Neue Funktion will Passwörter überflüssig machen
Passkeys: Das müssen Sie über das neue iOS-16-Feature wissen
Eine Zukunft ohne Passwörter. Was zunächst wie eine Utopie klingt, wird dank Apples neuem iPhone-Betriebssystem iOS 16 Wirklichkeit. Mit der aktuellen Version führt der Hersteller die sogenannten Passkeys ein. Das steckt dahinter.
Wer viel im Internet unterwegs ist, kennt das Problem: Websites und Apps fordern Sie beim Einloggen zur Eingabe Ihrer Zugangsdaten auf. Idealerweise sollte dabei auf jeder Seite und für jedes Programm ein eigenes Passwort gewählt werden. Und möglichst sicher sollte dieses auch noch sein, zumal Sie verschiedene Websites und Programme zum regelmäßigen Aktualisieren der Passwörter auffordern.
Bei der schieren Menge an Passwörtern überhaupt noch den Überblick zu behalten, wird heutzutage immer schwieriger. Zumal Passwörter keine Garantie darstellen, dass Ihre vertraulichen Login-Daten auch wirklich sicher sind. Die Gefahr, dass Hacker durch sogenannte Phishing-Angriffe in den Besitz Ihrer Daten kommen, steigt rapide an.
Hier kommen die neuen Passkeys ins Spiel, die für ein zusätzliches Maß an Sicherheit sorgen und die potenziell gefährdeten Passwörter ein für allemal überflüssig machen sollen. Was sich hinter dem Begriff verbirgt und was Sie darüber wissen müssen, lesen Sie in unserem Ratgeber.
Was ist ein Passkey?
Zunehmende Phishing-Attacken, sowie zu schwache oder gar mehrfach verwendete Passwörter, können beim Surfen im Internet schnell zu einem Sicherheitsrisiko werden. Mit teils fatalen Folgen, wenn Hacker oder Angreifer in den Besitz Ihrer Zugangsdaten kommen.
Die Lösung soll auf den Namen Passkey hören und ganz ähnlich funktionieren, wie Sie es aktuell mit dem Login per Passwort gewohnt sind. Beim Einloggen in eine Website oder eine Anwendung werden Sie also weiterhin mithilfe eines Login-Fensters zur Eingabe Ihrer Zugangsdaten aufgefordert.
Statt eines klassischen Passwortes soll hier aber ein einzigartiges Schlüsselpaar zum Einsatz kommen. Dabei handelt es sich um einen digitalen, kryptografischen Schlüssel, der Ihre biometrischen Daten zum Login verwendet.
Das Einloggen über ein Smartphone oder den Mac ist also nur dann möglich, wenn das Gerät Ihren Fingerabdruck oder Ihr Gesicht erkannt hat.
FIDO-Allianz arbeitet seit 10 Jahren an Passkey-Funktion
An dem potenziellen Nachfolger des klassischen Passwortes in Form des Passkeys werkelt die sogenannte FIDO-Allianz (englisch: FIDO Alliance) bereits seit rund zehn Jahren. Die nicht kommerzielle Gemeinschaft wurde im Jahr 2012 ins Leben gerufen und umfasst zahlreiche namhafte Hersteller.
Darunter die Tech-Giganten Apple, Google, Meta oder Microsoft. Ziel der Allianz ist es, einen offenen und lizenzfreien Industriestandard für die weltweite Authentifizierung im Internet zu entwickeln. FIDO steht dabei für „Fast IDentity Online“, bedeutet also so viel wie „schnelle Identifizierung für digitale Verbindungen“.
Der Standard ist in Ihren Browser, Ihr Betriebssystem oder Ihr Gerät wie beispielsweise Smartphone, Notebook oder Tablet integriert und soll das Einloggen in einen Nutzeraccount nicht nur deutlich einfacher, sondern auch sicherer gestalten.
Die neue Passkey-Funktion wurde von der Allianz zum World Password Day am 05. Mai 2022 im Detail vorgestellt, dabei wurde eine Zukunft ohne Passwörter in Aussicht gestellt.
Noch vor Ende des Jahres 2022 soll der neue FIDO-Standard Einzug in die Betriebssysteme Android, Windows und macOS halten. Apple führte mit der Veröffentlichung des iPhone-Betriebssystems iOS 16 am 13. September 2022 die Passkey-Funktion als erster Hersteller überhaupt ein.
Können Passkeys auf sämtlichen Webseiten genutzt werden?
Mit iOS 16 legt Apple auf iPhone-Geräten den Grundstein für eine Zukunft ohne Passwörter. Um das neue Login-Verfahren aber überhaupt nutzen zu können, müssen auch Webseiten und Apps den Standard anbieten.
Bislang gibt es aber noch so gut wie keine Seiten, die Passkeys überhaupt anbieten, weil die Technologie noch zu neu ist. Das soll sich allerdings im Laufe des Jahres 2023 ändern, spätestens, nachdem Google und Microsoft ebenfalls den neuen Standard eingeführt haben.
Wie funktioniert der Login per Passkey in iOS 16?
Mithilfe des Standards „WebAuthentication“ erfolgt die Verschlüsselung der Passkeys mit öffentlichen Schlüsseln. Bei der Registrierung eines Accounts erstellt iOS 16 einen eindeutigen Schlüssel, der explizit nur bei dieser einen Website oder App genutzt werden kann.
