iOS 16 mit Passkey: Keine klassischen Passwörter mehr bei Apple

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu iOS 16 mit Passkey: Keine klassischen Passwörter mehr bei Apple

Mit iOS 16 möchte Apple "Passkey" einführen, das die Eingabe von klassischen Passwörtern obsolet macht. Stattdessen sollen kryptografische Schlüssel diese Funktionen übernehmen und hohe Sicherheit für Nutzer mit vorher schwachen Passwörtern bieten. Lesen Sie dazu im Folgenden mehr.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: iOS 16 mit Passkey: Keine klassischen Passwörter mehr bei Apple
 
Krabonq schrieb:
D.h. Logins bei den betroffenen Accounts sind damit auf anderen Geräten unmöglich. lmao
Zum Vergrößern anklicken....

Einen Passwortmanager kannst du auch auf mehreren Geräten benutzen und sogar synchronisieren lassen. Dann musst du nicht mal auf anderen Geräten dein Passwort einmal eingeben.

Neuer Account -> ein gutes Passwort wird automatisch generiert und in deinen Passwortmanager geschrieben. Dieser synchroniert mit allen deinen Geräten und du brauchst immer nur ein Passwort/Fingerabdruck/was auch immer um dich einzuloggen bei jedem Account.
 
Ich bin unsicher ob diese Methode wirklich besser ist, ich muss u.a. trotzdem ein Pw eingeben. Wird es, weil durch diese Methode auf dem Gerät einer der Schlüssel gespeichert wird, nicht sogar einfacher sie zu knacken?
 
AyC schrieb:
Einen Passwortmanager kannst du auch auf mehreren Geräten benutzen und sogar synchronisieren lassen. Dann musst du nicht mal auf anderen Geräten dein Passwort einmal eingeben.

Neuer Account -> ein gutes Passwort wird automatisch generiert und in deinen Passwortmanager geschrieben. Dieser synchroniert mit allen deinen Geräten und du brauchst immer nur ein Passwort/Fingerabdruck/was auch immer um dich einzuloggen bei jedem Account.
Zum Vergrößern anklicken....

So ähnlich mache ich das über KeePass mit mehreren Geräten. Die Datei liegt im Onedrive, Entschlüsselung immer nur auf den jeweiligen Geräten mit dem Master-Password. Die Datei wird automatisch nach einer gewissen Zeit bzw. bei gewissen Ereignissen wie Bildschirmsperre wieder gesperrt.
Allerdings ist das wohl keine besonders laienfreundliche Lösung.

Und den Extraweg über ein langes komplexes Passwort für die KeePass Datei gehe ich trotzdem. Ich möchte ungerne, dass das alles nur an meinen biometrischen Daten hängt.

Generell finde ich Ansätze aber gut, automatische Passwortverwaltung einer großen Anzahl an Laien zugänglich zu machen. Besser als der Klassiker "ein Passwort für alles" ist es allemal. Ich habe aber so meine Befürchtungen beim Vendor-Lock durch closed source und nicht kompatible Lösungen verschiedener Anbieter.
 
Wenn du dein Passwort für alles 1234 nennst, dann ist es natürlich nicht so toll. Aber auch dann muss jemand ja noch Zugriff auf deinen Passwortmanager haben. Wenn jemand aber schon Zugriff auf deinen PC hat, dann hat er ja sowieso alle Passwörter. Ich meine im Webbrowser kann auch jeder die Passwörter ansehen für deine Accounts.

Mit dem Passwort für deinen Passwortmanager entschlüsselst du ja quasi nur für dich die Passwörter.
dailydoseofgaming schrieb:
Generell finde ich Ansätze aber gut, automatische Passwortverwaltung einer großen Anzahl an Laien zugänglich zu machen. Besser als der Klassiker "ein Passwort für alles" ist es allemal. Ich habe aber so meine Befürchtungen beim Vendor-Lock durch closed source und nicht kompatible Lösungen verschiedener Anbieter.
Zum Vergrößern anklicken....

