Entwicklerhandbuch: Sicheres WebAuthn für passwortlose Registrierung (DE)

Grundlagen von WebAuthnWebAuthn ist ein W3C-Standard für passwortlose Authentifizierung, der Public-Key-Kryptographie für verbesserte Sicherheit und ein optimiertes Benutzererlebnis nutzt, um traditionelle Passwörter abzulösen.

Wichtige ImplementierungsschritteEntwickler müssen die Registrierung von Anmeldeinformationen, die sichere Speicherung von öffentlichen Schlüsseln und robuste Authentifizierungsabläufe, einschließlich der Generierung von Challenges und der Überprüfung von Antworten, verwalten, um WebAuthn erfolgreich einzusetzen.

Best Practices für die SicherheitDie Implementierung von WebAuthn erfordert eine sorgfältige Berücksichtigung der Sicherheit, wie z.B. die ordnungsgemäße Generierung von Challenges, das Management der Relying Party ID und den Umgang mit Attestierungs- und Assertionsdaten, um gängige Angriffsvektoren zu verhindern.

Wie Didit das WebAuthn-Onboarding verbessertDidit ergänzt WebAuthn durch eine modulare, KI-native Identitätsplattform, die die anfängliche Identitätsprüfung (ID-Verifizierung, Lebenderkennung) und die laufende Compliance (AML-Screening) übernehmen kann. Sie bietet kostenloses Core-KYC und keine Einrichtungsgebühren, um den gesamten Onboarding-Prozess zu optimieren.

WebAuthn verstehen: Die Zukunft der passwortlosen Authentifizierung

WebAuthn (Web Authentication API) ist ein W3C-Standard, der die passwortlose Authentifizierung im Web ermöglicht. Es ist ein Eckpfeiler des FIDO2-Projekts, das darauf abzielt, die Online-Authentifizierung sicherer und benutzerfreundlicher zu gestalten, indem Passwörter durch Public-Key-Kryptographie ersetzt werden. Anstatt sich komplexe Passwörter zu merken, authentifizieren sich Benutzer mit biometrischen Faktoren (wie Fingerabdrücken oder Gesichtserkennung), Hardware-Sicherheitsschlüsseln (wie YubiKey) oder Plattform-Authentifikatoren (die in Geräte wie Touch ID oder Windows Hello integriert sind).

Für Entwickler bedeutet die Implementierung von WebAuthn, sich von den Schwachstellen zu lösen, die mit Passwortdatenbanken verbunden sind, und sich einem System zuzuwenden, bei dem der private Schlüssel eines Benutzers niemals sein Gerät verlässt. Dies reduziert das Risiko von Phishing, Credential Stuffing und serverseitigen Datenlecks erheblich. Das Kernkonzept umfasst eine Relying Party (Ihre Webdienst), einen User Agent (den Browser) und einen Authentifikator (das Gerät oder die Software, die das Schlüsselpaar verwaltet).

Die Vorteile liegen klar auf der Hand: erhöhte Sicherheit, verbessertes Benutzererlebnis und reduzierte Supportkosten im Zusammenhang mit Passwortrücksetzungen. Die Implementierung erfordert jedoch ein solides Verständnis kryptographischer Prinzipien und einen sorgfältigen Umgang mit der WebAuthn-API sowohl auf Client- als auch auf Serverseite.

Anmeldeinformationen registrieren: Benutzer mit WebAuthn onboarden

Der erste Schritt auf dem Weg zur passwortlosen Nutzung ist die Registrierung des Authentifikators eines Benutzers. Dieser Prozess etabliert die Identität des Benutzers bei Ihrem Dienst und bindet ein neues Public-Key-Credential an sein Konto. Hier ist ein Überblick über die beteiligten Schritte:

