Sicherheit

iOS 16 Passkeys: So könnt Ihr die Anmeldung ohne Passwort testen

Passkeys sollen die Zukunft des Log-ins sein und Passwörter obsolet machen. Wie das gehen soll? Zeigen wir Euch!

Mit iOS 16 führt Apple die Passkeys ein. Dahinter steckt eine neue Sicherheitslösung, die das klassische Passwort auf lange Sicht komplett ablösen könnte - und zwar nicht nur auf dem iPhone. Wir zeigen Euch, was es mit dem Konzept der passwortlosen Sicherheit auf sich hat und wie Ihr die neue Lösung ohne Risiko ausprobieren könnt.

Das steckt hinter den Passkeys in iOS 16

Mit der Unterstützung von Passkeys setzt Apple den so genannten WebAuthn-Standard der FIDO-Allianz um. Böhmische Dörfer? Kein Problem, dafür sind wir ja da ;-) WebAuthn kennt Ihr vielleicht bereits von den YubiKeys oder aus der IT-Sicherheit Eurer Firma. Die Idee dahinter ist, Euch statt mit einem potenziell unsicheren Passwort mit einer biometrischen Anmeldung zu authentifizieren. Mit den Passkeys soll die Lösung nun auch massentauglich werden: Anstelle eines USB-Sticks mit Fingerabdrucksensor oder eines anderen Geräts zur Verifizierung tritt Euer Smartphone, Tablet oder PC.

Passkeys sollen klassische Passwörter überflüssig machen und gleichzeitig deutlich sicherer sein. (Bild: Fido-Alliance)

Das Passkeys-Konzept basiert auf einem asymmetrisches Verschlüsselungsverfahren, ähnlich der seit Jahren bewährten E-Mailverschlüsselung via PGP. Kurzfassung: Bei einer Anmeldung via Passkeys erstellt das Gerät - also etwa Euer iPhone - ein Schlüsselpaar aus privatem und öffentlichen Schlüssel. Der öffentliche Schlüssel wird mit den Diensten geteilt, der private bleibt auf dem Gerät.

Wenn Ihr Euch nun bei einem Konto anmelden wollt, erstellt das Gerät nach biometrischer Verifizierung (etwa via Face-ID) mit dem privaten Schlüssel eine eindeutige Signatur, die der Website bestätigt, dass Ihr im Besitz der Schlüssel seid. Der Clou: Weder der private Schlüssel noch Eure biometrischen Daten werden an die Betreiber der Website oder der App weitergegeben - ganz anders also, als bei der Eingabe eines Passworts. Klassische Sicherheitsangriffe wie Phishing oder Man-in-The-Middle-Attacken sind damit wirkungslos. Auch gehackte Passwortdatenbanken sind kein Problem mehr.

Das kryptographische Verfahren der Passkey-Anmeldung funktioniert ähnlich wie bei der PGP-Verschlüsselung von E-Mails. Das Ergbnis ist eine deutlich sicherere Online-Anmeldung. (Screenshot: Apple)

Passkeys sind übrigens keine Apple-Erfindung, sondern eine gemeinsame Initiative von Apple, Google und Microsoft, um die Authentifizierung im Web abzusichern. Künftig sollen die Schlüssel auch in Android und Windows zum Einsatz kommen. Apple erlaubt die Ablage der privaten Passkeys im seinerseits verschlüsselten iCloud-Schlüsselbund und damit auch die Nutzung über mehrere Geräte. Wenn Ihr dem System nicht traut, könnt Ihr die Passkeys aber auch auf ein Gerät begrenzen - verliert Ihr dieses, gibt es aber keine Möglichkeit, die Schlüssel wiederherzustellen.

Auch erlaubt das Sicherheitskonzept nicht, den Schlüssel auf ein Apple-fremdes Gerät zu übertragen. Wollt Ihr Euch also beispielsweise in einem Chrome-Fenster auf einem Windows-PC mit einem Passkey anmelden, muss das iPhone griffbereit sein. Alternativ empfiehlt Apple selbst den Anbietern von Passkey-Log-ins, die Einrichtung weiterer Geräte auf anderen Plattformen zu erlauben.

