Apple Passkey: Warum im Internet alle davon profitieren werden

Dass Passwörter der Vergangenheit angehören, ist längst überflüssig - denn sie sind meist unkreativ, umständlich und vor allem unsicher. Apple kündigte zur WWDC 2022 an, sie ab iOS 16 durch "Passkeys" zu ersetzen, die sich an den Account und die Geräte binden. Wie viel Zeit steckt Ihr in Eure Passwörter? Legt Ihr jährlich neue Sicherheitsschlüssel an und achtet auch auf die Sicherheit der Zeichen- und Zahlenfolgen? Viele tun das nicht, denn Sicherheitsunternehmen finden in Analysen jedes Jahr wieder viel zu unsichere Passwörter in ihren Datenbanken. Die meisten Passwörter sind zu einfach, werden nie geändert und könnten binnen weniger Minuten geknackt werden. So einfach wird die Nutzung von Apples Passkeys Löblich also, dass Apple mit den Passkeys ein neues Authentifizierungsverfahren angekündigt hat, das Passwörter ersetzen soll. Im Netz wird das neue Verfahren stark mit dem Apple-Ökosystem verknüpft, was überaus schade ist. Denn Apple präsentierte mit Passkeys lediglich eine eigene Art, mit WebAuthn-Credentials umzugehen.

Warum "Passkeys" nicht nur Apple-User etwas angehen

Richtig gelesen - die "Passkeys" sind keine Apple-exklusive Erfindung, auch wenn es auf der WWDC 2022 doch ziemlich danach klang. Sie sind Apples internes Branding für eine neue Art von Log-In-Credential, welches von der FIDO Alliance entwickelt wurde. Apple ist zwar Teil der Allianz, hat eigenen Angaben zufolge aber unter anderem mit Google und Android zusammengearbeitet und orientiert sich bei den Passkeys an den Standards der FIDO. Somit werden früher oder später nahezu alle Internet-Nutzer von Passkeys profitieren. Passkeys werden zwischen Apple-Geräten synchronisiert, sind aber nicht Apple-eklusiv Die grundlegende Idee ist dabei, Logins nicht mehr durch Passwörter, sondern durch Sicherheitsschlüssel zu realisieren. Aus Usersicht werden Logins dann über biometrische Verfahren abgesichert, die einen Abgleich der Sicherheitsschlüssel mit dem Server ermöglichen. Nutzt man aktuell schon Face-ID und Touch-ID für die Freischaltung des iCloud-Schlüsselbundes, wird sich in der Handhabung also nicht so viel ändern.

Auch wenn heutige Anmeldungen unter iOS schon etwa so bequem sind wie die spätere Verwendung von Passkeys, gibt es einen großen Nachteil. Aktuell erlaubt man dem iCloud-Schlüsselbund lediglich, das Passwort in die Login-Maske zu kopieren. Von dort aus wird es dann an den Serverbetreiber übermittelt. Die Gefahr, dass Passwörter über Man-in-the-Middle-Angriffe (folgend "MITM") oder anderweitig ausspioniert werden, besteht also dennoch.

Auch Phishing, also das Ergaunern von Passwörtern durch Vorgaukeln eines superwichtigen Service-Notfalls oder anderen Social-Engineering-Taktiken, ist bei diesem Verfahren noch möglich. Aktuell könnt Ihr Passwörter nämlich recht einfach aus dem Schlüsselbund kopieren und in irgendwelche Mails einfügen, wenn Ihr auf eine Betrugsmasche reingefallen seid.

Darum sind Passkeys und Apples Umgang damit so sicher

Die Verwendung von Passkeys schützt in gewisser Weise also sogar vor dem sprichwörtlichen Fehler, der vor dem Display sitzt. Ganz grundlegend basieren sie auf zwei Sicherheitsschlüsseln - einem öffentlichen und einem privaten. Der öffentliche Schlüssel befindet sich nach der Einrichtung auf dem Server, während der private Schlüssel immer auf dem Gerät bleibt, das für den Login verwendet wird. Der Clou liegt in der Mathematik, auf der das Verfahren basiert. MITM-Angriffe könnt Ihr aktuell am besten mit VPN-Anbietern unterbinden Denn wie Popular Science schreibt, wurde diese so entworfen, dass der private Schlüssel bei Login-Versuchen nicht an den Server übermittelt werden muss. Dadurch bleibt Euer Passkey auch bei MITM-Angriffen oder bei erfolgreichen Hacks auf die Server von Unternehmen sicher. Die Passkeys basieren auf dem WebAuthentification-Standard (WebAuthn), der schon seit einiger Zeit für passwortloses Anmelden im Netz verwendet wird.

Wenn das also alles schon verfügbar ist, stellt sich die Frage, warum alle so tun, als hätte Apple das Passwort neu erfunden.

