Mit der Einführung von iOS 16, iPadOS 16 und macOS Ventura müssen Nutzerinnen und Nutzer künftig immer seltener Passwörter eingeben. Dank einer neuen Funktion namens "PassKey" soll das Einloggen auf Websites und in Apps schneller und zugleich sicherer werden, versprach Apple auf der Keynote zur Entwicklerkonferenz WWDC. In einer der Sessions für die Entwickler wurde jetzt deutlich, wie genau das aussehen wird.
Anzeige
PassKey basiert auf dem erweiterten FIDO Standard, dem sich Apple zusammen mit Google und Microsoft angeschlossen hat. Wenn der Nutzer einen Account anlegt, wird im Betriebssystem ein kryptografisches Schlüsselpaar erstellt. Diese Schlüssel werden von jedem Gerät und für jeden Account einzeln erstellt. Der eine Schlüssel, der Public Key, wird auf dem Server des Zugangsanbieters gespeichert. Der zweite Schlüssel, der private, verbleibt auf dem Gerät und wird dem Server niemals zur Kenntnis gegeben.
So sieht der Login künftig aus
Anhand einer Demo-App zeigte Apple, wie das Anlegen des Accounts mit Passkey funktioniert.
(Bild: Apple)
Der Login ähnelt dem Aufschließen des Apple-Geräts: Per Face ID, Touch ID oder per Passcode weist sich der Nutzer aus. Im Hintergrund sendet der Server dem Gerät eine sogenannte Challenge. Bei erfolgreicher biometrischer Bestätigung erzeugt das Gerät mittels des privaten Schlüssels eine digitale Signatur, die an den Server übermittelt wird. Bei erfolgtem Abgleich ist der Nutzer eingeloggt. In der Session der WWDC ist das im Video zu sehen.
Laut Apple sorgt das passwortlose Einloggen dafür, dass Phishing-Attacken – also das Abgreifen von Passwörtern durch manipulierte oder gefälschte Websites – nicht mehr möglich sind. Zudem neigen Nutzer dazu, wiederkehrende oder einfache Passwörter zu verwenden. Auch Datendiebstähle von Servern sind mit Passkey unkritisch, da die öffentlichen Schlüssel nicht verwendet werden können, um in Zugänge einzubrechen.
Über den iCloud-Schlüsselbund (Keychain) werden die Passkeys mit allen Apple-Geräten des Nutzers synchronisiert. Zudem ist es möglich, auch Geräte anderer Hersteller zu nutzen. Ein Windows- oder Androidgerät würde in dem Fall einen QR-Code anzeigen, der mit dem iPhone oder iPad abfotografiert wird. Bei erfolgtem Abgleich von Face ID oder Touch ID bestätigt das iPhone dem Server, dass die Login-Anfrage legitim ist.
Laut Apple gut abgesichert
Apple betont, dass der iCloud-Schlüsselbund Ende-zu-Ende-verschlüsselt ist und starke kryptografische Schlüssel verwendet, die Apple nicht bekannt sind. Auch gibt es eine Begrenzung von zulässigen Versuchen, sich einzuloggen, um Brute-Force-Attacken abzuwenden.
Sollte ein Nutzer mal alle seine Apple-Geräte verlieren, gibt es aber die Möglichkeit der Wiederherstellung. Der Nutzer muss sich hierfür mit seinem iCloud-Nutzernamen und Passwort anmelden und eine SMS beantworten. Zudem muss der Geräte-Passcode eingegeben werden. Hierfür gibt es nur 10 Versuche. Zusätzlich gibt es die Möglichkeit, einen Notfallkontakt einzustellen, sodass auch die Wiederherstellung des Zugriffs möglich ist, wenn man sein Passwort für die Apple ID und den Gerätepasscode vergessen hat.
iOS 16, iPadOS 16 und macOS Ventura wurden auf der Entwicklerkonferenz WWDC vorgestellt und befinden sich derzeit in der Betaphase. Die finalen Versionen sollen laut Apple im Herbst erscheinen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.
