Sicher ist es dir auch schon aufgefallen, dass du nahezu überall gezwungen bist, ein Benutzerkonto mit – selbstverständlich – sicheren Passwort anzulegen. Auch wenn du nur eine App testen willst oder Unterstützung für deine Hard- oder Software benötigst, ist dies mittlerweile erforderlich – vom Onlineshopping ganz zu schweigen, das auch nicht immer ohne ein Erstellen eines eigenen Benutzerkontos möglich ist. Selbst für versierte und langjährige Anwenderinnen und Anwender ist es nicht immer einfach, hierbei auch wirklich alle erforderlichen Sicherheitsmaßnahmen zu beachten.
Daher kann es schon einmal vorkommen, dass man aus Bequemlichkeit, weil es schnell gehen muss oder weil du Erstanwenderin oder Erstanwender bist, beim Anlegen neuer Benutzerkonten viel zu leicht zu erratende Kennwörter benutzt oder diese „recycelst“ – also mehrmals vergibst. Bei derartigen einfachen Passwörtern handelt sich meist um Begriffe aus dem Lexikon, Namen oder bekannte Zahlenfolgen wie „123456“. Es soll sogar Anwenderinnen und Anwender geben, die „Passwort“ als Passwort angeben.
Diese Sorglosigkeit kann allerdings mehr oder minder ernste Folgen haben. Dies können bloß Unannehmlichkeiten, finanzielle Verluste oder gar Identitätsdiebstahl sein. Sind Benutzerkonten nämlich nur unzureichend gesichert, dann ist es für Betrüger und Hacker ein leichtes diese auszuforschen oder zu kapern. Zwar gibt es mittlerweile einige Möglichkeiten, die besonders wichtigen Benutzerkonten zusätzlich abzusichern, für viele Nutzende sind diese in der Anwendung aber umständlich und zeitraubend oder mit weiteren Kosten verbunden. Hierbei handelt es sich um Verwendung besonders aufwendiger Kennwörter, die 2-Faktor-Authentifizierung oder den Einsatz eines zusätzlichen Passwortmanagers.
Als Apple-Anwenderin oder Apple-Anwender musst du dir um das Sichern deiner Passkeys keine großen Gedanken machen. Diese werden automatisch im iCloud-Schlüsselbund verwahrt. Andere Personen oder Apple haben keinen Zugriff darauf. Die Verwendung eines besonders sicheren FIDO2-Sticks ist unseres Erachtens für die meisten Anwenderinnen und Anwender nicht erforderlich. Auch wenn dein iPhone oder iPad verloren gehen sollte, sind die Passkeys dennoch im iCloud-Schlüsselbund verwahrt – vorausgesetzt dein iPhone oder iPad sind durch deine biometrischen Daten oder einen Code verschlüsselt und gesperrt.
Die FIDO-Alliance – eine Antwort auf die Inflation der Passwörter
Bereits 2012 haben sich namhafte IT-Firmen und Institutionen in der sogenannten FIDO (Fast Identity Online)-Alliance zusammen getan, um diesen unter Umständen sogar existenzbedrohenden Problemen durch gekaperte Benutzerkonten, Herr zu werden. Hierbei handelt es sich unter anderem um Google, Microsoft, das BSI (Bundesamt für Sicherheit in der Informationstechnik) sowie Apple. Aus den hochtrabenden Plänen, mit einem neuen passwortlosen Authentifizierungsverfahren den Kennwörtern und den damit einhergehenden Sicherheitsproblemen ein Ende zu bereiten, wurde allerdings so schnell nichts. Auch das überarbeitete FIDO2-Verfahren setzte sich nicht durch. Es krankt hauptsächlich daran, dass zusätzlich Hardware erforderlich ist, und zwar in Form eines FIDO2-Sticks. Zudem unterstützen FIDO2 nur wenige Anbieter.
Aus FIDO2 werden Passkeys
Im Jahre 2022 wendete sich schließlich das Blatt. Mit dem zu Passkeys weiterentwickelten FIDO2-Authentifizierungsverfahren fiel die Pflicht zur Verwendung eines FIDO2-Sticks gänzlich weg. Die Aufgabe des FIDO2-Sticks kann fortan auch von bereits vorhandener Hard- und Software übernommen werden. Dies kann ein Computer sein oder ein Mobiltelefon. Des Weiteren übernehmen auch einige Passwortmanager diese Aufgabe.
Die bestmögliche Sicherheit ohne die Verwendung von Passkeys oder einem FIDO2-Stick ist die Verwendung eines Passwortmanagers, der zufällige und sichere Kennwörter erstellen kann. Diese verwendest du dann statt deiner oftmals zu einfachen „Eigenkreationen“. Zudem sind sie im Passwortmanager oder im iCloud-Schlüsselbund gut aufgehoben und werden bereitgestellt, wenn du dich anmelden willst und davor authentifizierst. Außerdem solltest du die 2-Faktor-Authentifizierung aktivieren. Damit musst du aber jeden neuen Anmeldeversuch absegnen, indem du etwa einen Code als SMS zugeschickt bekommst und diesen dann eingibst. Dadurch ist in der Regel gewährleistet, dass sich niemand ohne dein Wissen und deine Erlaubnis bei einem deiner Benutzerkonten anmelden kann.
Was versteht man unter einem Passkey?