Dieser Passkey wird direkt auf Ihrem Gerät abgespeichert und gelangt daher nicht auf den Server der Website. Sollte die Datenbank der Website oder App also gehackt werden, ist Ihr Schlüssel geschützt. Gleichzeitig ist der Passkey zudem vor Phishing-Angriffen gefeit, denn die digitale Signatur erkennt, ob es sich um die echte Website oder eine getarnte Fälschung handelt.
Gleichzeitig wird bei der Account-Registrierung ein zweiter, öffentlicher Schlüssel erstellt, der auf dem Server des jeweiligen Anbieters gespeichert wird. Nur, wenn das Schlüsselpaar erfolgreich authentifiziert wird, wird das Einloggen ermöglicht.
Die Authentifizierung erfolgt dabei mithilfe von biometrischen Daten und soll daher besonders fälschungssicher sein. Im Falle von iOS 16 beziehungsweise eines Apple iPhones wird für den Login-Vorgang also ein Gesichtsscan mithilfe von Face ID oder der Fingerabdruck per Touch ID benötigt.
Wie werden Passkeys eingerichtet?
Bei der Neuregistrierung auf einer Website oder in einer App, die Passkeys unterstützt, soll das neue Login-Verfahren als Option im Rahmen des Registrierungsvorgangs angezeigt werden.
Allerdings soll künftig auch der Wechsel zum Passkey-Verfahren angeboten werden, wenn Sie bereits über ein Konto bei der entsprechenden Seite oder App verfügen. Details dazu, wie die Umwandlung vonstatten geht, liegen aktuell allerdings noch nicht vor.
Wie sicher sind Passkeys?
Das Einloggen mithilfe von Passkeys ist nur dann möglich, wenn der öffentliche Schlüssel auf der Website beziehungsweise innerhalb einer App zu dem privaten, lokal auf Ihrem Gerät gespeicherten Schlüssel passt. Informationen zu dem privaten Schlüssel werden dabei zu keinem Zeitpunkt an den Server übermittelt.
Sollte eine Website oder Anwendung also Ziel eines Hackerangriffs werden, kommen die Angreifenden im schlimmsten Fall nur in den Besitz des öffentlichen Schlüssels, mit dem sie aber ohne den privaten Passkey nichts anfangen können.
Sie benötigen zum Einloggen auf ihrem iPhone oder anderen Geräten zudem immer Ihre persönlichen und fälschungssicheren biometrischen Daten wie Fingerabdruck oder Geschichtsscan. Auf Google- oder Microsoft-Plattformen wird hingegen zusätzlich auch eine Identifizierung mithilfe eines PINs oder Musters ermöglicht.
Apple verspricht zudem, dass in Passkeys leistungsstarke Kryptografie-Technologien zur Verschlüsselung verwendet werden, die die Sicherheit zusätzlich erhöhen. Unter iOS 16 werden die Passkeys zudem automatisch mit dem iCloud-Schlüsselbund synchronisiert und profitieren dank Ende-zu-Ende-Verschlüsselung von einem zusätzlichen Maß an Sicherheit. Sogar Apple selbst kann die verschlüsselten Daten nicht einsehen.
Das hat gleichzeitig den Vorteil, dass Sie ihre Passkeys auf allen regelmäßig genutzten Apple-Geräten, sowie auf Smartphones, Notebooks oder Geräten anderer Hersteller verwenden können. Auch Google speichert den Passkey verschlüsselt in der eigenen Cloud, wie man in einem Blog-Eintrag im Mai verraten hat.
So soll eine Geräte-übergreifende Nutzung ermöglicht werden, während sich die Passkeys mit einem neuen Smartphone synchronisieren lassen, sollten Sie ihr altes Gerät verloren oder verkauft haben.
Passkeys sind mit verschiedenen Plattformen kompatibel
Da die Passkeys auf dem FIDO-Standard der Allianz basieren, kann das neue Login-Verfahren auch Plattform-übergreifend mit Android- oder Windows-Geräten genutzt werden. Dafür müssen Sie beim Einloggen einfach mit ihrem iPhone einen QR-Code scannen, woraufhin der Login mithilfe der biometrischen Daten wie Face ID oder Touch ID angestoßen wird.
Was passiert, wenn ich ein Gerät mit hinterlegten Passkeys verliere?
Wie bereits erwähnt, werden Passkeys im Apple- und Google-Ökosystem verschlüsselt in der Cloud gesichert und können auf einem neuen Gerät erneut abgerufen werden, wenn Sie Ihr altes Gerät verkauft oder verloren haben.
Im Falle von Apple können Passkeys über iCloud-Schlüsselbund-Escrow wiederhergestellt werden. Hierfür werden Ihr iCloud-Account, Ihr Passwort und ein Code, der per SMS an die im Account hinterlegte Telefonnummer verschickt wird, benötigt.
Die Mitglieder der FIDO-Allianz stellen allerdings klar, dass es noch einige Zeit dauern wird, bis diese Technologie auf allen Geräten verfügbar ist und Website- und App-Entwickler sie vollumfänglich nutzen können.
Aktuell sind die Passkeys also eher noch Zukunftsmusik und bis diese den klassischen Passwörtern tatsächlich den Rang ablaufen, wird es noch eine Weile dauern. Apple legt mit iOS 16 jedenfalls schon jetzt den Grundstein für das neue Login-Verfahren, das spätestens im Jahr 2023 Fahrt aufnehmen dürfte.