Wenn Ihr einen Account per Apple-Passkey abgesichert habt, benötigt Ihr das entsprechende Gerät auch, wenn Ihr ihn unter Windows nutzen möchtet. Das gleiche wird später auch für die Implementierungen von Google, Microsoft und anderen Partnern gelten. (Screenshot: Apple)

Sehr viel mehr zu den Sicherheitskonzepten hinter Passkeys erfahrt Ihr unter anderem bei Apple, Google oder direkt auf der Homepage der FIDO-Allianz.

So könnt Ihr die Passkeys-Anmeldung testen

Puh, eine Menge Theorie und dabei haben wir gerade einmal an der Oberfläche gekratzt. Wenn Ihr Euch einmal selbst ein Bild davon machen wollt, wie die passwortlose Anmeldung via Passkeys funktioniert, schnappt Euch Euer iPhone mit iOS 16 und besucht die Seite https://www.passkeys.io/. Das von Hanko betriebene Demoportal erlaubt es Euch, eine Anmeldung via Passkeys auszuprobieren.

Die Anmeldung via Passkeys erspart Euch die Erstellung von Passwörtern.

Tragt hier eine E-Mail-Adresse ein, die natürlich nicht echt sein muss. Wählt im nächsten Schritt Sign up und dann Set up a passkey. Nun fragt Euch das iPhone, ob Ihr einen Passkey generieren möchtet. Bestätigt dies, meldet Euch via Face-ID bzw. Touch-ID biometrisch an und zack, Ihr seid drin. Künftig könnt Ihr Euch durch Auswahl von Sign in with Passkey biometrisch verifizieren und ohne Eingabe von Passwort oder Benutzername sicher einloggen.

Nutzt Ihr den iCloud-Schlüsselbund, werden die Passkeys-Anmeldungen auf Eure Apple-Geräte synchronisiert.

Übrigens: Die Passkey-Demo funktioniert auch im Google-Browser Chrome, da Google hier bereits eine Passkeys-Integration eingebaut hat.

Aus Nutzersicht könnten Passkeys wirklich eine Zukunft bedeuten, in der Ihr Euch keine komplizierten Passwörter mehr ausdenken oder diese in Passwortmanagern verwalten müsst. Tatsächlich gilt das Konzept als deutlich sicherer als die klassische Log-in-Methode. Ich bin gespannt, ob Passkeys wirklich dauerhaft die Passwörter ablösen können. Dafür müssen Apple, Microsoft und Google nämlich auch ihre Nutzer davon überzeugen - und hier sehe ich zumindest eine gewisse Hürde für die neue Technologie ^^

40% sparen
(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)
×
Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.
18% sparen
Neu Apple AirTag 4er Pack
119,00 €
97,23 €
(Stand: 07.11.2021 19:21 - Details)
Verkäufer: Amazon.de
Zum Angebot bei Amazon ↗ *
(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)
×
Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Wie seht Ihr das? Würdet Ihr Euch mit Passkeys anmelden, um die Schwachstellen der klassischen Passwort-Sicherheit zu umgehen? Oder traut Ihr Apple und Co. nicht genug? Ich bin wirklich auf die (vermutlich recht kontroverse ^^) Diskussion gespannt.

Noch mehr zum Thema IT-Sicherheit sammeln wir hier für Euch, mehr zum iPhone gibt es hier zu entdecken.

Boris Hofferbert

Freier Journalist, seit seligen Amiga-Tagen technikbegeistert, am Desktop Apple- und unterwegs Android-Fan, zockt unter Windows, kann nicht ohne Musik (von Classic Rock über Ska bis Punk) und Hörbücher, schießt gerne Postkarten-Fotos, hat immer mindestens zwei Handys dabei und freut sich riesig über eine Kaffeespende ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"
>		<script type='text/javascript'>
			!function(t){