Beyond passwords? – Fido2 and WebAuthn in der Praxis

Während die begrenzte Sicherheit von passwortgestützten Verfahren schon lange belegt ist, konnten sich bislang keine Alternativen durchsetzen.

Mit der Web Authentication API (Webauthn) wurde im März ein neuer Standard veröffentlicht, der nicht zuletzt wegen seiner Beteiligung vieler großer Firmen (u.a. Microsoft, Google, Samsung) als aussichtsreicher Kandidat für eine echte Alternative zu Passwörtern gilt.

Wir haben die Sicherheit und Usability von WebAuthn evaluiert und einen Proof-of-Concept der Authentifizierungsmethode in einer Webanwendung geschaffen. Der Vortrag teilt außerdem unsere Erkenntnisse und Eindrücke des jungen Standards sowie der existierenden technischen Umsetzungen.

Vorkenntnisse

Keine spezifischen Kenntnisse erforderlich.

Lernziele

* Die Teilnehmer erhalten einen Überblick über Alternativen zu passwortgestützten Verfahren und lernen den WebAuthn-Standard und die zugrundeliegenden kryptografischen Prinzipien kennen.
* Sie können anhand eines Proof-of-Concepts die Funktionsweise der Authentifizierungsmethode in einer Webanwendung nachvollziehen und erfahren, wie diese in der Praxis von Anwendern wahrgenommen wird.

 

Speaker

 

Anna Sinitsyna
Anna Sinitsyna studierte Informatik am Karlsruher Institut für Technologie. Seit 2018 ist sie bei inovex im Bereich Application Development tätig, baut dort komplexe Softwaresystemen nach Kundenanforderung und beschäftigt sich mit der Usability von Authentifizierungsmethoden.

Clemens Hübner
Clemens Hübner studierte an der FAU Erlangen-Nürnberg Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er heute Webentwicklungsprojekte und berät zu Continuous Software Security.

Gold-Sponsoren

RIGS IT
SearchGuard
WIBU Systems

Silber-Sponsoren

COTECH
RIPS Technologies

Bronze-Sponsor

heidelpay

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden