 --%3E%3Csvg version='1.1' xmlns='http://www.w3.org/2000/svg' xmlns:xlink='http://www.w3.org/1999/xlink' x='0px' y='0px' viewBox='0 0 19.1 19' style='enable-background:new 0 0 19.1 19;' xml:space='preserve'%3E%3Cstyle type='text/css'%3E.st17%7Bfill:%23225C4D;stroke:%23225C4D;stroke-width:0.75;stroke-miterlimit:10;%7D%3C/style%3E%3Cg id='Layer_1'%3E%3Cpath class='st17' d='M18.4,17.8l-5.9-5.9c1.1-1.2,1.7-2.8,1.7-4.5c0-3.8-3.1-6.9-6.9-6.9c-3.8,0-6.9,3.1-6.9,6.9 c0,3.8,3.1,6.9,6.9,6.9c1.8,0,3.4-0.7,4.6-1.8l5.9,5.9c0.1,0.1,0.2,0.1,0.3,0.1s0.2,0,0.3-0.1C18.6,18.2,18.6,18,18.4,17.8z M7.4,13.4c-3.4,0-6.1-2.7-6.1-6.1C1.3,4,4,1.3,7.4,1.3s6.1,2.7,6.1,6.1C13.4,10.7,10.7,13.4,7.4,13.4z'/%3E%3C/g%3E%3C/svg%3E%0A)
05.04.19 um 17:30 Uhr - WebAuthn: Identitätsdiebstahl adé!
Goldschmiede @ anderScore - verfasst am 15.03.2019 von Rafal Miler
Auf der Goldschmiede-Veranstaltung am 5. April hat unser Kollege Jan Lühr einen tiefen Einblick in Webauthn gewährt und hat Antworten auf diese Fragen gegeben: Auf welchem Weg können 2-Faktor Systeme intuitiv benutzbar sicher gestaltet werden? Wie funktioniert Webauthn im Detail? Was ist bei der Integration in bestehende Systemarchitekturen zu beachten?
Phishing-Attacken und Identitätsdiebstahl bedrohen das WWW nach wie vor. Angreifer hacken Konten, indem sie Kennwörter abfangen oder Benutzerdaten stehlen und entschlüsseln. Zusätzliche Sicherheit bringt ein zweiter Faktor, der zusätzlich zur Anmeldung benötigt wird – z. B. USB-Token. Übliche 2-Faktor-Systeme scheitern an der Usability. Häufig muss zudem in Spezialhardware investiert werden oder es gibt Abhängigkeiten zu proprietären Standards.
Das FIDO2-Projekt hat mit der W3C Web Authentication Specification (WebAuthn) und dem zugehörigen Client-to-Authenticator Protocol (CTAP) einen offenen Standard zur Authentifizierung geschaffen. Neben USB- und NFC-Dongles lassen sich auch biometrische Merkmale und weitere Geräte (z.B. Smartphones) zur Anmeldung verwenden. Zum 4.3.2019 wurde die Standardisierung abgeschlossen - WebAuthn ist seitdem ein gültiger WWW-Standard (W3C Recommendation).
Die Goldschmiede-Veranstaltung war wie immer ein informativer und spannender Abend!
Unterlagen zum Vortrag finden Sie in useren Github Repository.