WebAuthn (W3C Standard)

[/root]

Hallo Leute,

Wollte hier mal den WebAuthn Standard zur Diskussion stellen: https://webauthn.guide/

Die Intro Seite finde ich sehr beeindruckend, da ja die Vorteile vieler Welten kombiniert - Public-Key Kryptographie, Smartcards, Challenge-Response Auth, Biometrie ...

Hat von euch schon jemand Erfahrung damit?

Ich hab bis jetzt nur auf der Demo Seite mal registriert und dann via Microsoft Edge + Windows Hello Face-ID + TPM die Anmeldung durchgeführt, hat auf Anhieb geklappt.

Man würde sich als Internetnutzer damit eine große Passwortdatenbank ersparen (keepass etc.), "Passwort-Leaks" wären damit irrelevant nachdem nur der Public-Key bei der Webseite gespeichert ist, SSO "feeling" bei allen Webseiten und keine unsicheren/wiederverwendeten Passwörter mehr da unique private-keys verwendet werden.

Die einzigen Nachteile die ich bis jetzt sehe sind: (1) man muss scheinbar jedes Gerät "authorisieren" nachdem jeder TPM sein eigenes Secret hat und (2) Backup wird auch eher spannend, normalerweise gibt ein TPM seinen Secret Key ja nicht her?

Glaubt ihr sowas setzt sich durch?

 

[0xffffffff]

Ich denke nicht, dass sich WebAuthn im "consumer"-Umfeld wirklich durchsetzt. Eher bei einigen kritischen administrativen Zugängen für "Techies", wie z.B. Managementkonsolen von Clouds, GitHub etc... Aber dort gibt es bereits U2F- sowie ganz klassische PKI-Verfahren, die auch in Authentifizierungsszenarien abseits von Webseiten funktionieren. Denn WebAuthn braucht mWn. immer einen Browser.

Zudem würde ich fast darauf wetten, dass man das für Otto-Normalnutzer nie ausrollen wird, und hier weiter auf das Smartphone/Mobiltelefon (SMS) als zweiten Faktor setzt, sowie - mehr oder weniger gut funktionierenden - Heuristiken um unauthorisierten Zugriff zu erkennen und idealerweise zu unterbinden. Ganz einfach aus dem Grund, hier die "Hürden" für die "Konsumenten" möglichst niedrig zu halten und ganz nebenbei auch noch elegant die Mobilfunknummer abzugreifen und/oder seine eigene Schnüffel-App zur Authentifizierung zu platzieren... ;-)

 

[Yuuri]

Aber dort gibt es bereits U2F

WebAuthn ist der Nachfolger von U2F.

Diese Sache mit den Schlüsseln wie Yubikey und Co. ist mir nicht ganz geheuer, denn bspw. der Speicherplatz ist dort schon extrem begrenzt (25 Einträge im Yubikey). Einmal verloren, alles verloren (da kein Backup). Mehrere Schlüssel sind absurd für privat. Am Sinnvollsten wäre es wohl, wenn man das einfach mit dem PC/Smartphone koppeln kann und gut (via USB, NFC, BT oder sonst wie). Auf jeden Fall wird sich sowas nur durchsetzen, wenn es auf den PC/Smartphone kommt. Dedizierte Keys und es ist imho zum Scheitern verurteilt.

Businesstechnisch ist das natürlich ne andere Liga und Google zieht es ja bspw. bereits durch mit ihren Titan Keys. Bei denen ist es auch sinnvoll und man hat Kontrolle über seine Geräte und Software. Da ist U2F definitiv sinnvoll und wird auch bereits genutzt.

Eine Alternative wäre OAuth mit zentralem Konto, aber das wird sich noch viel weniger durchsetzen, obwohl die Idee eigentlich genial ist. Jeder könnte seinen eigenen Server betreiben (oder sich bei Dienst x registrieren) und die Autorisierung je nach Dienst selbst kontrollieren, auch wer auf welche Daten wer Zugriff hat. Dann noch OpenID Connect dranpappen und man hat die Authentifizierung ebenso mit erschlagen.
Bleibt aber wohl oder übel Wunschdenken, da OAuth auch nicht mal eben so implementiert ist und sich die meisten wohl einfach davor scheuen. So könnte man TOTP/U2F/WebAuthn zumindest ein wenig eindämmen, weil man nur noch einen Code besitzen muss.

