Apple neue Methode

Eigentlich stehen aktuell dem Nutzer schon vier verschiedene Methoden zur Verfügung, wie er Passwörter verwalten kann. Kaum noch zu empfehlen ist es, sich ein Passwort selbst auszudenken oder gar mehrfach zu verwenden. Durch immer wieder auftretende Passwort-Leaks und Phishing haben herkömmliche Passwörter ihre Schwächen gezeigt. Das betrifft aber im Prinzip alle Passwörter, auch wenn man diese über einen Passwortverwalter organisiert, der automatisch sichere Passwörter erstellt. Als dritte Lösung gibt es die Authentifizierung durch ein 2-Faktor-System wie Google Authenticator. Statt feste Anmeldedaten wie Benutzername und Passwort auszutauschen, werden hier für jede Anmeldung eigene Verifikations-Codes verlangt. So erhält auch macOS Monterey erstmals ein neues Authentifizierungssystem für die zusätzliche Absicherung von Anmeldungen. Bei Apples neuem integrierten System werden diese Codes sogar automatisch ausgefüllt . Face-ID oder Touch-ID sorgen dann für die schnelle Bestätigung, im Hintergrund werden die Daten automatisch eingegeben. Allerdings sind selbst diese auch als 2FA bezeichneten Systeme nicht völlig sicher und umständlich. Eine vierte Lösung ist die Auslagerung der Anmeldung an ein System wie „ Anmelden mit Apple “, auch Federated Identity genannt. Apple arbeitet aber schon an einem ganz neuen Konzept, das in den nächsten Jahren herkömmliche Passwörter komplett ersetzen kann.

Sicherheitsschlüssel statt Anmeldedaten

Es geht nämlich noch sicherer: Auch bei den neuesten Lösungen müssen schließlich Daten zwischen Nutzer und Dienst geteilt werden. Statt der immer noch angreifbaren Anmeldedaten kann man dies aber umgehen, indem man für die Anmeldung auf Sicherheitsschlüssel setzt: Statt Anmeldedaten, die sowohl bei einem Nutzer als auch dem Dienst gespeichert werden müssen, erhält der Nutzer einen privaten Schlüssel. Das Apple-Gerät erzeugt dabei einen öffentlichen und einen privaten Schlüssel, der Dienst bekommt nur den öffentlichen Schlüssel, der etwa für Hacker wertlos ist. Nur mit dem privaten Schlüssel ist aber eine Anmeldung (sog. Private Key Challenge) möglich.

Challenge: Nur jemand mit dem privaten Schlüssel kann die Signatur liefern

© Apple

Apple setzt dabei nicht auf eine Eigenentwicklung, sondern den Industriestandard WebAuthn. Dieser ist nicht neu und wird in Safari bereits ab iOS 14.5 unterstützt, auch in Big Sur ist er schon nutzbar. Eine Möglichkeit, wie man diesen Standard bereits nutzen kann, sind Hardware-Lösungen wie ein Yubi-key, der per USB oder Lightning angesteckt wird und so auch höchste Sicherheitsstandards von Unternehmen erfüllt. Neu ist aber die Unterstützung dieser Schlüsseldateien für den iCloud Schlüsselbund, die noch in der Beta-Phase ist. Apple führt dazu die neue Art „Passkey“ ein, eine eigene Hardware ist nicht erforderlich. Die Daten werden per iCloud übertragen und sollen – automatisch abgeglichen – auf allen Geräten zur Verfügung stehen — und werden auch in einem Backup mit gesichert. Ein Vorteil ist auch der Bedienkomfort: Eine Anmeldung ist dank der Schlüsseldaten mit einem Klick oder Antippen möglich. Die Funktion steht erstmals ab iOS 15 und Monterey zur Verfügung, ist allerdings noch nicht für Produktivsysteme gedacht. So muss man es für Testzwecke erst aktivieren: unter macOS Monterey über das Developer-Menü von Safari, unter iOS über die Entwicklereinstellungen.