WebAuthn ist die Authentifizierungs-Schicht des FIDO2-Standards. Anstatt sich auf vom Nutzer gemerkte Geheimnisse zu verlassen, nutzt es asymmetrische Kryptographie. Bei der Registrierung erzeugt der Authenticator des Nutzers (Hardware-Key, Secure Enclave, TPM usw.) ein privat-öffentliches Schlüsselpaar, das auf die Domain der Relying Party beschränkt ist. Der Browser sendet den öffentlichen Schlüssel und die Attestation-Daten an den Server, der sie als Credential-Eintrag speichert. Der private Schlüssel verlässt das Gerät des Nutzers nie.
Authentifizierungs-Ablauf
Beim Anmelden gibt der Server eine zufällige Challenge aus. Der Browser leitet diese Challenge an den Authenticator weiter, der die Anwesenheit des Nutzers prüft (z. B. Tastendruck), optional eine Nutzer-Verifikation erzwingt (PIN, biometrisch) und die Challenge mit dem gespeicherten privaten Schlüssel signiert. Der Server validiert die Signatur mit dem zuvor registrierten öffentlichen Schlüssel und prüft, ob der Sign-Counter des Authenticators gestiegen ist - das schützt gegen geklonte Schlüssel.
Passkeys
Passkeys erweitern WebAuthn-Credentials um geräteübergreifende Verfügbarkeit. Betriebssysteme synchronisieren Credentials über Ende-zu-Ende-verschlüsselten Cloud-Speicher. Ein Passkey lässt sich mit der lokalen Authentifizierungsmethode des Geräts (Touch ID, Face ID, Windows Hello, Android-Biometrie) entsperren und über Browser und Geräte hinweg nutzen. Das beseitigt den Aufwand, sich etwas zu merken oder einzutippen, bei gleichzeitig hardware-gestützter Sicherheit.
Vorteile gegenüber Passwörtern
- Phishing-Resistenz — Der Authenticator bindet jedes Credential an einen bestimmten Origin; eine Phishing-Seite kann ihn nicht dazu bringen, eine Challenge für eine andere Domain zu signieren.
- Keine geteilten Geheimnisse — Ohne Passwort-Datenbank sinkt das Risiko von Credential-Leaks drastisch. Selbst wenn der Credential-Speicher eines Servers kompromittiert wird, bekommt der Angreifer nur öffentliche Schlüssel.
- Bessere UX — Nutzer bestätigen einfach eine biometrische Eingabe oder berühren einen Security-Key. Geräteübergreifende Passkeys eliminieren Passwort-Resets und Tippfehler.
- Starke Mehrfaktor-Auth — WebAuthn kann "etwas, das du hast" (den Authenticator) und "etwas, das du bist/weißt" (biometrisch oder PIN) in einer Geste erfüllen und damit mit minimalem Aufwand starkes MFA erreichen.
- Schutz vor Replay und Credential-Stuffing — Challenges sind Einmal-Werte, und private Schlüssel lassen sich nicht über Dienste hinweg wiederverwenden - das vereitelt Replay-Angriffe und Credential-Stuffing.