 

[0xffffffff]

WebAuthn ist der Nachfolger von U2F.

Korrekt, beides ist von der FIDO-Allianz. U2F ist sogar eine echte Untermenge von WebAuthn, ist aber m.E. vom Verfahren viel überschaubarer und derzeit auch flexibler einsetzbar als WebAuthn. So gibt es z.B. für U2F Unterstützung für PAM und kann relativ leicht für nicht webseitenbezogene Authentifizierungen verwendet werden.

Eine Alternative wäre OAuth mit zentralem Konto, aber das wird sich noch viel weniger durchsetzen, obwohl die Idee eigentlich genial ist.

Ähm, OAuth und auch OpenID wird bei allen größeren Websites verwendet. Immer genau dann wenn Du den "Login/SignUp with Amazon/Facebook/Google"-Button siehst, oder wenn Du z.B. HumbleBundle oder GoG partiellen Zugriff auf dein Steam-Konto erlaubst, Accounts verlinkst etc...

Es ist halt nur nicht mehr gewollt dass Du deinen eigenen OpenID-Server betreibst, das Thema wurde komplett von den Großen vereinnahmt. Du sollst gefälligst Google, Facebook oder Amazon als zentrales Konto nutzen... :-(

Ich persönlich finde TOTP für die meisten Anwendungsszenarien ausreichend und easy zu handhaben, da man nicht auf eine Relying-Party angewiesen ist und es dazu auch dutzende Open-Source apps für Smartphones gibt, Backups möglich sind etc...

 

[/root]

Ich persönlich finde TOTP für die meisten Anwendungsszenarien ausreichend und easy zu handhaben [...]

TOTP ist sicher ein gute Sache, aber eigentlich nur ein Addon zum klassischem Username/Passwort Authentifizierungsverfahren (=sicherer aber weniger komfortabel). Die ganzen Probleme die Passwörter mit sich bringen gibt es da leider trotzdem.

 

[0xffffffff]

Klar ist es ein "addon", aber in meinen Augen ein einfaches und effektives. Für wirklich kritische oder allumfassende und geschäftliche Dienste bin ich dann aber eher ein Freund einer klassischen, nicht auf das Web beschränkten PKI. Da lohnt sich dann idR. auch der Management-Aufwand und es gibt für alles erprobte Prozesse und Verfahren und man muss sich damit explizit beschäftigen.

Für den privaten Bereich sehe ich nämlich folgendes kommen: Am Ende nutzen alle wieder bequemerweise das im Browser oder dem OS eingebaute "WebAuthn Wallet", womit die Schlüssel dann vielleicht doch bei Apple/Google/Microsoft/Facebook/Amazon landen, die sich freundlicherweise für dich darum kümmern, denn man will ja geräteübergreifend Synchronisieren! Und am Ende sind die big five ein noch zentralerer Bestandteil beim Zugriff auf Internetdienste. Selbes Spiel wie immer, altruistisch war noch keiner von denen.

 

[snaxilian]

Am Sinnvollsten wäre es wohl, wenn man das einfach mit dem PC/Smartphone koppeln kann und gut (via USB, NFC, BT oder sonst wie). Auf jeden Fall wird sich sowas nur durchsetzen, wenn es auf den PC/Smartphone kommt. Dedizierte Keys und es ist imho zum Scheitern verurteilt.

Wo liegt da der Unterschied zum dedizierten Key? Auch da hat der PC oder Handy ein TPM oder vergleichbares und Backup beim nächsten Gerät einspielen sollte nicht klappen denn woran unterscheidest du legitimen Restore von Kopie eines Angreifers?

2FA/MFA benötigt immer ein authorisiertes Gerät um weitere zu berechtigen oder eine zentrale vertrauenswürdige Instanz, die alte Geräte revoken und neue berechtigen kann. Im Unternehmen sind das die jeweiligen IT-Abteilungen und privat eben die Recovery Keys die man aufbewahren sollte wenn man irgendwo 2FA/MFA aktiviert. Notierst dir diese nicht und verlierst dein Tollen/Handy/PC dann verlierst eben Zugang zu dem System.
Wer aber keine Backups hat/macht und die Recovery Keys nicht speichert hat es dann auch nicht anders verdient oder muss eben sehr sehr aufwendig dem Anbieter seine Identität nachweisen.

 

[Bob.Dig]

Dann darf ich mal SQRL einwerfen.