Am Ende entscheidet die Umsetzung. Die meisten werden wohl per Fingerabdruck (nicht super sicher) den Keymanager benutzen und gewinnen dadurch insgesamt trotzdem enorm an Sicherheit.

Bisher gibt es einfach viele schwache Passwörter und diese werden für ganz viele Accounts verwendet. Ein Portal wird gehackt und das Passwort mit anderen Diensten ausprobiert. -> Big Problem!

So bekommt jeder Dienst einen 20+ Key, der nicht erratet werden kann und auch nur für den einzigen Dienst gilt. Ich merke mir auch lieber 1 kompliziertes Passwort (z.B. "KlausGeht93+SpielenFür$$$") als mir ganz viele Passwörter zu merken.

Auf der anderen Seite ist das eigene Smartphone auch nur über Fingerabdruck gesichert in 99% der Fälle...
 
Zuletzt bearbeitet:
Gamer090 schrieb:
Ich bin unsicher ob diese Methode wirklich besser ist, ich muss u.a. trotzdem ein Pw eingeben. Wird es, weil durch diese Methode auf dem Gerät einer der Schlüssel gespeichert wird, nicht sogar einfacher sie zu knacken?
Zum Vergrößern anklicken....

Die Speicher in den Geräten gelten als ziemlich sicher gegenüber direkte Angriffe. Gerade bei Apple läuft ja schon länger von Kreditkarten bis Autoschlüsseln allesmögliche darüber. Rein technisch handelt es sich also um einen recht soliden Passwortmanager; das Entsperren des Geräts dient als Masterpasswort. Der Rest ist gängige Cloud-Praxis – Banking-Apps z.B. verknüpfen seit Jahren die einmalige Freischaltung fix mit dem individuellen Gerät, auf dem sie laufen, sodass zumindest theoretisch keine Gefahr besteht, wenn nur die Zugangsdaten ausgespäht werden – ohne freigeschaltetes Zugangsgerät sind sie wertlos.

Das Grundproblem ist und bliebt hier wie dort: Smartphones sind schnell geklaut, Unlock-Vorgänge in der Öffentlichkeit häufig zu beobachten und biometrische Merkmale offensichtlich. Fingerabdrücke liefern Smartphones sogar in geradezu störendem Umfang mit, da kann man praktisch von 1-Faktor-Authentifizierung sprechen und der eine Faktor wird auch noch regelmäßig grifffreundlich auf Cafe-Tischchen jedem offeriert, der seine Hände schnell bewegen kann.
 
Gamer090 schrieb:
Wird es, weil durch diese Methode auf dem Gerät einer der Schlüssel gespeichert wird, nicht sogar einfacher sie zu knacken?
Zum Vergrößern anklicken....
Das System, also das Smartphone/MacBook/iPad etc. generiert einen eindeutigen Schlüssel, auf den nur mit einer Benutzerauthentifizierung über Face ID oder Touch ID zugegriffen werden kann.

Dieser Schlüssel ist privat und wird benötigt, um sich tatsächlich anzumelden. Der Server erfährt nie, was der private Schlüssel ist. (Der Server selbst hat einen eigenen Schlüssel, welcher auch direkt auf ihm abgelegt ist. Das ist quasi der "öffentliche" Schlüssel.)

Ein Passkey selbst ist in der iCloud Keychain abgelegt und für den User nicht sichtbar. Dennoch können Passkeys via AirDrop weitergegeben werden. Die iCloud Keychain wird auch für den Sync zu anderen Apple Devices verwendet. Die iCloud Keychain selbst ist mit starken kryptografischen Schlüsseln, die Apple nicht bekannt sind, Ende-zu-Ende-verschlüsselt.

