Beyond passwords? FIDO2 and WebAuthn in practice

Während die begrenzte Sicherheit von passwortgestützten Verfahren schon lange belegt ist, konnten sich bislang keine Alternativen durchsetzen.
Mit der Web Authentication API (WebAuthn) wurde im März 2019 ein neuer Standard veröffentlicht, der nicht zuletzt wegen seiner Beteiligung vieler großer Firmen (u. a. Microsoft, Google, Samsung) als aussichtsreicher Kandidat für eine echte Alternative zu Passwörtern gilt.
Wir haben die Sicherheit und Usability von WebAuthn evaluiert und einen Proof-of-Concept der Authentifizierungsmethode in einer Webanwendung geschaffen. Der Vortrag teilt außerdem unsere Erkenntnisse und Eindrücke des jungen Standards sowie der existierenden technischen Umsetzungen.

Event: heise devSec 2019

Datum: 25.09.2019

Hier gibt's den Link zum Github-Repo: github.com/inovex/webauthn-demo-app

Und hier den Link zur Demo-Anwendung: https://webauthn-studie.web.app/

Anna Sinitsyna studierte Informatik am Karlsruher Institut für Technologie. Seit 2018 ist sie bei inovex im Bereich Application Development als Backend-Entwicklerin tätig und beschäftigt sich mit der Usability von Authentifizierungsmethoden.

Clemens Hübner studierte an der FAU Erlangen-Nürnberg Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er heute Webentwicklungsprojekte und berät zu Continuous Software Security.