WebAuthn Sicherheit

Sicherheitshinweise

Wichtig für Production

Diese Implementierung verwendet vereinfachte Signaturverifizierung für Demonstrationszwecke. Für Production-Use MUSS eine vollständige kryptografische Signaturverifizierung implementiert werden!

Aktuelle Einschränkungen

Die aktuelle Implementierung:

• ✅ Verwendet echte WebAuthn API
• ✅ Generiert kryptografische Keypairs
• ✅ Speichert öffentliche Keys sicher in KV
• ⚠️ Verwendet vereinfachte Signaturverifizierung

Was fehlt für Production

Für Production-Einsatz sollte implementiert werden:

1. Vollständige Signaturverifizierung:

   • ECDSA oder RSA Signaturverifizierung
   • Verwendung von Libraries wie @webauthn/server

2. Attestation Verification:

   • Verifizierung der Authenticator-Attestation
   • Prüfung der Authenticator-Metadaten

3. Challenge-Management:

   • Zeitbasierte Challenge-Expiration
   • One-time-use Challenges

4. Counter-Tracking:

   • Sign-Count-Tracking zur Clone-Erkennung
   • Warnung bei abnormalen Counter-Werten

Empfohlene Libraries

Für Production empfehlen wir:

• @simplewebauthn/server - Vollständige Server-Implementierung
• @webauthn/server - Alternative Library

Best Practices

• Verwende HTTPS (WebAuthn erfordert sichere Ursprünge)
• Implementiere Challenge-Rotation
• Speichere Credentials sicher
• Tracke Sign-Counter für Clone-Erkennung
• Implementiere Rate Limiting

Weitere Informationen

• WebAuthn Spec
• WebAuthn Guide