Selbst wenn jemand dein Apple-ID Passwort haben sollte, kann er sich ohne 2FA damit an keinem Device anmelden. Denn die iCloud Keychain setzt bei Verwendung immer 2FA voraus. ;)

PCGH_Torsten schrieb:
Die Speicher in den Geräten gelten als ziemlich sicher gegenüber direkte Angriffe. Gerade bei Apple läuft ja schon länger von Kreditkarten bis Autoschlüsseln allesmögliche darüber.
Zum Vergrößern anklicken....
Jep. Apple setzt hier je nach verbauten Chip auf verschiedene Versionen der Secure Enclave.

Das Risiko das Torsten genannt hat bleibt dennoch.
PCGH_Torsten schrieb:
Das Grundproblem ist und bliebt hier wie dort: Smartphones sind schnell geklaut, Unlock-Vorgänge in der Öffentlichkeit häufig zu beobachten und biometrische Merkmale offensichtlich. Fingerabdrücke liefern Smartphones sogar in geradezu störendem Umfang mit, da kann man praktisch von 1-Faktor-Authentifizierung sprechen und der eine Faktor wird auch noch regelmäßig grifffreundlich auf Cafe-Tischchen jedem offeriert, der seine Hände schnell bewegen kann.
Zum Vergrößern anklicken....

Dennoch glaube ich, das es für viele ein enormer Sicherheitsgewinn sein wird. :)
Will man sich das nicht antun, dann bleibt immer noch ein YubiKey zum Beispiel. Aber auch den muss man hüten wie seinen Augapfel. ;)
 
AyC schrieb:
Einen Passwortmanager kannst du auch auf mehreren Geräten benutzen und sogar synchronisieren lassen. Dann musst du nicht mal auf anderen Geräten dein Passwort einmal eingeben.

Neuer Account -> ein gutes Passwort wird automatisch generiert und in deinen Passwortmanager geschrieben. Dieser synchroniert mit allen deinen Geräten und du brauchst immer nur ein Passwort/Fingerabdruck/was auch immer um dich einzuloggen bei jedem Account.
Zum Vergrößern anklicken....

Mir geht es speziell um den PC als "anderes Gerät".
So, wie ich das verstanden habe, braucht es zwingend diese Anbindung an die apple Server für den Login, da man selber das Passwort beim Login des jeweiligen Dienstes/Website gar nicht mehr weiß?
 
Krabonq schrieb:
D.h. Logins bei den betroffenen Accounts sind damit auf anderen Geräten unmöglich. lmao
Zum Vergrößern anklicken....
Nein. Man kann auch andere FIDO Tokens mit einem FIDO Account verknüpfen - sofern es nicht um Apple geht^^ - und damit dann die Token an unterschiedlichen Geräten benutzen.

Prinzipiell müsste es auch gehen, ein iPhone per Bluetooth an einem PC oder Laptop anzubinden und so die Authentifizierung durchzuführen.
Da es seit dem ersten Tag FIDO Tokens mit USB Anschluss gibt, müsste selbst eine USB Verbindung zum iPhone möglich sein - aber es ist Apple... also könnte es auch gesperrt sein.

Edit: Hier noch was zu FIDO2:
www.heise.de

Online-Schlüssel

Mit einem Sicherheitsschlüssel schützen Sie Ihre Accounts effektiv vor Phishing und Trojanern. Spielt der Dienst mit, können Sie sich sogar ohne Benutzername und Passwort einloggen. Manche Sticks eignen sich auch zur Mail-Verschlüsselung. Wir haben die derzeit erhältlichen Modelle ausprobiert...
www.heise.de www.heise.de

Gamer090 schrieb:
Ich bin unsicher ob diese Methode wirklich besser ist, ich muss u.a. trotzdem ein Pw eingeben. Wird es, weil durch diese Methode auf dem Gerät einer der Schlüssel gespeichert wird, nicht sogar einfacher sie zu knacken?
Zum Vergrößern anklicken....