Die Anmeldung über einen sogenannten Passkey findet über ein kryptografisches, also „geheimes“ oder verschlüsseltes, Verfahren statt. Bei der Einrichtung wird ein öffentlicher und ein privater Schlüssel, der Passkey, generiert. Der öffentliche Schlüssel wird bei der Webseite oder dem Onlinedienst verwahrt, der private Passkey verbleibt bei dir. Wenn du dich nach der Einrichtung dann – mit diesem Passkey – anmeldest, wird im Hintergrund eine kryptografische Aufgabe gestellt, die nur mithilfe des korrekten geheimen privaten Schlüssel, dem Passkey, gelöst werden kann. Nur wenn die Lösung korrekt ist, erhältst du Zugriff. Von alldem bekommst du als Anwenderin oder Anwender übrigens gar nichts mit.
Der „Authentikator“, dabei handelt es sich um Hardware oder Software, über die du dich dann nach der Generierung des Schlüsselpaars an der Webseite per Passkey authentifizierst, kann ein FIDO2-Stick sein, dein Smartphone, ein Computer oder auch Passwortmanager. Ursprünglich war geplant, dass hierzu in jedem Fall ein FIDO2-Stick, auf dem die privaten Schlüssel gesichert sind, notwendig sind. Dies ist tatsächlich das sicherste Verfahren. Mittlerweile kann aber auch ein Smartphone als Authentikator verwendet werden. In diesem Fall musst du bei der Anmeldung, mittels des authentifizierten Smartphones, einen QR-Code auf der Webseite scannen und erhalten dann auch am Computer den Zugriff. Bei Google oder Apple werden deine Passkeys schließlich – selbstverständlich gut verschlüsselt und von anderen oder Apple nicht auszulesen – in deiner Cloud verwahrt.
Du benötigst kein Passwort mehr, das unter Umständen zu unsicher, zu kurz oder leicht zu erraten ist. Auch die Möglichkeit dieses zu „vergessen“ ist beim Passkey ausgeschlossen. Des Weiteren können Passkeys in der Regel nicht durch „Phishing“ oder Datendiebstahl entwendet werden. Auch das „Recycling“, also die Wiederverwendung von Passkeys, ist nicht möglich. Du erhältst für jede Webseite oder jeden Onlinedienst einen gesonderten Passkey, der auch nur dort funktioniert. Und nicht zuletzt musst du auch keine Passwörter mehr erfinden.
Wenn du einen Passkey zurücksetzen willst, erledigst du dies auf der entsprechenden Webseite selbst. Dazu meldest du dich mit deinem bisherigen Nutzernamen sowie Kennwort an. Bestätige dann die Anmeldung durch die "2-Faktor-Authentifizierung." Diese sollte in jedem Fall auf jeder Website oder beim Onlinedienst aktiviert sein. Anschließend kannst du den Passkey entfernen, er ist danach nicht mehr gültig, auch wenn er noch im Passwortmanager vorhanden sein sollte. Dort, beispielsweise in der Schlüsselbund- oder neuen Passwörter-App (ab macOS Sequoia, iPadOS 18 oder iOS 18), entfernst du den alten Passkey dann ebenfalls.
Passkeys bei Apple
Als Apple-Anwenderin oder Apple-Anwender hast du es besonders einfach statt Passwörtern künftig Passkeys nutzen zu können. Denn diese werden, nachdem sie neu angelegt wurden, automatisch im Schlüsselbund von iCloud abgelegt. Du kannst dich also im Prinzip anschließend auf jedem deiner Geräte, ob Mac, iPhone oder iPad per Passkey bei Webseiten oder Online-Dienste anmelden.
Voraussetzungen
Damit das klappt, müssen aber die folgenden Voraussetzungen erfüllt sein: Die Betriebsysteme sowie die Web-Browser deiner Apple-Hardware sind auf dem aktuellsten Stand (mindestens macOS 13, iOS 16 und iPadOS 16). Du besitzt eine Apple-ID und hast dich damit auf dem Gerät angemeldet. Die Zwei-Faktor-Authentifizierung deiner Apple-ID ist aktiviert. Deine Apple-ID ist mittels biometrischer Daten (Face-ID, Touch-ID) und zusätzlich einem Code abgesichert. Und zudem benutzt du den iCloud-Schlüsselbund, in dem die Passkeys gespeichert und abgerufen werden können. Sind diese Voraussetzungen erfüllt, kannst du, sofern die Webseite oder der Onlinedienst das unterstützt, einen Passkey dafür anlegen und dich auf diese sichere Weise dort anmelden.
So richtest du einen Passkey ein
Im Workshop zeigen wir dir, wie du einen Passkey erstellst und dich damit anmelden kannst. Das Vorgehen ist auf vielen Webseiten ähnlich wie auf der erwähnten Beispielwebseite.
Eine Liste von Webseiten und Onlinediensten, welche die Anmeldung mittels Passkey anbieten, findest du unter der folgenden URL: www.passkeys.io/who-supports-passkeys]. Diese Liste erhebt keinen Anspruch auf Vollständigkeit.
Wenn du den iCloud-Schlüsselbund nutzt, dann werden deine Passkeys sicher in der Cloud verwahrt. Außerdem sind diese in deinem Backup eingeschlossen, sofern es verschlüsselt gesichert wird. Die Sicherung kann über TimeMachine auf einem externen Datenträger oder die Geräte-App (bei iPadOS oder iOS) auf deinem Mac erfolgen.
Diskutiere mit!
Hier kannst du den Artikel "Passkeys statt Passwörter" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Die Kommentare für diesen Artikel sind geschlossen.