Warum tun denn alle so, als hätte Apple das Passwort neu erfunden?

Hey, gute Frage! Was man Apple wirklich hoch anrechnen kann: Sie sind die ersten, die Passkeys geräteübergreifend einsetzen. Gleichzeitig bieten sie für ihre Passkeys eine Programmierschnittstelle, eine API, an. Um die Anmeldung über Passkeys zu ermöglichen, müssen Webseiten und Dienste die Voraussetzungen natürlich erst schaffen. Da Apple seine neuen Betriebssysteme iOS 16, watchOS 9, iPadOS 16 und macOS 13 schon ein halbes Jahr vor Einführung als Entwickler-Betas anbietet, könnte die Verfügbarkeit zum Start schon vielerorts gegeben sein. Ohnehin hat Apple seine eigenen WebAuthn-Credentials bereits zur WWDC 2021 vorgestellt.

Passkeys sind darüber hinaus fest mit dem iCloud-Schlüsselbund verknüpft. Auf diesen wiederum habt Ihr von jedem Apple-Device aus Zugriff, auf dem Ihr mit Eurer Apple-ID registriert seid. Da Apple für seinen Schlüsselbund eine Ende-zu-Ende-Verschlüsselung nutzt und die Sicherheitsschlüssel laut Supportseite selbst nicht weiß, gibt es also einen sicheren Aufbewahrungsort für die Passkeys.

Das System ist darüber hinaus mit einer Zwei-Faktor-Authentifizierung geschützt. Möchtet Ihr also einen neuen Passkey registrieren, müsst Ihr diesen Vorgang noch einmal auf einem Apple-Gerät oder über den Web-Browser bestätigen, indem Ihr einen sechsstelligen Code eingebt.

Apple hat das passwortlose Anmelden also keineswegs (neu) erfunden, sondern schlichtweg clever und sicher implementiert. Darüber hinaus sind Apple-Geräte dermaßen stark verbreitet, dass das Vorpreschen der "Apple'aner" ein guter Anreiz für Dienste und Webseiten sein wird, endlich auf WebAuthn aufzurüsten.

Machen Passkeys einen Wechsel zu Android und Windows unmöglich?

Apples Weg in Richtung Passkey beunruhigte mich während des Live-Streams aber dennoch ein wenig. So hatte es stark den Anschein, als würde Apple seinen "Walled Garden" noch einmal gehörig mit Methylan zukleistern. Macht die Einführung von Passkeys es nicht fast unmöglich, auch Apple-fremde Geräte zu nutzen oder dem Apple-Kosmos anderweitig zu entkommen?

Zwar ist noch nicht ganz ersichtlich, wie geschlossen Apples Passkeys-Integration sein wird, allerdings gibt es drei Argumente gegen meine Befürchtung. Über QR-Codes könnt Ihr Euch zukünftig per Passkey auch auf Windows-Geräten einloggen

Fazit: Passkeys sind revolutionär, nur nicht von Apple

Fassen wir die Entwicklungen noch einmal zusammen: Unabhängig von Apple wird WebAuthn Logins im Netz sicherer machen. Nach viel zu langer Zeit sind unsere Daten nicht mehr davon abhängig, wie viel Zeit oder Gehirnschmalz wir in die Pflege unserer Passwörter stecken. Darüber hinaus bringt der Standard einen zuverlässigen Schutz gegen Phishing, Hacking und sogar gegen die Unternehmen, bei denen wir uns einloggen wollen.

Apple macht dabei einen großen Schritt und führt den Dienst als erstes Unternehmen geräteübergreifend ein. Gleichzeitig nutzt das Unternehmen die Vorteile seines geschlossenen Ökosystems, um Logins per Passkeys sicher und komfortabel zu gestalten.

Dass Apple die Einführung der Passkeys während seiner Entwicklerkonferenz zu einem wichtigen Thema macht und dabei auf einen eigenen Namen verzichtet, ist zudem ein genialer Schachzug. In gewisser Weise erntet Apple dabei die Lorbeeren, welche die FIDO Alliance in Zusammenarbeit gesät und großgezogen hat.

Denn wenn Android oder Windows demnächst die Unterstützung von Passkeys ankündigen, wird die Öffentlichkeit das ganz sicher mit Apple in Verbindung bringen.

Touché, Apple. Touché!


Dieser Inhalt kommt von unserem Partner Nextpit und ist am 15. Juni 2022 unter dem Titel "Apple Passkey: Warum im Internet alle davon profitieren werden" erschienen. Hat er euch gefallen? Dann schaut doch bei unseren lieben Kollegen von Nextpit vorbei und findet weitere großartige Inhalte wie diesen! Apple, Sicherheit, Passwörter, Passwortverwaltung, Passkeys Apple