PCGH_Torsten schrieb:
Die Speicher in den Geräten gelten als ziemlich sicher gegenüber direkte Angriffe. Gerade bei Apple läuft ja schon länger von Kreditkarten bis Autoschlüsseln allesmögliche darüber. Rein technisch handelt es sich also um einen recht soliden Passwortmanager; das Entsperren des Geräts dient als Masterpasswort. Der Rest ist gängige Cloud-Praxis – Banking-Apps z.B. verknüpfen seit Jahren die einmalige Freischaltung fix mit dem individuellen Gerät, auf dem sie laufen, sodass zumindest theoretisch keine Gefahr besteht, wenn nur die Zugangsdaten ausgespäht werden – ohne freigeschaltetes Zugangsgerät sind sie wertlos.

Das Grundproblem ist und bliebt hier wie dort: Smartphones sind schnell geklaut, Unlock-Vorgänge in der Öffentlichkeit häufig zu beobachten und biometrische Merkmale offensichtlich. Fingerabdrücke liefern Smartphones sogar in geradezu störendem Umfang mit, da kann man praktisch von 1-Faktor-Authentifizierung sprechen und der eine Faktor wird auch noch regelmäßig grifffreundlich auf Cafe-Tischchen jedem offeriert, der seine Hände schnell bewegen kann.
Zum Vergrößern anklicken....
Man muss sich ja nicht unbedingt ein Apple Gerät dafür holen.
Es gibt mehr als ausreichend Auswahl an FIDO2 kompatiblen Tokens, Keys und auch Smartphones mit USB-A, C, Bluetooth, oder auch NFC Verbindung.
Die funktionieren je nach Modell mit und ohne Fingerabdruck.
 
Für FIDO2 muss das doch der entsprechende Dienst können also ist bis zu einer gewissen Verbreitung nicht viel los mit "passwortlos". :huh:
Wenn Apple jetzt ordenlich Werbung dafür macht und es einfach einfach funktioniert, könnte sich das irgendwann ändern.

Khabarak schrieb:
Es gibt mehr als ausreichend Auswahl an FIDO2 kompatiblen Tokens
Zum Vergrößern anklicken....
Mehr als es Dienste gibt, was?
25 € oder mehr und zur Sicherheit 2-3 davon.

Khabarak schrieb:
Smartphones
Zum Vergrößern anklicken....
Android ab 7 kann das wohl auch - irgendwie. Bei google lässt es sich testweise als Sicherheitsschlüssel einrichten, bei MS geht nur USB/NFC/BT. :ka:
Momentan finde ich das überaus undurchsichtig, evtl. sollte ich mich mal etwas genauer damit befassen.

So viele Sicherheitsrelevante Dienste habe ich ja nicht und die, die es sind, können damit eh nichts anfangen. :crazy:
 
Man kann heutzutage mehr Dienste mit dem NPA nutzen, als mit FIDO...
Ist irgendwie schon ein wenig ironisch, dass die Behörden etc. da schneller sind, als Tech Firmen.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Großes iPhone-Update: Das sind Apples Änderungen mit iOS 17.4
Antworten
9
Aufrufe
744
Mike-M-83
M
PCGH-Redaktion
News Update-Alarm bei Apple: Sicherheits-Patches für alte iPhones, iOS 17.3 mit gewichtigem Diebstahlschutz
2
Antworten
21
Aufrufe
1K
BigBoymann
B
PCGH-Redaktion
News Update-Tag für Apple: iOS 17.1 und watchOS 10.1 sind da
Antworten
1
Aufrufe
646
drstoecker
drstoecker
PCGH-Redaktion
News iOS 17.2 und iPadOS 17.2: Finale Versionen sind veröffentlicht
Antworten
1
Aufrufe
470
efes
efes
PCGH-Redaktion
News Apple: iOS 17 hat einen Release-Termin
Antworten
1
Aufrufe
473
Axel12
A
Oben Unten
Zurück