Passwortlose Zukunft mit iOS 15 und macOS 12

Wir berichteten schon darüber, dass iOS 15 als auch macOS Monterey Neuerungen bezüglich der Sicherheit bekommt. So bekommt die Schlüsselbundverwaltung gehörige Verbesserungen, wer komplett im Apple-Universum hängt, braucht vermutlich bald keinen Passwort-Manager mehr, denn die Passwort-Verwaltung ist unter macOS präsenter in den Systemeinstellungen und unterstützt dazu die 2FA. Das Ganze gepaart mit dem verbesserten „Anmelden mit Apple“, welches ebenfalls eine separate Oberfläche spendiert bekommen hat, ist schon ganz nett.

Generell möchte man Passwörtern den Garaus machen und setzt dabei auf Passkeys, einer neuen Authentifizierungstechnologie, die laut Apple so einfach wie Passwörter zu verwenden, aber wesentlich sicherer sein soll. Als Teil von iCloud-Keychains wird eine Testversion der Technologie später in diesem Jahr mit Update der Software auf iPhones, iPads und Macs ausgeliefert, so cnet.

Um einen Account auf einer Website oder in einer App mit einem Passkey einzurichten, wählen Nutzer zunächst einen Benutzernamen für den neuen Account und bestätigen dann mit FaceID oder Touch ID, dass sie es wirklich sind, der das Gerät benutzt. Sie müssen dabei kein Kennwort eingeben. Das Gerät kümmert sich um die Generierung und Speicherung des Hauptschlüssels, der von iCloud-Keychain mit allen Apple-Geräten synchronisiert wird.

Um den Passkey später zur Authentifizierung zu verwenden, werden Anwender aufgefordert, ihren Benutzernamen zu bestätigen und sich mit FaceID oder Touch ID zu verifizieren. Entwickler müssen ihre Anmeldeverfahren aktualisieren, um Passkeys zu unterstützen, aber eigentlich ist es lediglich eine Anpassung der bestehenden WebAuthn-Technologie.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

34 Kommentare

  1. Hoffentlich gibt es die Möglichkeit eine Liste der Benutzernamen/Passwörter zu exportieren, ansonsten ist man überall ausgesperrt sobald man Probleme mit dem Apple Account hat bzw. dort gesperrt wird.

    • WebAuthn verwendet keine Passwörter sondern ein Public / Private Key Verfahren mit der Secure Enclave des iPhones. Funktioniert auch mit anderen FIDO2 kompatiblen Geräten wie ein FIDO Stick, Ledger Nano, Feitian Key, Fingerabdruck Leser im Laptop ggfs, neuste Android Pixel Geräten und diversen anderen Hardware Token. Du kannst einfach weitere Token zu deinem Account hinzufügen, z.B am Windows Laptop noch den eingebauten Fingerabdruck Leser. Ist empfehlenswert falls man mal einen Token verliert dann muss man nicht durch den Wiederherstellungs Prozess.

      Info: https://de.m.wikipedia.org/wiki/WebAuthn

      Hier kannst du das ganze mal testen wenn du einen kompatiblen Laptop oder ein aktuelles Pixel hast. https://webauthn.io/

      • Vielen Dank für die Info!

      • Also müsste ich nur den private Key exportieren können, um z.B. einer Sperrung meines Apple Accounts vorzubeugen oder für den Fall, dass ich von Apple wegmigieren möchte zu einer anderen Lösung die WebAuthn unterstützt?

        Falls du schon Erfahrung hast mit dem System: Ist die Funktion vorhanden?

        • Das ist eine Frage der Implementierung. Das Verfahren basiert wie gesagt auf Public-Key-Krypto. Das Geräte schickt den öffentlichen Schlüssel des Paares an die Webseite > die Seite assoziiert den Schlüssel mit dem Account > wenn man sich Einloggen will schickt die Website eine Challenge > das Gerät signiert die Challenge mit dem privaten Schlüssel > Seite akzeptiert und man ist eingeloggt.
          Dabei ist man nicht auf eine Paarung beschränkt. Man kann auch mehrere Paarungen möglich machen oder Legacy-Verfahren zur Wiederherstellung des Zugangs anbieten (Email oder so).

