Ein Hoch auf endlich Mehr an Sicherheit -WebAuthn wird endlich umgesetzt und funktioniert in mehr Browsern!

Es war die große Enttäuschung auf der letztjährigen Google I/O: Im Vorfeld groß und doch heimlich angekündigt, wollte Google Sicherheit zum kleinen Preis auch endlich für uns alle verfügbar machen. In Form dieser kleinen, siehe Bild unten, USB-Sticks, die zur Verifizierung bei Logins benutzt werden können und unter dem Namen Yubi- oder Fido-Sticks/-Keys bekannt geworden sind. Vorbei die Zeiten, wo die sichersten Topmodelle für 70+ Euro verkauft wurden. Man spekulierte, dass Google seine Marktmacht und den Zwang, die Schlüssel künftig flächendeckend für die eigenen Accounts nutzen zu müssen, um einen Preis um die 10 oder 15€ Maximum anbieten würde. Doch es kam nichts – und im US-Store tauchte dann ohne weitere Worte ein USB-Stick für 50 Dollar auf. Nicht viel gewonnen für die Allgemeinheit… aber jetzt…

Fido-Keys in drei Ausführungen: 2x USB, 1x NFC, 1x Bluetooth - demnächst auch in Deinem Browser!
Fido-Keys in drei Ausführungen: 2x USB, 1x NFC, 1x Bluetooth – demnächst auch in Deinem Browser!

Ich bin ein großer Freund dieser FIDO-USB-Sticks. Es ist aktuell die sicherste Zwei-Wege-Methode für Logins. Du musst nur Deinen USB-Stick immer in der Hosentasche haben und ihn bitte niemals verlieren – schon wirst Du nach Nutzername und Passwort aufgefordert, den USB-Stick einzustecken und danach mit einem Finger das goldene Plättchen zu berühren. Schon bist Du verifiziert und eingeloggt.

Aktuell gibt es, immer unterstellend, dass Du Deinen Schlüssel bei Dir hältst, keine Möglichkeit, diese zusätzliche Sicherheit zu umgehen – außer mit den Möglichkeiten, die die Anbieter z.B. unter dem Punkt „USB Stick verloren“, anbieten. Wir reden also über eine Sicherheit Deiner Account- und dort hinterlegten Daten auf einem sehr hohen Niveau.

Besonders bequem für jeden, der auf Passwort-Manager setzt. Die meisten, vor allem die bekannten, setzten ebenfalls auf diese Zwei-Wege-Authentifikation, um die jeweiligen „Passwortsafes“ sicher vor fremden Zugriffen zu halten.

Allerdings gab es bisher ein kleines Problem, was neben den teilweise horrenden Preisen ab 50 Euro aufwärts, den Einsatz dieser Sticks zurück hielt: die Tatsache, dass der bisherige Standard im Hintergrund nur mit Google Chrome funktioniert.

Um den Preis wollte sich Google eigentlich schon letztes Jahr kümmern. Aber wie ich immer sage, der Koloss Google ist zu träge geworden. Aus dem Plan, diesen Stick für wenige Euro auf den Markt zu bringen und ihn langsam zum „verpflichtenden“ Sicherheitsstandard für den Google Account zu machen – ist erst mal Geschichte.

Aber immerhin hat sich das W3C, das Word Wide Web Consortium nun bewegt. Und mit dieser Änderung, technisch gesprochen, weg von U2F auf WebAuthn, können nun neben dem Chrome Browser auch Firefox und Edge mit den USB-Sticks umgehen.

Da das W3C erst Ende März den „neuen“ Standard, der zuvor nur eine unverbindliche Empfehlung war, umgesetzt hat, wird es zwar noch ein wenig dauern, bis dies reibungslos funktioniert. Aber ich empfehle Euch schon heute, sich mit der Technik und den USB-Sticks als benötigte Hardware – und sei es nur in der Theorie durch Web-Recherche – vertraut zu machen!

Dies wird die Onlinesicherheit weit nach vorne bringen und das alles nur in Form eines kleinen USB-Sticks. Ohne diesen kommt keiner an der zusätzlichen Maske, die nach dem Stick fragt, vorbei. Und somit bleibt auch bei erfolgreichem Phishing der Zugang mit email und Passwort verwehrt.

Aktuell kleiner Wermutstropfen: Wer sich jetzt engagiert mit einem neu gekauften Stick endlich bei Google anmelden möchte, muss dies aktuell noch mit Google’s Chrome Browser machen. Dieser ist momentan noch der einzige Browser, der die Erstanmeldung korrekt umsetzt. Normale Logins zu bestehenden Accounts können aber, sobald Firefox und Microsoft reagiert haben, dann auch über die beiden weiteren Browser genutzt werden.

Und über kurz oder lang wird Google auch die Registrierung auf die weiteren Browser ausgerollt haben, dann können die zweieinhalb weltweit verbreitetsten Browser durchgängig und nach Wahl und Präferenz problemlos genutzt wurden.

 

 


Meinen PodCast abonnieren: | direkt | iTunes | Spotify | Google |
Erlangen, Deutschland

2 Antworten auf „Ein Hoch auf endlich Mehr an Sicherheit -WebAuthn wird endlich umgesetzt und funktioniert in mehr Browsern!“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner