Mehr Sicherheit für kritische Web-Zugänge: Wie
Mozilla in einem
Blogpost ankündigt, soll Firefox ab Version 60 standardmäßig mit aktiver WebAuthn-API ausgeliefert werden. Damit unterstützt der kommende Browser standardmäßig eine Zwei-Faktor-Authentifizierung auf Basis von Public-Key-Kryptographie, die sich mit gängigen Phishing-Attacken nicht knacken lässt.
WebAuthn-API: Die Schnittstelle erlaubt die Nutzung von U2F-Logins.
Quelle: (Quelle: Mozilla )
Die WebAuthn-API ist für eine Anmeldung über Hardware-Token nach dem U2F-Standard erforderlich. Dieser offene Standard bietet einen besseren Schutz der Privatsphäre, da die beim Dienstanbieter hinterlegten persönlichen Daten auch bei Datendiebstahl nicht mit anderen U2F-Geräten genutzt werden können.
Für eine erfolgreiche Anmeldung sind hier neben Nutzernamen und Passwort auch der Anschluss eines U2F-Hardware-Tokens erforderlich. Alternative Lösungen erlauben auch eine Verbindung via Bluetooth oder NFC am Smartphone. Aktuell unterstützen das Anmeldeverfahren via U2F-Token unter anderem die Systeme Windows, macOS und Linux, die Dienste von Google, Facebook, Salesforce und Dropbox sowie die Tools KeePass oder Password Safe.
Darüber hinaus erlaubt die WebAuthn-Schnittstelle auch die Nutzung einer sicheren Ein-Faktor-Authentifizierung. Bei diesem Anmeldemechanismus erfolgt der Login ganz ohne Nutzername und Passwort über einen einzelnen Token. Nach vorheriger Konfiguration genügt es bei der Anmeldung über diese Methode etwa, eine Loggin-Anfrage auf dem Smartphone zu bestätigen. Ähnliche Methoden nutzten bereits
Google und
Dropbox über die mobilen Apps.
Durch die Implementierung der neuen API wolle Mozilla Web-Entwickler dazu ermutigen, ihre Dienste über eine moderne Zwei-Faktor-Authentifizierung nach U2F abzusichern. Dass Mozilla für die Aktivierung der WebAuthn-API die kommende Version 60 wählt, kommt nicht von ungefähr. Firefox 60 bildet die Basis für die nächste
ESR-Version, die speziell bei Unternehmen aufgrund des längeren Supports beliebt ist. Mit der aktivierten API haben Firmen dadurch nun auch unter Firefox die Möglichkeit, auf U2F-Logins zurückzugreifen. In Google Chrome wird diese Technologie bereits seit Oktober 2014 unterstützt.