iOS 16 Passkeys: So könnt Ihr die Anmeldung ohne Passwort testen
Passkeys sollen die Zukunft des Log-ins sein und Passwörter obsolet machen. Wie das gehen soll? Zeigen wir Euch!
Mit iOS 16 führt Apple die Passkeys ein. Dahinter steckt eine neue Sicherheitslösung, die das klassische Passwort auf lange Sicht komplett ablösen könnte – und zwar nicht nur auf dem iPhone. Wir zeigen Euch, was es mit dem Konzept der passwortlosen Sicherheit auf sich hat und wie Ihr die neue Lösung ohne Risiko ausprobieren könnt.
Das steckt hinter den Passkeys in iOS 16
Mit der Unterstützung von Passkeys setzt Apple den so genannten WebAuthn-Standard der FIDO-Allianz um. Böhmische Dörfer? Kein Problem, dafür sind wir ja da ;-) WebAuthn kennt Ihr vielleicht bereits von den YubiKeys oder aus der IT-Sicherheit Eurer Firma. Die Idee dahinter ist, Euch statt mit einem potenziell unsicheren Passwort mit einer biometrischen Anmeldung zu authentifizieren. Mit den Passkeys soll die Lösung nun auch massentauglich werden: Anstelle eines USB-Sticks mit Fingerabdrucksensor oder eines anderen Geräts zur Verifizierung tritt Euer Smartphone, Tablet oder PC.
Das Passkeys-Konzept basiert auf einem asymmetrisches Verschlüsselungsverfahren, ähnlich der seit Jahren bewährten E-Mailverschlüsselung via PGP. Kurzfassung: Bei einer Anmeldung via Passkeys erstellt das Gerät – also etwa Euer iPhone – ein Schlüsselpaar aus privatem und öffentlichen Schlüssel. Der öffentliche Schlüssel wird mit den Diensten geteilt, der private bleibt auf dem Gerät.
Wenn Ihr Euch nun bei einem Konto anmelden wollt, erstellt das Gerät nach biometrischer Verifizierung (etwa via Face-ID) mit dem privaten Schlüssel eine eindeutige Signatur, die der Website bestätigt, dass Ihr im Besitz der Schlüssel seid. Der Clou: Weder der private Schlüssel noch Eure biometrischen Daten werden an die Betreiber der Website oder der App weitergegeben – ganz anders also, als bei der Eingabe eines Passworts. Klassische Sicherheitsangriffe wie Phishing oder Man-in-The-Middle-Attacken sind damit wirkungslos. Auch gehackte Passwortdatenbanken sind kein Problem mehr.
Passkeys sind übrigens keine Apple-Erfindung, sondern eine gemeinsame Initiative von Apple, Google und Microsoft, um die Authentifizierung im Web abzusichern. Künftig sollen die Schlüssel auch in Android und Windows zum Einsatz kommen. Apple erlaubt die Ablage der privaten Passkeys im seinerseits verschlüsselten iCloud-Schlüsselbund und damit auch die Nutzung über mehrere Geräte. Wenn Ihr dem System nicht traut, könnt Ihr die Passkeys aber auch auf ein Gerät begrenzen – verliert Ihr dieses, gibt es aber keine Möglichkeit, die Schlüssel wiederherzustellen.
Auch erlaubt das Sicherheitskonzept nicht, den Schlüssel auf ein Apple-fremdes Gerät zu übertragen. Wollt Ihr Euch also beispielsweise in einem Chrome-Fenster auf einem Windows-PC mit einem Passkey anmelden, muss das iPhone griffbereit sein. Alternativ empfiehlt Apple selbst den Anbietern von Passkey-Log-ins, die Einrichtung weiterer Geräte auf anderen Plattformen zu erlauben.
Sehr viel mehr zu den Sicherheitskonzepten hinter Passkeys erfahrt Ihr unter anderem bei Apple, Google oder direkt auf der Homepage der FIDO-Allianz.
So könnt Ihr die Passkeys-Anmeldung testen
Puh, eine Menge Theorie und dabei haben wir gerade einmal an der Oberfläche gekratzt. Wenn Ihr Euch einmal selbst ein Bild davon machen wollt, wie die passwortlose Anmeldung via Passkeys funktioniert, schnappt Euch Euer iPhone mit iOS 16 und besucht die Seite https://www.passkeys.io/. Das von Hanko betriebene Demoportal erlaubt es Euch, eine Anmeldung via Passkeys auszuprobieren.
Tragt hier eine E-Mail-Adresse ein, die natürlich nicht echt sein muss. Wählt im nächsten Schritt Sign up und dann Set up a passkey. Nun fragt Euch das iPhone, ob Ihr einen Passkey generieren möchtet. Bestätigt dies, meldet Euch via Face-ID bzw. Touch-ID biometrisch an und zack, Ihr seid drin. Künftig könnt Ihr Euch durch Auswahl von Sign in with Passkey biometrisch verifizieren und ohne Eingabe von Passwort oder Benutzername sicher einloggen.
Übrigens: Die Passkey-Demo funktioniert auch im Google-Browser Chrome, da Google hier bereits eine Passkeys-Integration eingebaut hat.
Aus Nutzersicht könnten Passkeys wirklich eine Zukunft bedeuten, in der Ihr Euch keine komplizierten Passwörter mehr ausdenken oder diese in Passwortmanagern verwalten müsst. Tatsächlich gilt das Konzept als deutlich sicherer als die klassische Log-in-Methode. Ich bin gespannt, ob Passkeys wirklich dauerhaft die Passwörter ablösen können. Dafür müssen Apple, Microsoft und Google nämlich auch ihre Nutzer davon überzeugen – und hier sehe ich zumindest eine gewisse Hürde für die neue Technologie ^^
Wie seht Ihr das? Würdet Ihr Euch mit Passkeys anmelden, um die Schwachstellen der klassischen Passwort-Sicherheit zu umgehen? Oder traut Ihr Apple und Co. nicht genug? Ich bin wirklich auf die (vermutlich recht kontroverse ^^) Diskussion gespannt.
Noch mehr zum Thema IT-Sicherheit sammeln wir hier für Euch, mehr zum iPhone gibt es hier zu entdecken.
