Menü
Mac & i

Anmelden ohne Passwort: Apple testet WebAuthn im Browser Safari

Durch Unterstützung des Web-Standards wird ein Einloggen auf Webseiten ohne Passwort möglich – etwa per USB-Stick oder über biometrische Verfahren.

Von
vorlesen Drucken Kommentare lesen
WebAuthn Browser

(Bild: FIDO)

Als letzter großer Browser-Hersteller hat Apple Unterstützung für den neuen Standard WebAuthentication in Aussicht gestellt. Die jüngste Vorabversion des Browsers Safari umfasst WebAuthn als "experimentelle Funktion": Nutzer können sich damit auf bestimmten Webseiten ohne Passwort anmelden, zur Authentifizierung dient stattdessen ein externes Gerät oder ein integrierter biometrischer Scanner, beispielsweise die Fingerabdruckerfassung Touch ID auf bestimmten Macs.

Apple testet WebAuthentication bislang in der macOS-Version von Safari (Technology Preview Release 71) und sieht dabei im Moment nur eine Anmeldung über USB-basierte CTAP2-Geräte vor. Es ist aber zu vermuten, dass die biometrische Erfassung und eine Authentifizierung über externe Geräte wie Smartphones und Smartwatches nachgereicht wird. Die in der Safari Technology Preview bereits integrierten Funktionen landen gewöhnlich auch in der für die Allgemeinheit gedachten Version des Browsers – sowohl auf iPhone, iPad als auch Mac.

Google, Mozilla und Microsoft haben bereits im April die Integration von WebAuthn in die hauseigenen Browser zugesichert, in Chrome und Firefox ist die Schnittstelle inzwischen integriert – mit der Beta von Chrome 70 wird auch Touch ID in macOS zur Anmeldung per Fingerabdruck berücksichtigt. Apple ist Mitglied der "Web Authentication Working Group", hat bislang aber nicht öffentlich bestätigt, ob Safari WebAuthn-Unterstützung erhalten soll.

Safari ist Apples auf iPhone, iPad und Mac vorinstallierter Browser.

Bei Verwendung von Apples iCloud-Schlüsselbund können sich Safari-Nutzer längst bequem bei Webseiten und in Apps biometrisch anmelden, ohne sich ihre Passwörter merken zu müssen.

Allerdings setzt das System im Unterschied zu WebAuthn weiterhin auf die klassische Kombination aus Benutzername und Passwort. Die hinterlegten Zugangsdaten werden also weiterhin zur Anmeldung an den jeweiligen Dienst übermittelt – und können dort einem Einbruch oder Datenleck zum Opfer fallen. (lbe)