finden Sie heraus, wie viele. (Juni 2020). Info-Sicherheit. 

Wenn Kunden ihre Passwörter vergessen, leidet das Geschäft. (Juni 2017). Phys.Organisation. 

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt