Jump to navigation

Logo RUB
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Handy mit Login-Bildschirm
Das WebAuthn-Verfahren könnte Passwörter in Zukunft überflüssig machen.
© RUB, Marquard
WebAuthn-Methode

Was User über den Login ohne Passwort denken

Ohne Passwort, nur mit dem Fingerabdruck beim Onlineshop anmelden? Es ist verständlich, dass hierbei der Eindruck entsteht, biometrische Daten würden an die Webseite übermittelt. Das ist aber nicht so.

Passwörter sind vielen Usern ein Graus. Ein Verfahren zur Authentifizierung auf Webseiten, genannt WebAuthn, könnte sie überflüssig machen. Nutzerinnen und Nutzer können sich dadurch mit ihrem Smartphone oder Computer bei einem Dienst wie einem Sozialen Netzwerk oder einer Online-Shopping-Plattform anmelden. Schnell und einfach ist das Verfahren, wenn biometrische Daten wie Fingerabdruck oder Gesichtserkennung verwendet werden, die oft bereits zum Entsperren des Geräts hinterlegt sind. „Es ist nur verständlich, dass hierbei der Eindruck entstehen kann, die biometrischen Daten würden, ähnlich wie ein Passwort, an die Webseite übermittelt, bei der man sich anmelden möchte. Das ist aber ein Irrglaube“, sagt Leona Lassak von der RUB.

Missverständnisse aufklären

Mit dem Aufklären solcher und anderer Missverständnisse hat sich ein Team der RUB, des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre (MPI-SP) sowie der University of Chicago auseinandergesetzt. In mehreren Onlinestudien ließen sie 414 Nutzerinnen und Nutzer das neue WebAuthn-Verfahren selbst ausprobieren und befragten sie im Anschluss zu ihren ersten Eindrücken und etwaigen Befürchtungen rund um Datenschutz, Sicherheit und Nutzbarkeit.

Bochumer Forschungsteam: Leona Lassak und Maximilian Golla
© RUB, Marquard

Die Ergebnisse veröffentlichen Leona Lassak vom Horst-Görtz-Institut für IT-Sicherheit der RUB und Dr. Maximilian Golla vom MPI-SP zusammen mit Annika Hildebrandt und Prof. Dr. Blase Ur von der University of Chicago auf der Konferenz USENIX Security am 11. August 2021. Das Paper ist online seit 21. Juni 2021 verfügbar.

So funktioniert WebAuthn

Das WebAuthn-Verfahren ist Teil des neuen FIDO2-Standards, welcher das Ziel verfolgt, Passwörter komplett überflüssig zu machen. Wenn jemand sich bei einem Dienst anmelden möchte, geschieht das derzeit in der Regel durch Eingabe eines Nutzernamens und eines Passworts. Künftig könnten sich Nutzerinnen und Nutzer stattdessen über den Besitz eines Geräts authentifizieren. Damit nicht jeder, der ein verlorenes Smartphone auf der Straße findet, sich mit diesem bei allen möglichen Diensten einloggen kann, müssen die Nutzerinnen und Nutzer den Loginvorgang durch eine PIN oder Biometrie bestätigen. Manche Dienste wie das amerikanische eBay oder Microsoft bieten bereits den Login über das WebAuthn-Verfahren an.

Für die Nutzerinnen und Nutzer sieht es so aus, als würden sie sich mit ihrem Fingerabdruck beim Onlinedienst anmelden. Dabei entsperren sie damit nur einen kryptografischen Schlüssel.

– Leona Lassak

„Für die Nutzerinnen und Nutzer sieht es so aus, als würden sie sich mit ihrem Fingerabdruck beim Onlinedienst anmelden“, schildert Leona Lassak das Problem. „Dabei entsperren sie mit ihrem Fingerabdruck nur einen sogenannten kryptografischen Schlüssel, der auf ihrem Gerät abgespeichert ist und dann für den eigentlichen Login genutzt wird“.

Unklarheiten bei der ersten Nutzung

Fast 70 Prozent der Befragten waren unsicher oder glaubten irrtümlicherweise, dass ihre biometrischen Daten durch das Verfahren an die Dienste wie eBay oder Microsoft weitergegeben würden. „Es ist höchste Zeit, mit diesen Missverständnissen aufzuräumen, da sie die Bereitschaft, das neue sichere Verfahren zu verwenden, gefährden“, so Annika Hildebrandt, eine Autorin der University of Chicago.

Das Team untersuchte auch, wie man die Akzeptanz für das Verfahren in Zukunft steigern könnte.

Angeklickt
  • Ausführliche Presseinformation
Veröffentlicht
Dienstag
22. Juni 2021
09.15 Uhr
Von
Julia Weiler (jwe)
Share
Teilen
Das könnte Sie auch interessieren
Eröffnung
Einblick

CASA im Wissenschaftspodcast „Exzellent Erklärt“

Eine Hand hält einen goldenen Chip
IT-Sicherheit

Manipulationen in Mikrochips aufspüren

Zwei Personen mit einem würfelförmigen Gebilde in den Händen
IT-Sicherheit

Satelliten-Sicherheit hinkt Stand der Technik Jahrzehnte hinterher

Derzeit beliebt
Taschentücher und Tabletten
Virologie

Schnupfenviren inaktivieren

Blick in den Untersuchungsraum
Innovative Bildgebung

Post-Covid und Muskelschmerz

Annett Schmeck und Nora Čavara stehen nebeneinander vor grünem Hintergrund und lachen in die Kamera.
Dezentrale Diversitätsbeauftragte

Zuhören, aufklären, sensibilisieren

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt