Mit der Einführung von iOS 16, iPadOS 16 und macOS Ventura müssen Nutzer künftig immer weniger Passwörter eingeben. Mit einer neuen Funktion namens „PassKey“ soll das Einloggen in Webseiten und Apps schneller und sicherer werden, versprach Apple auf der WWDC Developer Conference. In einer der Sessions für Entwickler wurde klar, wie genau es sein wird.
PassKey basiert auf dem erweiterten FIDO-Standard, den Apple mit Google und Microsoft verbündet hat. Wenn der Benutzer ein Konto erstellt, wird im Betriebssystem ein Paar kryptografischer Schlüssel erstellt. Diese Schlüssel werden für jedes Gerät und für jedes Konto einzeln generiert. Auf dem Server des Zugangsanbieters wird ein Schlüssel, der öffentliche Schlüssel, gespeichert. Der zweite Schlüssel, der private Schlüssel, verbleibt auf dem Gerät und wird dem Server niemals offenbart.
Dies wird zukünftig der Login sein
Anhand einer Demo-App hat Apple Ihnen gezeigt, wie Sie mit Passkey ein Konto erstellen.
(Bild: Apple)
Die Anmeldung ähnelt dem Entsperren Ihres Apple-Geräts: Der Benutzer wird durch Face ID, Touch ID oder ein Passwort identifiziert. Im Hintergrund sendet der Server eine sogenannte Challenge an das Gerät. Ist die biometrische Bestätigung erfolgreich, generiert das Gerät aus dem privaten Schlüssel eine digitale Signatur, die an den Server übermittelt wird. Sobald der Vergleich durchgeführt wurde, meldet sich der Benutzer an. Dies ist im Video der WWDC-Session zu sehen.
Laut Apple sorgt ein passwortloses Login dafür, dass Phishing-Angriffe, also der Zugriff auf Passwörter durch manipulierte oder gefälschte Webseiten, nicht mehr möglich sind. Darüber hinaus verwenden Benutzer häufig wiederkehrende oder einfache Passwörter. Auch der Diebstahl von Serverdaten ist mit Passkey unkritisch, da öffentliche Schlüssel nicht zur Anmeldung verwendet werden können.
Automatisch auf allen Geräten
Passwörter werden mithilfe des iCloud-Schlüsselbunds auf allen Benutzergeräten von Apple synchronisiert. Es können auch Geräte anderer Hersteller verwendet werden. In diesem Fall würde ein Windows- oder Android-Gerät einen mit dem iPhone oder iPad fotografierten QR-Code anzeigen. Stimmen Face ID oder Touch ID überein, bestätigt das iPhone dem Server, dass die Anmeldeanfrage legitim ist.
Laut Apple gut versichert
Apple weist darauf hin, dass iCloud Keychain Ende-zu-Ende verschlüsselt ist und starke kryptografische Schlüssel verwendet, die Apple unbekannt sind. Darüber hinaus gibt es ein Limit für eingeloggte Versuche, um Brute-Force-Angriffe zu verhindern.
Wenn ein Benutzer jedoch alle seine Apple-Geräte verliert, besteht die Möglichkeit, sie wiederherzustellen. Dazu muss sich der Benutzer mit seinem iCloud-Benutzernamen und -Passwort anmelden und auf eine SMS antworten. Außerdem muss das Gerätepasswort eingegeben werden. Dafür gibt es nur 10 Versuche. Zusätzlich besteht die Möglichkeit, einen Notfallkontakt einzurichten, sodass der Zugang auch wiederhergestellt werden kann, wenn Sie Ihr Apple-ID-Passwort und Ihr Gerätepasswort vergessen haben.
iOS 16, iPadOS 16 und macOS Ventura wurden auf der WWDC Developer Conference vorgestellt und befinden sich derzeit in der Beta-Phase. Die finalen Versionen sollen laut Apple im Herbst erscheinen.
(mki)
Auf der Homepage