Interessant hört es sich ja an, nur wenn man mal wirklich ein Passwort eingeben muss ist man aufgeschmissen.
Letzte Tage Outbank, der hat mein Daumen nicht angenommen und ich wusste das Passwort nicht mehr. Musste dann alles zurücksetzten.
Ist wie mit Telefonnummer, wenn du die manchmal nicht manuell eingibst, weißt ich die auch nicht mehr. Wenn das Handy mal unterwegs kaputt geht und ich in die Telefonzelle muss bin ich aufgeschmissen. 😁😁😁

Super. Hoffe das kommt mit iOS 12. Wobei es jetzt schon sehr komfortabel ist.

@MTN: Wie kommt ihr darauf gerade jetzt darüber zu berichten? Die FIDO Alliance gibt es ja schon länger und ich hätte mir gewünscht, dass Apple da längst mitmischt und den Standard pusht.

Und was hat die Dauer des Bestehens FIDO Alliance mit dem Inhalt des Artikels zu tun? WebAuthn ist schließlich nicht deren einziges Projekt.
Der jetzige Zeitpunkt könnte damit zusammenhängen, dass der WebAuthn Standard seit zwei Wochen fast fertig ist.

Was ich mich nur frage ist, wie das in der Realität funktionieren soll. Es ist ja die eine Sache, wenn ich mir irgendwo einen Account habe, und dann per Benutzername eine eindeutige ID habe und ein Passwort als Schutz. Aber wie soll das sinnvoll durch einen Fingerabdruck oder Gesichtsscann ersetzt werden? Laut Artikel würde beides ja das Gerät nie verlassen, wie soll der Webserver dann also sicher wissen, ob ich jetzt tatsächlich vor dem Gerät sitze? Ein einfaches Ja oder Nein reicht da ja nicht, dann würde ich mir einfach einen Fingerabdruckscanner bauen, der immer Ja zurückgibt. Dann könnte ich mich problemlos überall einloggen. Hardware-Tokens haben eine ID, die der Webdienst speichern kann zur Identifizierung. Aber wie soll das bei einem Gesichtsscan funktionieren? Ich habe eigentlich keine Lust, mir einen QR-Code auf die Stirn tätowieren zu lassen.
Und was ist, wenn ich mich an meinem Heimcomputer einen Fingerabdruck benutze, aber auf der Arbeit gibt es keinen solchen Scanner? Dann muss man wieder ein Passwort als Fallback nutzen, und damit ist der angebliche Sicherheitsvorteil auch wieder dahin.
Allerdings lasse ich mich gerne eines besseren belehren. Vielleicht kennt ja jemand eine gute, verständliche Beschreibung von dem WebAuthn-Prozess. Bei Google habe ich auf die schnelle nichts gefunden.

Vielleicht kommt dann ja auch endlich die Touchbar mit Touch-ID-Sensor auf das kabelgebundene Mac-Keyboard?

Gegen vergessene Passwörter gibt es aber etwas. Vorher, hinterher natürlich nicht mehr. Ich kann Enpass sehr empfehlen!

aMacUser: Entschuldigung, dass ich frage. War nur neugierig was MTN zum Schreiben des Artikels bewegt hat. Vermutlich die quasi Fertigstellung des Standards. Davon hatte ich noch nichts mitbekommen und im Artikel wird das auch nicht erwähnt. Ich behalte meine Fragen künftig für mich.

Um deine zu beantworten:
Es wird ein Challenge-Response-Verfahren verwendet. Der Benutzer authentisiert sich nur gegenüber dem Authenticator (z.B. TouchID). Ist dies erfolgreich wird eine zuvor von der Gegenstelle erhaltene Challenge (mit dem privaten Schlüssel) signiert und die so entstandene Response von der Gegenstelle (mit dem öffentlichen Schlüssel) verifiziert. Ist das Ergebnis gleich der versendeten Challenge, wurde der Benutzer erfolgreich gegenüber der Gegenstelle authentifiziert.

Die Gegenseite verlässt sich also darauf dass der Benutzer sich zuvor lokal authentifiziert. Deinen selbstgebauten Fingerabdrucksensor muss du zuvor von der FIDO Alliance zertifizieren lassen und wenn der immer "ja" zurück gibt, wird das nichts. Das ist ganz praktisch, denn sollte z.B. TouchID mal gehackt werden, kann die FIDO Alliance einfach das Zertifikat zurückziehen und schon kann TouchID nicht mehr verwendet werden.

Wenn du auf der Arbeit keinen Fingerabdrucksensor hast, kannst du auf andere Authentikatoren zurückgreifen. Auch einen mit PIN. Trotzdem wird ja noch nach WebAuthn authentifiziert.

Weil FIDO heute die Specs veröffentlicht hat.



Für mich liest sich das so, als seien alle dabei — ausser Apple, die schweigen bisher. Schade.

Q: The Verge (10.04.2018): Chrome, Firefox and Edge will support a new standard for password-free logins

Und/Wobei/Immerhin:

WebKit.org: WebKit Feature Status: Web Authentication :