Diskussion:WebAuthn
Überarbeiten
[Quelltext bearbeiten]Der Artikel ist derzeit nicht allgemeinverständlich geschrieben. Wie das Verfahren auf Anwenderseite funktioniert bleibt unklar, da offenbar weder biometrische Faktoren noch Kennwörter benötigt werden (vgl. "Die einfache Nutzung ohne weitere Faktoren (zum Beispiel biometrische Identifikation) kommt dabei ohne Kennwörter aus."). Erwähnt wird lediglich ein Hardware-Authentifikator. Es bleibt aber unklar, wie sich dessen Funktionalität von einem einfachen Passwort unterscheidet. Der Link auf Agnostizismus hilft im Zusammenhang mit dem Thema nicht weiter. Tut mir leid. Ich bin nicht vom Fach. Vielleicht hilft der Artikel Informatikern ja weiter. Ich bin nach der Lektüre leider so schlau wie vorher. --37.24.79.154 11:41, 24. Jul. 2019 (CEST)
Public-Key-Verfahren
[Quelltext bearbeiten]Dass hier „Public-Key-Verfahren“ zum Einsatz kommen, klingt für mich danach, dass man nicht aus den Fehlern von TLS gelernt hat, wo dubiose CAs beliebige Zertifikate ausgestellt haben. Oder verstehe ich da was falsch? (nicht signierter Beitrag von 92.211.61.87 (Diskussion) 16:25, 24. Aug. 2019 (CEST))
- Ja, du verstehst hier etwas falsch. PKI braucht auch nicht zwingend eine CA. FIDO2 nutzt aber auch keine klassische PKI sondern bloß assymmetrische Krypto. Kurzer Abriss: https://blog.hidglobal.com/2020/05/fido2-and-public-key-infrastructure-pki-explained ← Körnerbrötchen ✉ 19:13, 3. Jan. 2022 (CET)
Die "Technische Beschreibung" ist keine
[Quelltext bearbeiten]In dem Artikel steht nur vage das "Was", aber eine technische Beschreibung muss auch das "Wie" enthalten. Das fehlt leider komplett. :-( --RokerHRO (Diskussion) 20:18, 5. Mai 2022 (CEST)
WebAuthn ist kein API zwischen Client (WebBrowser) und einem Server
[Quelltext bearbeiten]Der folgende (Teil-)satz ist IMHO nicht korrekt:
einer sich üblicherweise im Internet befindlichen Gegenstelle, auch als FIDO2-Server bezeichnet, welche WebAuthn zur Authentifizierung von Benutzern verwendet
Das WebAuthn API ist "nur" ein Browser-lokales JavaScript API, zwischen dem Browser und dem auf dem Browser laufenden JavaScript-code ("Relying Party JavaScript Application").
Das ist im Standard selbst korrekt dargestellt: https://www.w3.org/TR/webauthn-1/#api
Korrektur-Vorschlag:
und einer JavaScript Anwendung. Diese JavaScript Anwendung authentifiziert den Benutzer unter Benutzung der sich üblicherweise im Internet befindlichen Gegenstelle, auch als FIDO2-Server bezeichnet, und dem WebAuthn API im Browser.
Weiterhin:
- Daher ist das Diagram auch nicht wirklich gut, oder besser gesagt: falsch.
- WebAuthn ist also ein (in-process, JavaScript) API, kein protocol (over the wire).
- Es gibt, so weit mir bekannt, keinen WebAuthn Protocol standard, zB auf basis von REST / HTTPS. Jeder implementiert das selbst.