Diskussion:WebAuthn

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Überarbeiten[Quelltext bearbeiten]

Letzter Kommentar: vor 4 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Der Artikel ist derzeit nicht allgemeinverständlich geschrieben. Wie das Verfahren auf Anwenderseite funktioniert bleibt unklar, da offenbar weder biometrische Faktoren noch Kennwörter benötigt werden (vgl. "Die einfache Nutzung ohne weitere Faktoren (zum Beispiel biometrische Identifikation) kommt dabei ohne Kennwörter aus."). Erwähnt wird lediglich ein Hardware-Authentifikator. Es bleibt aber unklar, wie sich dessen Funktionalität von einem einfachen Passwort unterscheidet. Der Link auf Agnostizismus hilft im Zusammenhang mit dem Thema nicht weiter. Tut mir leid. Ich bin nicht vom Fach. Vielleicht hilft der Artikel Informatikern ja weiter. Ich bin nach der Lektüre leider so schlau wie vorher. --37.24.79.154 11:41, 24. Jul. 2019 (CEST)Beantworten

Public-Key-Verfahren[Quelltext bearbeiten]

Letzter Kommentar: vor 2 Jahren2 Kommentare2 Personen sind an der Diskussion beteiligt

Dass hier „Public-Key-Verfahren“ zum Einsatz kommen, klingt für mich danach, dass man nicht aus den Fehlern von TLS gelernt hat, wo dubiose CAs beliebige Zertifikate ausgestellt haben. Oder verstehe ich da was falsch? (nicht signierter Beitrag von 92.211.61.87 (Diskussion) 16:25, 24. Aug. 2019 (CEST))Beantworten

Ja, du verstehst hier etwas falsch. PKI braucht auch nicht zwingend eine CA. FIDO2 nutzt aber auch keine klassische PKI sondern bloß assymmetrische Krypto. Kurzer Abriss: https://blog.hidglobal.com/2020/05/fido2-and-public-key-infrastructure-pki-explainedKörnerbrötchen 19:13, 3. Jan. 2022 (CET)Beantworten

Die "Technische Beschreibung" ist keine[Quelltext bearbeiten]

Letzter Kommentar: vor 2 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

In dem Artikel steht nur vage das "Was", aber eine technische Beschreibung muss auch das "Wie" enthalten. Das fehlt leider komplett. :-( --RokerHRO (Diskussion) 20:18, 5. Mai 2022 (CEST)Beantworten

WebAuthn ist kein API zwischen Client (WebBrowser) und einem Server[Quelltext bearbeiten]

Letzter Kommentar: vor 4 Monaten1 Kommentar1 Person ist an der Diskussion beteiligt

Der folgende (Teil-)satz ist IMHO nicht korrekt:

einer sich üblicherweise im Internet befindlichen Gegenstelle, auch als FIDO2-Server bezeichnet, welche WebAuthn zur Authentifizierung von Benutzern verwendet

Das WebAuthn API ist "nur" ein Browser-lokales JavaScript API, zwischen dem Browser und dem auf dem Browser laufenden JavaScript-code ("Relying Party JavaScript Application").

Das ist im Standard selbst korrekt dargestellt: https://www.w3.org/TR/webauthn-1/#api

Korrektur-Vorschlag:

und einer JavaScript Anwendung. Diese JavaScript Anwendung authentifiziert den Benutzer unter Benutzung der sich üblicherweise im Internet befindlichen Gegenstelle, auch als FIDO2-Server bezeichnet, und dem WebAuthn API im Browser.


Weiterhin:

  • Daher ist das Diagram auch nicht wirklich gut, oder besser gesagt: falsch.
  • WebAuthn ist also ein (in-process, JavaScript) API, kein protocol (over the wire).
  • Es gibt, so weit mir bekannt, keinen WebAuthn Protocol standard, zB auf basis von REST / HTTPS. Jeder implementiert das selbst.

--Stefan.vaillant (Diskussion) 17:56, 27. Jan. 2024 (CET)Beantworten

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Diskussion:WebAuthn&oldid=241607933