        • Den Private Key wirst du nicht extrahieren können. Aber in der Grafik oben sieht man dass er anscheinend wieder herstellbar ist wenn du dein iPhone verlierst. Vermutlich im iCloud Backup mit drin und verschlüsselt mit deinem Device Pin. Aber wie auch schon geschrieben kannst du einfach mehrere Hardware Token zu den Accounts die WebAuthn unterstützen hinzufügen. Und das klassiche „Reset über Email“ wird auch funktionieren wenn man nicht grad bei Google das Hoch Sicherheits Account Feature aktiviert. Ich würde einfach einen Yubikey dazu kaufen und den dann zuhause in der Schublade lassen und als zweiten Token überall registrieren. Dann kommt man im Notfall noch fix über den Key an seine Accounts. Nur den Benutzernamen sollte man sich dann merken. 🙂

  2. Das ist ja alles gut und schön, hört sich gut an und wird im Alltag sicherlich auch gut funktionieren. Ich sehe aber ein Problem, wenn man gerade keines seiner Apple Geräte zur Hand hat. Zudem sind zumindest bei mir im Passwort Manager ja nicht nur Zugänge für Apps und Webseiten gespeichert, sondern auch noch andere Dinge, wobei das alles auch plattformübergreifend zur Verfügung steht. Insofern wäre das für mich auch zukünftig wohl sowieso nicht entbehrlich, so dass ich vermutlich gleich dabei bleiben würde, ehe ich meine Kennwörter und Zugangsdaten an verschiedenen Stellen ablege.

  3. Trebuchet says:

    Und wer gelegentlich Geräte benutzt, die nicht aus dem Apfel-Universum stammen muss sich erst aus der Keychain ein komplexes Passwort rausfummeln, dass das Apfelsystem generiert hat, mit dem er sich dann auf der Website anmelden kann oder wie? Und wer darauf keine Lust hat darf halt nur Äpfel verwenden? Locked-In intesifies ^^

    • Der nutzt halt einfach nicht Keychain sondern den Kennwort Manager seiner Wahl. Bei mir Enpass und funktioniert super.

    • Es ist ein „kann“ Angebot, kein „muss“.
      Ist doch gut wenn das im Rahmen der eigenen Produktpalette optimiert. Sonst ist man am Ende wieder bei Windows und Android, was für alles und jeden aber nirgends richtig funktioniert.

  4. Black Mac says:

    Da ich alle Kennwörter mit meiner Frau teilen will, bleibt es wohl bei 1Password. Apple kennt als Zielgruppe nur Singles, siehe Fotos-Bibliothek gemeinsam nutzen. Ätzend …

    • Das hat nichts mit Single, sondern dem Konzept einer sicheren Authentifizierung zu tun.
      Man teilt Passwörter nicht, grundsätzlich und niemals.
      Wenn mehrere Personen an dem gleichen Inhalt herankommen sollen, werden diese an dem Inhalt entsprechend mit ihren eigenen Zugangsdaten berechtigt.
      Apple handelt hier völlig korrekt denn nochmals, man teilt Zugangsdaten nicht!

      • Black Mac says:

        Blödsinn. Und das ist noch höflich ausgedrückt. Lebst du hier deine Paranoia aus?

        • Nein, das sind grundsätzliche Richtlinien der IT Sicherheit. Wenn du fahrlässig handelst, höflich ausgedrückt, ist das im Schadensfall eben auch dein Problem.
          Schon mal in AGB geblättert? Accounts sind personalisiert und Passwörter grundsätzlich nicht an Dritte weiterzugeben.
          Desgleichen gilt auch in einer Firma wenn man sich nach dem IT Grundschutz des BSI zertifizieren will.
          Die Zeiten des Root Zugang mit einem Universal Passwort für alle sind schon seit den 2000er vorbei.

          • Wolfgang D. says:

            @Keri „grundsätzliche Richtlinien der IT Sicherheit“
            sagen Leute immer, die es nicht verstanden haben dass die allermeisten Menschen nicht in einem Hochsicherheitsbereich arbeiten. Im Operating Center fand ich die Schleuse + Karten + Kennungen berechtigt, bei Apple ist das überkandidelt.

            Schon die Voreinstellung, dass ungefragt meine Passwörter mit irgendwelchen geleckten Listen im Internet abgeglichen werden, ist eine Unverschämtheit. Als ich das mit den „Sicherheitsempfehlungen“ sah, war es zum Abschalten natürlich zu spät.

          • Und wer macht bei deiner minderjährigen Tochter die Passwortverwaltung? Merkste jetzt selber, neh?

        • Einfach das Handy der Frau auch noch hinzufügen zum Account. Ist sogar leichter und sicherer als ein Passwort zu tauschen. Nur weil man ein Konzept nicht versteht ist es nicht automatisch schlecht. Es ist ein guter Schritt und absolut notwendig in eine Passwortlose Zukunft. Heißt nämlich auch dass der Betreiber gar kein Passwort mehr hat von dir was leaken kann. Der hat nur deinen Public Key, und der ist wie der Name schon sagt Public und kann ruhig geleakt werden. Und wenn deine Frau dich mal verlässt, dann kannst du ihren Token auch ganz einfach wieder aus dem Account entfernen und musst nicht selber bei dir im Passwortmanager was ändern.

    • MoshPitches says:

      Passwörter kann man bei Apple über AirDrop teilen. Das muss man zwar für jedes Passwort einzeln machen und auch wiederholen, wenn sich ein Passwort ändert. Ist zwar nicht so sexy wie 1Password, aber es funktioniert. Da ich mit meiner Partnerin auch nur für zwei, drei Dienste, wie Ikea Family oder Picnic, den Zugang teile, fahren wir ganz gut damit.

      • Black Mac says:

        Schön. Aber so werde ich ganz bestimmt nicht ca. 230 Logins und Kennwörter verwalten und mit meiner Frau teilen.

        • Bitwarden kann teilen. Als Nutzer der kostenfreien Version geht das immer nur mit 1 Person (die „Organisation“ kann nur 2 Konten enthalten). Kann man bei Bedarf auch selber hosten. Kosten = 0€

        • Wolfgang D. says:

          Umstellung auf einen plattformübergreifenden Passwortmanager der eigenen Wahl, damit „automatisch ausfüllen“ einstellen und nur das Nötigste in „Passwörter“ lassen. Bis Apple eine mit anderen Systemen kompatible Lösung anbietet oder auch diese Möglichkeit kaputt macht.

  5. Man sollte bei all dem immer im Hinterkopf behalten, dass man bei der Benutzung eines Identitätsproviders wie z.B. „Anmelden mit Apple“ an Drittservices die Oberhoheit über seine digitale Identität in dessen Hände legt. Wenn dann die Apple-ID, der Google- oder Facebook-Account oder das Microsoft-Konto warum auch immer gesperrt wird, ist eventuell auch der Zugang zu allen darüber authentifizierten Diensten weg.

    • Wolfgang D. says:

      @kOOk
      Handy kaputt, und du kannst deine Haustür nicht mehr öffnen, nichts kaufen, oder sich ausweisen,…

      So ein selbstgebauter SPOF hat schon was, und sonst sind doch alle gegen die böse Monokultur. Wer finanziert mir eigentlich die Wartung und den Kauf vom Elektronikschrott, nur um eine Bankkarte, Schlüsselbund und Perso/FS/Impfpass zu ergänzen?
      Oder bekommen demnächst Wohnungslose und andere Einkommensschwache, die Gerätschaften mitsamt Aufladestation und Wartungspersonal, im Rahmen der Zwangsdigitalisierung vom Staat gestellt? Ach egal, politisch korrekte Grinsebildchen auf dem bunten Spielzeug sind wichtiger.

      • Wolfgang glänzt hier nur mit Fachwissen. Ist dir das eigentlich nicht peinlich, dass das jeder öffentlich lesen kann?

        • Wolfgang D. says:

          @Mike „Wolfgang glänzt hier nur mit Fachwissen“
          Sagt der selbsternannte „Sicherheitsexperte“ Mike (K.?), der erst zufrieden ist wenn alles gut eingemauert wurde, ohne Rücksicht auf Nutzer, Barrierefreiheit, oder gar Benutzbarkeit.

          Und den Anbietern fällt nichts besseres ein, als neuen noch komplexeren proprietären Blödsinn draufzusetzen. Super für euch Wichtighuber und Verkäufer, schlecht für uns Nutzer, die „im Namen der Sicherheit“ immer mehr persönliche Daten beim Anbieter abgeben dürfen.

  6. Ich bin letztes Jahr vom Schlüsselbund auf Bitwarden umgestiegen, nutze zwar Macbook und zuvor auch iPhone – War das ewige raussuchen von Passwörtern auf „non-Apple“ Geräten aber leid. Wer mal ein anderes Gerät in die Hand nimmt steht nämlich blöd da. Die Passwörter aus der iCloud extrahieren funktioniert übrigens nur händisch, waren 2 Tage Arbeit.

    • Genauso war es bei mir auch! Nutze jetzt Bitwarden weil ich auch auf Non-Apple-Geräten meine Passwörter benötige. Werde wohl nicht mehr auf den Apple-Zug aufspringen.

  7. Sollte ich jemals diese Funktion nutzen brauchen wir uns keine Sorgen mehr über den Klimawandel zu machen.
    Dann ist nämlich die Hölle zugefroren.
    Diese Funktion hat einen Zweck und einen Zweck allein, den Abschied oder auch nur den Teilabschied aus dem Appleverse so nervig wie nur irgend möglich zu machen.
    Mir so einen single point of failure meiner gesamten digitalen Existenz an die Backe zu nageln kommt unter keinen Umständen in Frage.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.