Passkeys: Apple-Software bekommt Im- und Export
Passkeys sollen irgendwann mal die Passwörter ablösen. Letztes Jahr hat Google – gemeinsam mit der FIDO Alliance, Apple und Microsoft – angekündigt, dass man mit der Unterstützung von Passkeys auf der Plattform beginnen werde, um eine einfachere und sicherere Alternative zu Passwörtern zu bieten.
Erste Dienste und Apps unterstützen die neuen Möglichkeiten bereits, aber grundsätzlich kann man sagen, dass es noch ein weiter Weg ist. Bekannt war, dass die Passkeys irgendwann einmal plattformunabhängig vom Nutzer verwaltet werden können.
Ricky Mondello, bei Apple für diesen Bereich zuständig, hat sich dahingehend auch noch einmal geäußert. Passkeys werden importiert und exportiert werden können, geräteübergreifend und über Passkey-Manager hinweg. Das ist derzeit noch nicht der Fall, wird aber bald der Fall sein. Das ist etwas, das gerade definiert und entwickelt wird, so der Entwickler. Viel mehr ist nicht zu erfahren, aber wer weiß, ob wir nicht mit iOS 17 als Beta bald etwas dahingehend ausprobieren können. Wäre schön, da eine vernünftige App zu sehen. Der Passwortmanager 1Password wird die Unterstützung dafür im Juni erhalten. Letzten Endes ist Mondellos Aussage keine News an sich, wir greifen das Ganze aber natürlich mal auf, da es in den Kommentaren oft diskutiert wird.
Was sind Passkeys?
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites und sind einfach zu verwenden.
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Einerseits ist das gut. Andererseits könnte das je nach Implementierung aber den entscheidenden Positivpunkt von Security Keys (phishing Schutz) wieder zunichte machen. Yubikeys und andere Security Keys sind ja genau aus dem Grund gar nicht erst exportierbar. Ich sehe schon die Angreifer das Tutorial schreiben:
„Ihr Bankkonto ist in Gefahr! Um Ihr Konto zu schützen müssen sie „hier hier und hier klicken“ und anschließend Passkey exportieren wählen. Anschließend senden sie uns diese Datei an sparkasse.verysecuredomain.de“ (In real natürlich deutlich detaillierter)
Man kann jetzt schon passkeys über AirDrop teilen.
Das funktioniert dann ja ganz toll mit Android und Windows.
Es gab noch nie eine Technologie, die jeden Trottel geschützt hat. Und aktuell ist es definitiv einfacher den Session-Cookie zu klauen, als jemanden dazu zu bewegen, seinen Private Key zu kompromittieren.
Leute, die sich ihre Zugangsdaten entlocken lassen, kann man nicht vor sich selbst schützen.
Allen anderen kann man mit Passkeys allerdings das Leben enorm erleichtern.
Irgendwie verstehe ich noch nicht, was eigentlich bei einem Gerätewechsel passiert. Die Passkeys sind doch mit dem Gerät verknüpft?
Bei Apple werden die Keys verschlüsselt via iCloud zwischen Geräten synchronisiert. Neues Gerät mit Apple ID verknüpfen und Passkey sind verfügbar.
Ne, die werden ja jetzt schon über iCloud Keychain zwischen allen iPhones, iPads und Macs, auf denen du mit deiner Apple ID angemeldet bist, synchronisiert.
Nicer Dicer. Also sowohl dein Bild Cashy. Heiler Hawaii Look als auch Passkeys. Endlich kommt das was mit ssh schon seit Jahrzehnten umgesetzt wird mal im Mainstream an.