WebAuthn

WebAuthn ist ein Public-Key-Verfahren. Dieses Verfahren beruht auf einer asymmetrischen Verschlüsselung, bei der der private Schlüssel sicher auf dem eigenen Gerät verwahrt wird. Hierfür kommen unter anderem spezielle USB-Sticks (z. B. YubiKey), der Sicherheitschip (TPM) des Computers oder das eigene Smartphone in Frage. Bei der Registrierung dieses Faktors wird der öffentliche Schlüssel bei der Gegenstelle hinterlegt. Damit wird beim Login eine Anfrage erzeugt, die nur mit Besitz des privaten Schlüssels richtig beantwortet werden kann. Die genaue Funktionsweise hängt dabei von der Wahl des eingesetzten Schlüsselspeichers ab.
Das Verfahren ist auch unter dem Namen FIDO2 oder Passkey bekannt geworden. Die Idee des Passkeys ist, dass man für jeden Dienst einen eigenen Passkey generiert, der zum Login verwendet wird. So ist ein gephishtes Passwort wirkungslos für einen Angreifer.