DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die neue Methode setzt voraus, dass die User bereit sind, sich mittels Gesichtserkennung oder Fingerabdruck-Scanner auf ihrem Gerät zu authentifizieren.
Die neue Methode setzt voraus, dass die User bereit sind, sich mittels Gesichtserkennung oder Fingerabdruck-Scanner auf ihrem Gerät zu authentifizieren.
screenshot: apple.com
Analyse

Apple killt das Passwort

Dank ausgeklügelter Sicherheitsmechanismen sollen wir in Zukunft keine Passwörter mehr eingeben auf unseren Smartphones und Computern. Nun hat Apple seine fast pfannenfertige Lösung vorgestellt.
12.06.2021, 12:29

Apple arbeitet an einer Revolution, was die Sicherheit von hunderten Millionen, ja Milliarden Usern betrifft.

Die Kalifornier wollen nicht weniger als das Passwort abschaffen. Und sie sind diesem Ziel, das auch der grosse Konkurrent Google verfolgt, schon erstaunlich nah. Das zeigte eine Präsentation diese Woche an der WWDC, Apples (erneut) nur virtuell abgehaltenen Entwicklerkonferenz.

Jenseits der Passwörter

Am Mittwochabend (Schweizer Zeit) gab Apple anlässlich der Entwicklerkonferenz WWDC eine Demo. Dies für die weltweit vor den Bildschirmen versammelten IT-Fachleute.

Corona-bedingt fand auch die diesjährige Zusammenkunft von Apples Entwicklergemeinde virtuell statt. Garrett Davidson, Authentication Experience Engineer, hielt einen knapp halbstündigen Vortrag. Das Video ist auf der Apple-Website für Interessierte verfügbar (siehe Quellen).

Der Titel seiner Präsentation lautete:

«Move beyond passwords»

Der Apple-Ingenieur erklärt im Video eine neue Funktion namens «Passkeys in iCloud Keychain».

Klingt vielleicht kompliziert, ist aber verblüffend einfach. Wie es im Detail funktioniert, erfährst du weiter unten.

Im Wesentlichen sind «Passkeys» Paare aus privaten und öffentlichen Schlüsseln, die auf dem branchenweit anerkannten Standard WebAuthn basieren. Sie funktionieren im Grunde wie ein Hardware-Sicherheitsschlüssel, werden aber auf dem Gerät und im iCloud-Schlüsselbund gespeichert.

Die neue Authentifizierungsfunktion steht in iOS 15 und macOS Monterey zum Testen zur Verfügung, wie die Entwicklergemeinde am Mittwochabend erfuhr. Sie sei aber noch nicht bereit für eine vollständige Veröffentlichung.

Sicherheitsschlüssel statt Passwörter

Eine der stärksten Sicherheitsoptionen, die es heute gibt, sind Sicherheitsschlüssel, die in Form eines Hardware-Dongles oder Anhängers verwendet werden. Diesen «Schlüssel» führt man mit sich und steckt ihn – um sich auf einem Gerät anzumelden – in den passenden Anschluss. Dies kann ein USB-Port sein, oder auch Apples «Lightning»-Port.

Solche Dongles bieten viel mehr Sicherheit als nur ein Passwort, sie können aber verloren gehen.
Solche Dongles bieten viel mehr Sicherheit als nur ein Passwort, sie können aber verloren gehen.
screenshot: apple.com

Hardware-Sicherheitsschlüssel werden vor allem bei Hochsicherheits-Anwendungen verwendet und etwa auch, um digitale Schätze wie Kryptowährungen zu schützen.

Sie basieren auf dem Web-Authentifizierungs- oder WebAuthn-Standard, der vom World Wide Web Consortium (W3C) veröffentlicht wurde und allen offen steht.

Die meisten Hardware-Schlüssel, die es auch bei Schweizer Online-Händlern wie Brack oder Digitec zu kaufen gibt, seien «nach einer anfänglichen Lernkurve ziemlich einfach zu benutzen», betonte der Apple-Ingenieur in seinem Vortrag. Und sie seien viel sicherer als nur ein Passwort.

Die hohe Sicherheit resultiert aus der grundlegend anderen Funktionsweise im Vergleich zu den Login-Verfahren, bei denen es Benutzernamen und Passwort braucht.

