WebAuthn, Abkürzung für “Web Authentication” ist ein relativ neuer Standard für das Internet, der von Browser-Entwicklern und Technologieunternehmen geschaffen wurde um den Schutz von Online-Konten zu verbessern. Statt nur auf Passwörter zu setzen, erlaubt es Websites, Benutzer mittels sicherer Methoden zu überprüfen. Zum Beispiel dem Fingerabdruck und auf dem Gerät eingebauten Sicherheits-Chips, oder Chipkarten oder separaten kleinen Geräten die man wie einen Schlüssel in die USB-Buchse stecken kann oder kontaktlos an den Computer oder das Telefon hält.

Man kann damit unterschiedliche Sicherheitskonzepte umsetzen. Je nach Anforderungen kann der Besitz des Schlüssels ausreichen, oder zusätzlich zu einem Passwort verlangt werden. Es kann auch Schlüssel plus eine kurze PIN oder Fingerabdruck verlangt werden.

Der Trick dabei ist (wie bei anderen Methoden) ist der Hardware-Schlüssel. Passwörter können einfacher gestohlen oder geknackt werden und dann für Cyber-Angriffe genutzt werden. Selbst bei einigen anderen gängigen 2-Faktor-Methoden können beide Faktoren abgezapft werden. Beispielsweise indem sich Zugriff auf das verknüpfte E-Mail-Konto verschafft wird, SMS abgeleitet werden oder einfach beide Geheimnisse aus der Eingabemaske gestohlen werden. WebAuthn verdindert dies indem der Online-Dienst mittels kryptografischer Methoden direkt mit dem jeweiligen Benutzergerät spricht und nur genau den Browser auf diesem Gerät freischaltet.

Die Idee von WebAuthn ist hierbei, eine standardisierte technische Schnittstelle zu schaffen, die dann von möglichst vielen Online-Diensten unterstützt wird.