Web-Entwicklung

WebAuthn & FIDO2

WebAuthn und FIDO2 sind die offenen, herstellerübergreifenden Standards, auf denen die passwortlose Anmeldung technisch beruht. Sie regeln, wie Browser, Betriebssystem und Dienst ein kryptografisches Schlüsselpaar gemeinsam nutzen.

WebAuthn und FIDO2 sind die technische Grundlage hinter Passkeys und Hardware-Sicherheitsschlüsseln. Als offene Standards stellen sie sicher, dass dasselbe Verfahren über Geräte- und Plattformgrenzen hinweg funktioniert.

In einfachen Worten

Hinter der passwortlosen Anmeldung steht kein einzelnes Produkt, sondern ein offenes Regelwerk. WebAuthn ist die Schnittstelle im Browser, über die eine Website ein Schlüsselpaar anlegen und eine Anmeldung anfordern kann; sie ist als Web-Standard verabschiedet. FIDO2 ist der übergeordnete Rahmen einer herstellerübergreifenden Allianz, der WebAuthn mit einem zweiten Baustein für externe Sicherheitsschlüssel kombiniert. Zusammen legen sie fest, wie das Gerät den privaten Schlüssel verwahrt, wie es eine Anfrage des Dienstes signiert und wie die Anmeldung an die echte Web-Adresse gebunden wird. Weil diese Standards offen und herstellerübergreifend sind, funktioniert dasselbe Verfahren über unterschiedliche Geräte, Browser und Betriebssysteme hinweg – ohne Bindung an einen einzelnen Anbieter. Ein Passkey ist die für Endnutzer sichtbare Anwendung dieser Technik; die Phishing-Resistenz entsteht direkt aus den Regeln der Standards.

Wozu brauche ich das?

Für die meisten Unternehmen sind WebAuthn und FIDO2 keine Technik, die selbst umgesetzt wird, sondern eine Eigenschaft, auf die man bei Diensten achtet: Unterstützt ein Anbieter diese Standards, lässt sich die passwortlose, phishing-resistente Anmeldung nutzen. Relevant wird das Wissen bei der Auswahl von Geschäftsanwendungen und Verwaltungsoberflächen sowie beim Einsatz von Hardware-Sicherheitsschlüsseln für besonders schützenswerte Zugänge. Wer eigene Web-Anwendungen mit Login betreibt, kann die Standards über gängige Bibliotheken einbinden und damit selbst eine starke Authentifizierung anbieten.

Beispiel aus der Praxis

Auf einer Anmeldeseite erscheint neben dem Passwortfeld die Option, sich „mit einem Sicherheitsschlüssel" oder „mit diesem Gerät" anzumelden. Dahinter ruft die Website über WebAuthn die Funktion des Browsers auf, der wiederum das Betriebssystem oder einen eingesteckten Hardware-Schlüssel anspricht. Das Gerät signiert die Anfrage des Dienstes und prüft dabei, ob die aufrufende Adresse zur hinterlegten passt. Für die Person sieht das aus wie eine kurze Bestätigung per Fingerabdruck – die gesamte Standard-Mechanik bleibt im Hintergrund.

Wirtschaftlicher Nutzen

Der Wert offener Standards liegt in der Unabhängigkeit: Weil WebAuthn und FIDO2 herstellerübergreifend sind, bindet sich ein Betrieb mit der passwortlosen Anmeldung nicht an einen einzelnen Anbieter und kann Geräte und Schlüssel frei kombinieren. Für eigene Anwendungen bedeutet die Einbindung der Standards eine Authentifizierung auf dem aktuellen Stand der Technik, ohne kryptografische Verfahren selbst entwickeln zu müssen. Das senkt das Risiko von Konto-Übernahmen und schafft eine Grundlage, die mit der weiteren Verbreitung von Passkeys an Wert gewinnt. Im Betrieb gehört diese Grundlage in einen geordneten Passwort-Manager, der Schlüssel und Passwörter zusammenführt.

Typische Fehler

  • WebAuthn und FIDO2 für ein bestimmtes Produkt gehalten – es handelt sich um offene Standards, nicht um eine einzelne Anwendung.
  • Bei der Auswahl von Geschäftsanwendungen nicht auf Standard-Unterstützung geachtet und damit passwortlose Anmeldung verschenkt.
  • In eigenen Anwendungen kryptografische Verfahren selbst gebaut, statt geprüfte Bibliotheken für die Standards zu nutzen.
  • Hardware-Sicherheitsschlüssel ohne hinterlegten Ersatz eingesetzt – fällt der einzige Schlüssel aus, ist der Zugang gesperrt.
  • Die Standards mit einem reinen Code-Verfahren verwechselt – erst die Adress-Bindung macht das Verfahren phishing-resistent.

Worauf achten?

  • Bei neuen Geschäftsanwendungen prüfen, ob sie WebAuthn und FIDO2 unterstützen – das ermöglicht spätere passwortlose Anmeldung.
  • Für eigene Web-Anwendungen geprüfte Bibliotheken statt eigener Kryptografie einsetzen.
  • Hardware-Sicherheitsschlüssel immer mit einem hinterlegten Ersatz-Schlüssel betreiben.
  • Die Adress-Bindung als Kern verstehen – sie unterscheidet die Standards von reinen Einmal-Code-Verfahren.
  • Auf die für Endnutzer sichtbare Umsetzung über Passkeys setzen statt auf Eigenbau.

Häufig gestellte Fragen

Was sind WebAuthn und FIDO2?

Offene, herstellerübergreifende Standards für die passwortlose Anmeldung. WebAuthn ist die Schnittstelle im Browser, FIDO2 der übergeordnete Rahmen samt einem Baustein für externe Sicherheitsschlüssel. Zusammen regeln sie, wie ein kryptografisches Schlüsselpaar genutzt wird.

Was ist der Unterschied zwischen WebAuthn, FIDO2 und Passkey?

WebAuthn und FIDO2 sind die zugrunde liegenden Standards; ein Passkey ist die für Endnutzer sichtbare Anwendung davon. Vereinfacht: Die Standards sind das Regelwerk, der Passkey das, womit man sich anmeldet.

Muss ein Unternehmen diese Standards selbst umsetzen?

In den meisten Fällen nicht. Es genügt, bei Diensten und Anwendungen auf die Unterstützung zu achten. Nur wer eigene Web-Anwendungen mit Login betreibt, bindet die Standards über geprüfte Bibliotheken aktiv ein.