Login ohne Passwort: die neuen Standards

Bisher loggten sich alle Nutzer in ihre Accounts mit Nutzername oder Mailadresse sowie einem individuell festgelegten Passwort ein. Jetzt scheint das Ende der Passwörter gekommen, denn der passwortfreie Login mittels WebAuthn (Web Authentication) wurde vom internationalen Standardisierungsgremium W3C (World Wide Web Consortium) zum allgemeinen Standard erklärt.

Die Browser Firefox und Chrome stellen bereits seit rund einem Jahr eine entsprechende Schnittstelle, über die eine Web Authentification erfolgen kann. Nutzer können sich auch auf Plattformen, wie Facebook und Dropbox über die Web Authn einloggen.

Einloggen per Token

Die Nutzung des neue WebAuthn Systems ist relativ einfach. Der Login erfolgt über eine Identifizierungskomponente (Token). Der Token kann sich auf einem Smartphone mit entsprechender APP oder auf einem USB Stick befinden. Alternativ können Token auch biometrische Prints sein.

Token werden derzeit auch bei der Zwei Faktor Authentifizierung genutzt. Dabei loggt sich der Nutzer mit Passwort und einem zusätzlichen Token ein. Das Verfahren gilt als sicher, soll aber in naher Zukunft genauso verschwinden, wie der einfache Login mit Passwort. Welche zusätzlichen sicheren Möglichkeiten und Programme es in der Zukunft neben der Web Authentification zum sicheren Login geben wird, ist bisher nicht bekannt.

Experten für Internetsicherheit sind schon lange auf der Suche nach dem sicheren Login für Domains und schließen sich der Meinung des W3C an, dass die WebAuthn eine neue Hürde für Cyberkriminelle darstellt, die nicht einfach zu überwinden ist. Sie empfehlen weiterhin die Nutzung eines Passwortmanagers, der kostenlos von vielen Anbietern herunterladbar ist. Zudem sollte immer erhöhte Aufmerksamkeit bei Mails von fremden Absendern oder Mails, die nach dem Login fragen, herrschen. Auch die Web Authentification ist nur sicher, wenn Nutzer ihr Umfeld beobachten, keine persönlichen Daten von sich freigeben und …. Keine Links in unbekannten oder seltsam erscheinenden Mails anklicken. Seriöse Unternehmen, Banken und Behörden werden Nutzer nie per Mail auffordern, ihre Daten auf verlinkten Seiten einzugeben und zu bestätigen.