Face ID und Touch ID für das Web

Passwörter werden häufig als "die Erbsünde" der Authentifizierung im Web angesehen. Passwörter sind häufig leicht zu erraten und anfällig für Sicherheitsverletzungen. Die häufige Wiederverwendung ein und desselben Passworts im gesamten Web macht es für Angreifer noch profitabler Schwachstellen auszunutzen. Werden Passwörter stärker und eindeutiger gemacht, können sie für viele Benutzer schnell unbrauchbar werden. Passwörter sind zwar berüchtigt, aber es stellt sich die Frage, ob diese selbst das größte Sicherheitsproblem darstellen. Zu diskutieren ist, ob ihre Verwendung als alleiniger Faktor für die Authentifizierung unsicher ist.

Viele glauben Letzteres sei der Fall, und daher ist die Multi-Faktor-Authentifizierung immer beliebter geworden. Die Einführung eines zweiten Faktors behebt zwar die meisten Sicherheitsprobleme mit Passwörtern, aber sie macht die gesamte Authentifizierungserfahrung mit einem zusätzlichen Schritt unweigerlich schwerfällig. Daher ist die Multi-Faktor-Authentifizierung bislang nicht zum De-facto-Authentifizierungsmechanismus im Web geworden.

Face ID und Touch ID für das Web bieten sowohl die Sicherheitsgarantien der Multi-Faktor-Authentifizierung als auch die Benutzerfreundlichkeit. Sie bietet eine Multi-Faktor-Authentifizierung in einem einzigen Schritt. Mithilfe dieser Technologie, die auf über einer Milliarde fähiger Apple-Geräte verfügbar ist, können Webentwickler nun die herkömmliche Multi-Faktor-Authentifizierung auf breiter Basis mit einem reibungslosen, bequemen Erlebnis anbieten. Und da sie auf dem Web-Authentifizierungs-API aufbaut, sind Face ID und Touch ID auch gegen Phishing geschützt.

Dieser Blog-Beitrag bei WebKit.org erweitert den Inhalt der WWDC 2020-Sitzung "Meet Face ID and Touch ID for the web", indem er detaillierte Beispiele liefert, die Entwicklern bei der Einführung dieser neuen Technologie helfen sollen, darunter die Verwaltung verschiedener Benutzeroberflächen von User Agents, das Propagieren von Benutzergesten von benutzeraktivierten Ereignissen zu WebAuthn API-Aufrufen und die Interpretation der anonymen Apple-Authentifizierung. Der Artikel endet mit einer Zusammenfassung der Merkmale von Apples Plattform-Authentifikator und dem aktuellen Status der Unterstützung von Sicherheitsschlüsseln. Allen, die noch nie von WebAuthn gehört haben, wird empfohlen, sich zuerst die WWDC 2020-Sitzung anzusehen, in der die grundlegenden Konzepte behandelt werden.