1. Server initiiert Registrierung: Ihr Server generiert eine einzigartige kryptographische Challenge und sendet diese zusammen mit Benutzerinformationen (ID, Name) und Relying Party (RP)-Details (RP ID, Name) an den Client.
2. Client erstellt Anmeldeinformationen: Das clientseitige JavaScript (mithilfe von navigator.credentials.create()) fordert den Benutzer auf, mit seinem Authentifikator zu interagieren (z.B. einen Sicherheitsschlüssel berühren, einen Fingerabdruck scannen). Der Authentifikator generiert dann ein neues Public/Private-Schlüsselpaar. Der private Schlüssel verbleibt auf dem Authentifikator, während der öffentliche Schlüssel zusammen mit einer Attestierungserklärung und anderen Metadaten an den Client zurückgesendet wird.
3. Client sendet Antwort an Server: Der Client empfängt die CredentialCreationOptions und sendet sie an Ihren Server zurück.
4. Server überprüft Anmeldeinformationen: Ihr Server muss die empfangenen Anmeldeinformationen streng überprüfen. Dies beinhaltet die Überprüfung der Challenge, RP ID, des Ursprungs und der Attestierungssignatur. Nach der Validierung werden der öffentliche Schlüssel und die zugehörigen Metadaten (wie die Credential ID) sicher gespeichert und mit dem Benutzerkonto verknüpft. Es ist entscheidend, den öffentlichen Schlüssel und nicht den privaten Schlüssel zu speichern, da der private Schlüssel niemals den Authentifikator verlassen sollte.

Für einen nahtlosen Onboarding-Prozess, insbesondere für neue Benutzer, ist die Kombination von WebAuthn-Registrierung mit einer robusten anfänglichen Identitätsprüfung von größter Bedeutung. Didits ID-Verifizierung, die OCR-, MRZ- und Barcode-Scanning nutzt, kann das Identitätsdokument eines Benutzers schnell überprüfen, während passive und aktive Lebenderkennungstests sicherstellen, dass der Benutzer anwesend und echt ist, wodurch Deepfake- und Präsentationsangriffe verhindert werden. Dies schafft eine starke Vertrauensbasis, bevor ein WebAuthn-Credential überhaupt ins Spiel kommt.

Benutzerauthentifizierung: Der passwortlose Anmeldeablauf

Sobald ein Benutzer ein WebAuthn-Credential registriert hat, werden nachfolgende Anmeldungen zum Kinderspiel. Der Authentifizierungsablauf ist einfacher als die Registrierung, aber für die Sicherheit ebenso entscheidend:

1. Server initiiert Authentifizierung: Wenn ein Benutzer versucht, sich anzumelden, generiert Ihr Server eine neue, eindeutige kryptographische Challenge und fordert die Authentifizierung für einen bestimmten Benutzer (falls bekannt) oder für ein beliebiges registriertes Credential an.
2. Client fordert Assertion an: Das clientseitige JavaScript (mithilfe von navigator.credentials.get()) fordert eine Assertion vom Authentifikator an. Der Browser fordert den Benutzer möglicherweise auf, auszuwählen, welches Credential verwendet werden soll, wenn mehrere registriert sind.
3. Authentifikator signiert Challenge: Der Authentifikator verwendet seinen gespeicherten privaten Schlüssel, um die Challenge zu signieren und so eine Assertion zu erstellen. Die Benutzerinteraktion (biometrisch, PIN usw.) autorisiert diesen Signiervorgang.
4. Client sendet Assertion an Server: Der Client sendet die signierte Assertion an Ihren Server zurück.
5. Server überprüft Assertion: Ihr Server muss die Assertion überprüfen. Dies beinhaltet die Überprüfung der Signatur mithilfe des gespeicherten öffentlichen Schlüssels, die Validierung der Challenge, der RP ID und des Ursprungs. Eine erfolgreiche Überprüfung bedeutet, dass der Benutzer den Besitz des mit seinem Konto verknüpften privaten Schlüssels nachgewiesen hat und die Authentifizierung abgeschlossen ist.

Die Implementierung einer ordnungsgemäßen Challenge-Generierung und -Verifizierung ist entscheidend, um Replay-Angriffe zu verhindern. Jede Challenge muss eindeutig und ausreichend zufällig sein. Didits modulare Identitätsplattform kann nahtlos in diese Authentifizierungsabläufe integriert werden und zusätzliche Sicherheitsebenen wie Telefon- und E-Mail-Verifizierung zur Bestätigung von Kontaktdaten oder AML-Screening und -Überwachung für die laufende Compliance bieten, um sicherzustellen, dass das Risikoprofil des Benutzers auch nach einer passwortlosen Anmeldung kontinuierlich bewertet wird.

