WebAuthn-Methode Was User über den Login ohne Passwort denken
Ohne Passwort, nur mit dem Fingerabdruck beim Onlineshop anmelden? Es ist verständlich, dass hierbei der Eindruck entsteht, biometrische Daten würden an die Webseite übermittelt. Das ist aber nicht so.
Passwörter sind vielen Usern ein Graus. Ein Verfahren zur Authentifizierung auf Webseiten, genannt WebAuthn, könnte sie überflüssig machen. Nutzerinnen und Nutzer können sich dadurch mit ihrem Smartphone oder Computer bei einem Dienst wie einem Sozialen Netzwerk oder einer Online-Shopping-Plattform anmelden. Schnell und einfach ist das Verfahren, wenn biometrische Daten wie Fingerabdruck oder Gesichtserkennung verwendet werden, die oft bereits zum Entsperren des Geräts hinterlegt sind. „Es ist nur verständlich, dass hierbei der Eindruck entstehen kann, die biometrischen Daten würden, ähnlich wie ein Passwort, an die Webseite übermittelt, bei der man sich anmelden möchte. Das ist aber ein Irrglaube“, sagt Leona Lassak von der RUB.
Missverständnisse aufklären
Mit dem Aufklären solcher und anderer Missverständnisse hat sich ein Team der RUB, des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre (MPI-SP) sowie der University of Chicago auseinandergesetzt. In mehreren Onlinestudien ließen sie 414 Nutzerinnen und Nutzer das neue WebAuthn-Verfahren selbst ausprobieren und befragten sie im Anschluss zu ihren ersten Eindrücken und etwaigen Befürchtungen rund um Datenschutz, Sicherheit und Nutzbarkeit.
Die Ergebnisse veröffentlichen Leona Lassak vom Horst-Görtz-Institut für IT-Sicherheit der RUB und Dr. Maximilian Golla vom MPI-SP zusammen mit Annika Hildebrandt und Prof. Dr. Blase Ur von der University of Chicago auf der Konferenz USENIX Security am 11. August 2021. Das Paper ist online seit 21. Juni 2021 verfügbar.
So funktioniert WebAuthn
Das WebAuthn-Verfahren ist Teil des neuen FIDO2-Standards, welcher das Ziel verfolgt, Passwörter komplett überflüssig zu machen. Wenn jemand sich bei einem Dienst anmelden möchte, geschieht das derzeit in der Regel durch Eingabe eines Nutzernamens und eines Passworts. Künftig könnten sich Nutzerinnen und Nutzer stattdessen über den Besitz eines Geräts authentifizieren. Damit nicht jeder, der ein verlorenes Smartphone auf der Straße findet, sich mit diesem bei allen möglichen Diensten einloggen kann, müssen die Nutzerinnen und Nutzer den Loginvorgang durch eine PIN oder Biometrie bestätigen. Manche Dienste wie das amerikanische eBay oder Microsoft bieten bereits den Login über das WebAuthn-Verfahren an.
Für die Nutzerinnen und Nutzer sieht es so aus, als würden sie sich mit ihrem Fingerabdruck beim Onlinedienst anmelden. Dabei entsperren sie damit nur einen kryptografischen Schlüssel.
Leona Lassak
„Für die Nutzerinnen und Nutzer sieht es so aus, als würden sie sich mit ihrem Fingerabdruck beim Onlinedienst anmelden“, schildert Leona Lassak das Problem. „Dabei entsperren sie mit ihrem Fingerabdruck nur einen sogenannten kryptografischen Schlüssel, der auf ihrem Gerät abgespeichert ist und dann für den eigentlichen Login genutzt wird“.
Unklarheiten bei der ersten Nutzung
Fast 70 Prozent der Befragten waren unsicher oder glaubten irrtümlicherweise, dass ihre biometrischen Daten durch das Verfahren an die Dienste wie eBay oder Microsoft weitergegeben würden. „Es ist höchste Zeit, mit diesen Missverständnissen aufzuräumen, da sie die Bereitschaft, das neue sichere Verfahren zu verwenden, gefährden“, so Annika Hildebrandt, eine Autorin der University of Chicago.
Das Team untersuchte auch, wie man die Akzeptanz für das Verfahren in Zukunft steigern könnte.