  • Um sich mittels Passwort anzumelden, muss man es in ein Eingabefeld eingeben, worauf es verschleiert wird (die Fachleute sprechen von «Hashing plus Salting»).
  • Das verschleierte Password («Salted Hash» genannt) wird dann zwecks Überprüfung an den Server übermittelt.
  • Dazu Garret: «Jetzt haben sowohl Sie als auch der Server eine Kopie des Geheimnisses, auch wenn die Kopie des Servers verschleiert ist, und Sie sind beide gleichermassen für den Schutz dieses Geheimnisses verantwortlich.»

Genau diese geteilten Geheimnisse, die in falsche Hände fallen können, ob durch Phishing, oder Hackerangriffe, braucht's beim «Public-Key-Verfahren» nicht. Und das geht so:

  • Das Gerät des Users erstellt statt eines Passworts ein Schlüsselpaar – das sind sehr lange Zeichenfolgen.
  • Einer dieser Schlüssel ist öffentlich; genauso öffentlich wie der Nutzername. Er kann mit jedem und jeder geteilt werden und ist nicht geheim.
  • Der andere Schlüssel ist privat. Dieser private Schlüssel ist ein Geheimnis und wird vom Gerät geschützt.
  • Das Gerät gibt diesen Schlüssel niemals an andere Personen weiter, nicht einmal an den Server. Im Falle der hier vorgestellten Lösung von Apple wird der Schlüssel (Passkey) auch im iCloud-Schlüsselbund gespeichert.

Statt auf spezieller Hardware (wie einem USB-Stick) speichert Apple den Schlüssel auf dem Gerät des Users, sowie – mit Ende-zu-Ende-Verschlüsselung – in der iCloud.

Wie meldet man sich an?

Für die Nutzerinnen und Nutzer bieten Passkeys eine einfache und sichere Alternative zu Passwörtern. Sie können sich mittels Gesichtserkennung (Face ID) oder Fingerabdruck (Touch ID) authentifizieren, um sich automatisch anzumelden.

Dies funktioniere auch beim ersten Besuch auf einer Website extrem einfach, sagte der Apple-Ingenieur.

Man gibt einen Benutzernamen ein und tippt auf Anmelden, dann fragt das System, ob man einen «Passkey» im eigenen iCloud-Schlüsselbund speichern will. Wenn man auf Weiter tippt, wird automatisch der Passkey erstellt und verschlüsselt im iCloud-Schlüsselbund gespeichert.
Man gibt einen Benutzernamen ein und tippt auf Anmelden, dann fragt das System, ob man einen «Passkey» im eigenen iCloud-Schlüsselbund speichern will. Wenn man auf Weiter tippt, wird automatisch der Passkey erstellt und verschlüsselt im iCloud-Schlüsselbund gespeichert.
screenshot: apple.com

Voraussetzung ist, dass die Technologie durch die Webseiten-Betreiber und Dienste-Anbieter implementiert wurde.

Auch später, wenn man sich erneut anmelden will, sendet man dem Server keine geheimen Daten. Stattdessen beweist man dem virtuellen Gegenüber, dass es sich tatsächlich um das eigene Konto handelt. Dies tut man, indem man beweist, dass das eigene Gerät den privaten Schlüssel kennt, der mit dem öffentlichen Schlüssel des Kontos verknüpft ist.

screenshot: apple.com

Wenn sich ein User, bzw. dessen Smartphone oder Computer (links) bei einem bestimmten Server (rechts) anmelden will, müssen keine «Geheimnisse» übertragen werden. Vielmehr schickt der Server auf das Anmelde-Begehren hin eine sogenannte «Challenge» (Herausforderung) zurück.

Das Gerät hat den privaten Schlüssel, also nimmt es diese Herausforderung an und tut etwas, das «Signieren» der Herausforderung genannt wird. Nur dieser eine private Schlüssel kann eine gültige Signatur für das Konto erzeugen. Diese Signatur wird dann an den Server zurückgeschickt.

Der Server hat ja – wie wir oben gesehen haben – bereits den öffentlichen Schlüssel, sodass er diese Signatur mit diesem gespeicherten öffentlichen Schlüssel abgleichen kann.

Wenn es passt, ist man drin.