Sicherheitsaspekte und Best Practices

Obwohl WebAuthn eine überlegene Sicherheit bietet, erfordert seine Implementierung die Einhaltung bewährter Verfahren, um seine Vorteile zu maximieren und potenzielle Schwachstellen zu mindern:

• Einzigartige Challenges: Generieren Sie immer eine kryptographisch sichere, einzigartige Challenge für jede Registrierungs- und Authentifizierungsanforderung. Speichern Sie sie temporär auf dem Server und entwerten Sie sie nach Gebrauch oder Ablauf.
• Relying Party ID: Konfigurieren Sie Ihre RP ID korrekt. Sie sollte die Domäne Ihrer Website sein (z.B. example.com). Dies verhindert, dass Anmeldeinformationen auf bösartigen Subdomains verwendet werden.
• Ursprungsüberprüfung: Überprüfen Sie auf dem Server immer, ob der Ursprung der WebAuthn-Antwort Ihrem erwarteten Ursprung entspricht.
• Attestierung vs. Assertion: Verstehen Sie den Unterschied. Die Attestierung beweist die Authentizität des Authentifikators während der Registrierung. Die Assertion beweist die Anwesenheit des Benutzers und den Besitz des privaten Schlüssels während der Authentifizierung. Für die meisten Anwendungen ist eine starke Attestierung nach der Erstregistrierung möglicherweise nicht unbedingt erforderlich, aber eine robuste Assertionsüberprüfung ist es immer.
• Benutzerverifizierung: Ermutigen oder erzwingen Sie die Benutzerverifizierung (z.B. PIN, Biometrie) während der Authentifizierung. Dies stellt sicher, dass der Benutzer anwesend und nicht nur ein böswilliger Akteur mit Zugriff auf den physischen Authentifikator ist.
• Anmeldeinformationsverwaltung: Bieten Sie Benutzern eine Schnittstelle zur Verwaltung ihrer registrierten Authentifikatoren (neue hinzufügen, alte widerrufen).
• Fallback-Optionen: Obwohl WebAuthn leistungsstark ist, sollten Sie immer sichere Fallback-Authentifizierungsmethoden für Benutzer bereithalten, die ihren Authentifikator verlieren oder auf Probleme stoßen könnten.

Wie Didit bei der Optimierung des sicheren Onboardings hilft

Didit, als KI-native, entwicklerorientierte Identitätsplattform, ist einzigartig positioniert, um WebAuthn-Implementierungen zu ergänzen und zu verbessern, insbesondere während der kritischen Onboarding-Phase. Während WebAuthn die Anmeldung sichert, stellt Didit sicher, dass die Person hinter der Anmeldung tatsächlich die ist, die sie vorgibt zu sein, und die Compliance-Anforderungen erfüllt.

Unsere modulare Architektur ermöglicht es Ihnen, robuste Identitätsprüfungen nahtlos in Ihre WebAuthn-Onboarding-Workflows zu integrieren. Stellen Sie sich einen Benutzer vor, der sich anmeldet: Nachdem er grundlegende Details angegeben hat, kann Didit eine umfassende ID-Verifizierung mithilfe von OCR, MRZ oder Barcodes durchführen, um seinen amtlichen Ausweis zu authentifizieren. Darauf folgen sofort passive und aktive Lebenderkennungstests, um zu bestätigen, dass es sich um eine echte, lebende Person und nicht um einen Deepfake oder Betrüger handelt. Für Anwendungen, die eine höhere Sicherheit erfordern, kann die NFC-Verifizierung mit ePassports oder eIDs verwendet werden.

Darüber hinaus stellt Didits AML-Screening und -Überwachung sicher, dass Ihre neuen Benutzer die regulatorischen Standards einhalten und Finanzkriminalität von Anfang an verhindert wird. Unsere Proof of Address-Lösung überprüft ihre Wohnsitzdaten, und die Telefon- und E-Mail-Verifizierung fügt eine zusätzliche Ebene der Kontosicherheit hinzu. All diese Prüfungen können über unsere No-Code Business Console orchestriert werden, sodass Sie ausgeklügelte Workflows entwerfen können, die vor oder nach der WebAuthn-Registrierung ausgelöst werden.

Didits Vorteile liegen klar auf der Hand: Kostenloses Core-KYC ermöglicht es Ihnen, Identitäten ohne Vorabkosten zu verifizieren. Unser KI-nativer Ansatz gewährleistet hohe Genauigkeit und Betrugserkennung, während unser modulares Design bedeutet, dass Sie nur für das bezahlen, was Sie benötigen, ohne Einrichtungsgebühren. Durch die Integration von Didit können Sie ein wirklich sicheres, konformes und benutzerfreundliches Onboarding-Erlebnis schaffen, das das Beste aus passwortloser Authentifizierung und umfassender Identitätsprüfung nutzt.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie mit der kostenlosen Verifizierung von Identitäten mit Didits kostenlosem Tarif.