Het W3C heeft de WebAuthn-standaard tot Candidate Recommendation gepromoveerd en roept op tot implementatie. De standaard moet traditionele wachtwoorden vervangen en het mogelijk maken om, bijvoorbeeld in de browser, te authenticeren met een vingerafdruk of extern apparaat.

 

De organisatie meldt dat bedrijven als Mozilla, Google en Microsoft zich achter de nieuwe standaard scharen en deze in hun browser implementeren. Firefox schakelt WebAuthn-ondersteuning bijvoorbeeld standaard in vanaf versie 60; Chrome is van plan dat in versie 67 te doen. De status van Safari is onbekend, al maakt Apple wel deel uit van de gerelateerde werkgroep. De W3C-specificatie, die een api beschrijft, vermeldt een aantal verschillende use cases, zoals authenticatie met behulp van een geregistreerde telefoon. Als een gebruiker bijvoorbeeld op een pc een website bezoekt, wil inloggen en ervoor kiest dat met zijn telefoon te doen, krijgt hij een notificatie op zijn toestel waarna hij bijvoorbeeld met zijn vingerafdruk of een pincode het authenticatieproces kan doorlopen.

Het idee is dat authenticatie plaatsvindt op basis van publiekesleutelcryptografie, waarbij de sleutels op de authenticator zijn opgeslagen. De specificatie noemt de mogelijkheid dat de sleutel zich op hetzelfde apparaat bevindt als de user agent, bijvoorbeeld in de vorm van een trusted platform module op een laptop of een secure element op een mobiele telefoon. Dit scenario is ook denkbaar met andere apparaten, zoals een usb-authenticator. Volgens het consortium speelt hierbij het Client to Authenticator Protocol, oftewel Ctap, een rol. Dat beschrijft de communicatie via usb, bluetooth of nfc.

Gebruik van WebAuthn moet het voordeel ten opzichte van traditionele wachtwoorden hebben dat er betere bescherming is tegen phishing, het onderscheppen door middel van een man-in-the-middleaanval en het gebruik van uitgelekte logins door kwaadwillenden.

De huidige standaard is het resultaat van een collaboratie tussen de FIDO Alliance en het W3C. FIDO, wat staat voor Fast IDentity Online, is in 2012 opgericht om tot een open, interoperabele en schaalbare reeks mechanismen te komen die vervanging van wachtwoorden voor onlineauthenticatie mogelijk moeten maken. WebAuthn en Ctap maken allebei deel uit van het FIDO2-project. De oorspronkelijke indiening bij W3C vond in 2015 plaats, waarbij de alliantie voortbouwde op UAF en U2F, die in 2014 werden afgerond.

Reacties mogelijk gemaakt door CComment