Deutsch
  • webauthn
  • passkey
  • mfa

Dinge, die Sie wissen sollten, bevor Sie WebAuthn integrieren

Einführung einiger grundlegender Konzepte von WebAuthn, mit dem Ziel, Ihnen bei der Integration von WebAuthn bessere Entscheidungen zu ermöglichen.

Sijie
Sijie
Developer

WebAuthn bietet eine sicherere und benutzerfreundlichere Alternative zu traditionellen Passwörtern. Seine Beliebtheit steigt, mit einer wachsenden Anzahl von Websites, die diese Technologie übernehmen. Wenn Sie bestrebt sind, WebAuthn in Ihre eigene Website zu integrieren, sind Sie nicht alleine. Aber als relativ neue Technologie haben Sie wahrscheinlich viele Fragen dazu.

Bei der Überlegung, WebAuthn in Ihre Website oder Anwendung zu integrieren, helfen Ihnen das Verständnis dieser Schlüsselkonzepte und Überlegungen, fundierte Entscheidungen darüber zu treffen, ob Sie es jetzt implementieren sollten.

Was sind WebAuthn und Passkeys?

Lassen Sie uns die Definitionen klären:

  • Web Authentication API (WebAuthn) ist eine Erweiterung der Credential Management API. Es ermöglicht starke Authentifizierung mit öffentlicher Schlüsselkryptographie und ermöglicht passwortlose und sichere Mehrfaktorauthentifizierung (MFA) ohne SMS-Texte.
  • Passkeys stellen eine interessante WebAuthn-basierte Alternative zum herkömmlichen "Passwort + Zweite Faktor"-Ansatz dar, den viele von uns ertragen haben. In diesem Kontext sind Passkeys ein spezieller Anwendungsfall des WebAuthn-Standards.

Kann ich Passkey Geräte übergreifend verwenden?

Ja, Sie können einen Passkey auf verschiedene Arten auf mehreren Geräten verwenden:

  1. Synchronisierung durch Passwort-Manager: Beliebte Passwort-Manager wie iCloud Keychain, Google Password Manager und 1Password ermöglichen die Synchronisierung von Passkeys. Als "plattformübergreifend" markierte Passkeys in der Registrierungsantwort können auf verschiedenen Geräten verwendet werden.
  2. QRCode und Bluetooth: Ein anderer Ansatz ist die Verwendung von QR-Codes und Bluetooth zur Anmeldung von einem anderen Gerät. Diese Methode bietet Benutzern Flexibilität, um auf ihre Konten auf verschiedenen Plattformen zuzugreifen.

Kann es die einzige Authentifizierungsmethode sein

Absolut, WebAuthn ist ein hochsicherer Authentifizierungsfaktor. Der Passkey enthält eine "Benutzer-ID", und während der Authentifizierung erhält der Server die verifizierte "Benutzer-ID" als Bezeichner. Diese "Benutzer-ID" kann eine universell eindeutige Bezeichnung (UUID) oder andere eindeutige Bezeichnungen wie E-Mail, Telefonnummer oder Benutzername sein. Benutzer können wählen, ob sie zuerst ihre "Benutzer-ID" eingeben und dann nach einem gültigen Passkey suchen oder einen Passkey aus einer Liste auswählen, die mit der aktuellen Domain verknüpft ist.

Wie sieht die Kompatibilität heute aus

WebAuthn kann in einem sicheren Kontext (HTTPS) verwendet und in den neuesten Versionen der meisten Browser unterstützt. Für detaillierte Kompatibilitätsinformationen, lesen Sie bitte die MDN-Dokumentation.

Domain ist der Schlüsselbezeichner von Passkey

Bei WebAuthn-Aktionen, sei es für die Registrierung oder Authentifizierung, ist die "rp ID" (relying party ID) ein Pflichtfeld. Sie stellt den Domain-Hostname der aktuellen Webseite dar. Wenn sie nicht mit der aktuellen Domain übereinstimmt, lehnt der Browser die Anforderung ab. Dies bedeutet, dass Passkeys an eine spezifische Domain gebunden sind und es derzeit keine Möglichkeit gibt, bestehende Passkeys auf eine andere Domain zu migrieren. Passkeys können außerdem nicht über verschiedene Domains hinweg verwendet werden. Weitere Einzelheiten finden Sie in diesem Problem.

Vergleich mit Authenticator-App (TOTP)

Im Vergleich von WebAuthn mit traditionellen Zwei-Faktor-Authentifizierungsmethoden, wie zeitgestützten Einmalpasswörtern (TOTP) und Authenticator-Apps, ergeben sich mehrere Vorteile. WebAuthn bietet eine benutzerfreundlichere und sicherere Authentifizierungserfahrung. Im Gegensatz zu TOTP, das die manuelle Eingabe eines ständig wechselnden Codes erfordert, oder Authenticator-Apps, die gefährdet sein könnten, wenn das Gerät gestohlen wird, basiert WebAuthn auf sicherer Hardware und Biometrie für einen nahtlosen und robusten Authentifizierungsprozess.

Allerdings ist anzumerken, dass TOTP immer noch seine Vorteile hat, wie z.B. eine einfache Sicherung und den Einsatz auf nahezu allen Geräten.

Fazit

WebAuthn ist unbestreitbar spannend, aber wie jede bahnbrechende Technologie ist es wichtig, ein umfassendes Verständnis zu erlangen, bevor man sie einsetzt. Dieser Artikel soll Sie mit dem nötigen Wissen ausstatten, um fundierte Entscheidungen hinsichtlich der Integration von WebAuthn zu treffen. Wenn Sie dessen potenzielle Vorteile in Betracht ziehen, denken Sie daran, dass es entscheidend ist, sich auf dem Laufenden zu halten. Übrigens, bleiben Sie dran, denn die nächste wichtige Funktion von Logto wird WebAuthn unterstützen und sogar noch mehr Möglichkeiten für nahtlose und sichere Authentifikation bieten.

Probieren Sie Logto heute aus