Anmerkung: Das Public-Key-Verfahren kommt auch bei den fälschungssicheren Covid-Zertifikaten zum Einsatz. So speichert zum Beispiel die Schweiz ihre privaten Schlüssel in sogenannten Hardware-Sicherheits-Modulen (HSM). Das sind quasi die Hardwareschlüssel, die im Rechenzentrum des Bundesamts für Informatik und Telekommunikation lagern. Mit diesen privaten Schlüsseln werden die Covid-Zertifikate signiert. Die öffentlichen Schlüssel werden unter anderem dem Server der Europäischen Union (EU) in Brüssel geschickt. Damit können die vom Bund (mit dem privaten Schlüssel) signierten Zertifikate später auf ihre Echtheit überprüft werden.

Wozu braucht's die iCloud?

Mithilfe des iCloud-Schlüsselbunds können Apple-User schon heute ihre Passwörter und andere Sicherheitsinformationen auf allen Geräten synchron halten. Wichtig zu wissen: Die Daten sind durch Ende-zu-Ende-Verschlüsselung geschützt, sowohl bei der Übertragung im Internet als auch in den Rechenzentren. Apple kann sie nicht entschlüsseln. Und wenn man den Sicherheitscode vergisst, kann man nach erfolglosen Rettungsversuchen nicht mehr auf den Schlüsselbund zugreifen und dieser wird von den Servern gelöscht.

In ihrem iCloud-Schlüsselbund sollen Apple-User in Zukunft auch die «Passkeys» für das passwortfreie Anmelden speichern können. Apple-Ingenieur Garret betonte:

«Genau wie alles andere in Ihrem iCloud-Schlüsselbund sind sie Ende-zu-Ende-verschlüsselt, sodass nicht einmal Apple sie lesen kann. Ihre Geheimnisse sind Ihre Geheimnisse.»

In den meisten Fällen sei nur ein einziger Tipp oder Klick nötig, um sich anzumelden. Und diese Lösung sei dank der kombinierten Sicherheit von WebAuthn und dem iCloud-Schlüsselbund stärker als die meisten anderen Lösungen.

Passkeys im iCloud-Schlüsselbund bietet gegenüber herkömmlichen Anmeldeverfahren diverse Vorteile. Laut Apple ist das Sicherheits-Level höher als bei Passwort-Manager und bei zweistufigen Verfahren (Passwort + Einmalpasswort). Der Vorteil gegenüber Hardware-Sicherheitsschlüsseln: Die virtuellen Passkeys können nicht vergessen oder verloren gehen.
Passkeys im iCloud-Schlüsselbund bietet gegenüber herkömmlichen Anmeldeverfahren diverse Vorteile. Laut Apple ist das Sicherheits-Level höher als bei Passwort-Manager und bei zweistufigen Verfahren (Passwort + Einmalpasswort). Der Vorteil gegenüber Hardware-Sicherheitsschlüsseln: Die virtuellen Passkeys können nicht vergessen oder verloren gehen.
screenshot: apple.com

Wann gibt's das fürs iPhone und Co.?

Passkeys im iCloud-Schlüsselbund sind im Prinzip überall nutzbar, wo WebAuthn unterstützt wird. Derzeit seien das Browser und Apps auf Apples Plattformen, schreibt der US-Blog Apple Insider. Bis zur vollständigen Einführung des Standards werde es wohl noch einige Jahre dauern.

Passkeys sind zwar in iOS 15 und macOS Monterey integriert und diese neuen Betriebssysteme wird Apple gemäss Ankündigung im Herbst 2020 veröffentlichen. Jedoch müssen wir «normalen» User uns noch etwas gedulden. Vorläufig ist das neue Verfahren nur für Entwickler zum Testen gedacht. Apple sagt, dass das Testen der Funktion in bestehenden Apps und Arbeitsabläufen nur der erste Schritt einer «mehrjährigen Anstrengung beim Ersetzen von Passwörtern» sei.

Gute Nachrichten für Android-User: Apple ist natürlich nicht das einzige Unternehmen, das auf eine Zukunft ohne Passwörter hinarbeitet. So hat Google auf seiner I/O-Konferenz im Mai eine Reihe von neuen Datenschutz- und Sicherheitsfunktionen vorgestellt, die Passwörter ersetzen sollen.

Google nennt das Feature «Smart Lock for Passwords on Android» – das Video ist witzig gemacht, versprochen 😉

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Apple und sein Logo

1 / 14
Apple und sein Logo
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Wenn Google Schweizer Memes vorliest ...

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel