Da Apple heute sein iOS 16-Update einführt, ist Passkey eine der wichtigsten Sicherheitsfunktionen, die Benutzern zur Verfügung stehen wird. Diese Funktion ermöglicht es Benutzern, sich mit ihren Apple-Geräten ohne Passwörter bei Websites und Diensten anzumelden.
Was ist Passkey?
Passkeys sind die Implementierung eines Industriestandards durch das Unternehmen, der entwickelt wurde, um Passwörter für die Online-Authentifizierung zu entfernen. Anfang dieses Jahres haben sich Apple, Google und Microsoft mit der FIDO Alliance und dem World Wide Web Consortium zusammengetan, um daran zu arbeiten, Passwörter für die Benutzerauthentifizierung auf allen Plattformen zu entfernen.
Apple kündigte auf seiner Worldwide Developer Conference (WWDC) im Juni eine eigene Version dieses Standards namens Passkey an. Laut Apple werden Passkeys auf macOS Ventura, iOS 16 und iPadOS 16 unterstützt.
Passkeys können das Risiko von Kontokompromittierungen verringern, da sie Passwörter aus dem Authentifizierungsfluss entfernen, die durchgesickert, offengelegt oder gestohlen werden können. Außerdem werden Passkeys nicht über Websites hinweg wiederverwendet, wie dies bei Passwörtern der Fall sein kann, sodass das Risiko, dass gestohlene Anmeldeinformationen andere Konten beeinträchtigen, geringer ist.
Wie wird es funktionieren?
Passkey basiert auf dem WebAuthn-Standard, sodass Benutzer eine biometrische Authentifizierung wie Face ID, Touch ID oder eine PIN verwenden können, um einen Anmeldeversuch zu validieren. Anstatt sich auf die Kombination aus Benutzername und Passwort zu verlassen, verwenden Passkeys auf einer höheren Ebene Ihr Gerät, um zu beweisen, dass Sie der rechtmäßige Eigentümer des Kontos sind.
Wenn Sie zu einer Website gehen, die Passkey bereits implementiert hat – wie diese Demo-Website – Sie können eine neue Option zum Anmelden sehen, die ihre Geräte verwendet oder Anmeldeinformationen verwendet, die in Ihrem iCloud-Schlüsselbund gespeichert sind. Wenn Sie kein vorregistriertes Konto auf der Website haben, werden möglicherweise einige grundlegende Informationen abgefragt und der Hauptschlüssel im iCloud-Schlüsselbund gespeichert – kein Kennwort erforderlich. Sobald Sie ein Konto registriert haben, wird der iCloud-basierte Hauptschlüssel auf allen Apple-Geräten mit derselben Apple-ID geteilt.
All dies basiert auf den von FIDO vorgeschlagenen Multi-Device-Anmeldeinformationen, die es Benutzern ermöglichen, Authentifizierungsschlüssel auf mehreren Geräten zu speichern, sodass Benutzer sich anmelden können, ohne ein Passwort zu benötigen. Das bedeutet, dass es plattformübergreifend funktionieren sollte, aber Google und Microsoft müssen die Technologie noch auf ihren Plattformen implementieren.
Passkeys funktionieren, indem sie ein Schlüsselpaar generieren – einen öffentlichen Schlüssel und einen privaten Schlüssel, der auf dem Gerät gespeichert ist. Der öffentliche Schlüssel wird in der Cloud gespeichert und zwischen Geräten geteilt, die ihre eigenen privaten Schlüssel haben. Dadurch wird auch sichergestellt, dass der Angreifer bei einer Kompromittierung eines Servers nicht über beide Schlüssel verfügt, um Zugriff auf Konten zu erhalten.
Wie Passkeys generiert und geteilt werden. Bildnachweis: FIDO-Allianz
Benutzer können ihre Passkeys direkt von verwalten Einstellungen > Passwörter. Es gibt keinen separaten Abschnitt für gespeicherte Passkeys, aber die Websites, die Passkeys verwenden, werden in diesem Abschnitt angezeigt. Benutzer können ihre Kontodaten auch einfach an einen Freund weitergeben, indem sie auf die Schaltfläche „Teilen“ auf dem Bildschirm dieses bestimmten Passkeys tippen und sie über Airdrop an einen Kontakt in der Nähe weitergeben.
Was passiert als nächstes?
Derzeit unterstützen nur wenige Websites die Passkey-basierte Authentifizierung, aber das wird wahrscheinlich im Laufe der Zeit zunehmen, wenn Entwickler damit beginnen, Passkeys in ihren Diensten zu implementieren. Zunächst werden Passkeys auf Macs, iPads und iPhones unterstützt. Wenn Sie ein Windows- oder Chrome-basiertes Gerät oder ein Android-Telefon verwenden, werden Sie auf der Website aufgefordert, sich mit einem QR-Code zu verifizieren, den Sie mit Ihrem iPhone scannen können. Wenn Benutzer sich nicht auf iCloud-basierte Sicherungen verlassen möchten, mögen Passwort-Manager Dashlane haben auch die Unterstützung für das Speichern von Passkeys angekündigt.
Passkeys stecken noch in den Anfängen. Die meisten beliebten Websites verlassen sich immer noch auf die Kombination aus Benutzername und Passwort, sodass eine passwortlose Zukunft noch in weiter Ferne liegt.