Dieser Artikel oder Abschnitt bedarf einer grundsätzlichen Überarbeitung. Näheres sollte auf der Diskussionsseite angegeben sein. Bitte hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

WebAuthn ist ein vom World Wide Web Consortium (W3C) veröffentlichter Standard für eine Programmierschnittstelle, mit der Webanwendungen und Websites ihren Benutzern eine direkte Authentifikation mittels Public-Key-Verfahrens im Webbrowser anbieten können. Dadurch kann die Bedienung vereinfacht und auf die Vielzahl individueller Kennwörter für jede Website verzichtet werden. Die Voraussetzung ist, dass der Webbrowser sicher auf einen Authentifikator im oder am Gerät des Benutzers zugreifen kann. Viele moderne Smartphones oder Laptops bieten diese in Form von Fingerabdrucksensoren oder Gesichtserkennung. Der Standard ermöglicht damit quasi dem Webentwickler mit Hilfe eines WebAuthn-kompatiblen Webbrowsers den Zugriff auf einen Authentikator zur sichereren und einfacheren Nutzung seiner Dienste. Dem Webentwickler entsteht damit ein erheblicher Sicherheitsvorteil, da er ggf. keine Kundenpasswörter mehr verwalten und vor Zugriffen Dritter schützen muss.

WebAuthn ist eine Kernkomponente des FIDO2-Projekts innerhalb des W3C unter enger Einbeziehung der FIDO-Allianz.

Auf der Client-Seite kann die Unterstützung für WebAuthn auf verschiedene Arten implementiert werden. Die zugrunde liegenden kryptografischen Operationen werden von einem Authentifikator ausgeführt. Hierbei handelt es sich um ein abstraktes Funktionsmodell, das hinsichtlich der Verwaltung des Schlüsselmaterials meist unbeteiligt ist. Dadurch ist es möglich, die Unterstützung für WebAuthn ausschließlich in Software zu implementieren, indem die vertrauenswürdige Ausführungsumgebung eines Prozessors oder ein Trusted Platform Module (TPM) verwendet wird.

Sensible kryptografische Vorgänge können auch auf einen Roaming-Hardware-Authentifikator übertragen werden, auf den wiederum über USB, Bluetooth Low Energy oder Near Field Communication (NFC) zugegriffen werden kann. Ein Roaming-Hardware-Authentifikator entspricht dem Client to Authenticator Protocol (CTAP) des FIDO-Clients, wodurch WebAuthn effektiv abwärtskompatibel zum FIDO-Standard U2F (Universal 2nd Factor) ist.

Ähnlich wie das alte U2F ist auch die Web-Authentifikation ein nachvollziehbarer Identitätswechsel, das heißt sie ist resistent gegen aktive Man-in-the-Middle-Angriffe, aber im Gegensatz zu U2F erfordert WebAuthn kein herkömmliches Kennwort. Darüber hinaus ist ein Roaming-Hardware-Authentifikator resistent gegen Schadprogramme, da Software zu keiner Zeit auf das private Schlüsselmaterial für den Host-Computer zugreifen kann.

Der WebAuthn-Level-1-Standard wurde am 4. März 2019 als Empfehlung des World Wide Web Consortiums (W3C) veröffentlicht. Am 8. April 2021 folgte die Level-2-Spezifikation.

Windows 10, Android, macOS und iOS können Webauthn verwenden. Webauthn wird bereits von den Browsern Firefox, Chrome/Chromium, Safari und Edge unterstützt.

• Webauthn: Einführung

• Pressemitteilung des W3C