Beyond passwords? – Fido2 and WebAuthn in der Praxis
Während die begrenzte Sicherheit von passwortgestützten Verfahren schon lange belegt ist, konnten sich bislang keine Alternativen durchsetzen.
Mit der Web Authentication API (Webauthn) wurde im März ein neuer Standard veröffentlicht, der nicht zuletzt wegen seiner Beteiligung vieler großer Firmen (u.a. Microsoft, Google, Samsung) als aussichtsreicher Kandidat für eine echte Alternative zu Passwörtern gilt.
Wir haben die Sicherheit und Usability von WebAuthn evaluiert und einen Proof-of-Concept der Authentifizierungsmethode in einer Webanwendung geschaffen. Der Vortrag teilt außerdem unsere Erkenntnisse und Eindrücke des jungen Standards sowie der existierenden technischen Umsetzungen.
Vorkenntnisse
Keine spezifischen Kenntnisse erforderlich.
Lernziele
* Die Teilnehmer erhalten einen Überblick über Alternativen zu passwortgestützten Verfahren und lernen den WebAuthn-Standard und die zugrundeliegenden kryptografischen Prinzipien kennen.
* Sie können anhand eines Proof-of-Concepts die Funktionsweise der Authentifizierungsmethode in einer Webanwendung nachvollziehen und erfahren, wie diese in der Praxis von Anwendern wahrgenommen wird.