Der Anfang vom Ende: Wie gestohlene Daten Leben ruinieren
Apple schaltet um: Passwörter sollen im Safari-Browser schon bald der Vergangenheit angehören. Ersetzt werden sie durch die sogenannten „Passkeys“. Im Wesentlichen handelt es sich dabei um Paare aus privaten und öffentlichen Schlüsseln, die auf dem Branchenstandard WebAuthn basieren. Zum Einloggen benötigt der User kein Passwort mehr; es werden ausschliesslich biometrische Merkmale wie Gesicht oder Fingerabdruck zur Authentifizierung verwendet. Gespeichert werden die Passkeys auf dem Gerät und im iCloud-Schlüsselbund. Was diesen Schritt so wichtig macht: Apple steht mit der Umstellung auf passwortfreie Logins nicht allein, sondern vollzieht den Schritt als Teil einer Allianz aus Tech-Konzernen, zu der auch andere Branchengrössen wie Google und Microsoft zählen. Lesen Sie hier, wie Passkeys als sicheres Authentifizierungsverfahren das Browsen und Einkaufen im Netz verbessern sollen.
Passwörter gelten seit Jahren als wunder Punkt der IT-Sicherheit: Sind Passwörter kurz und für die Nutzer leicht zu merken, sind sie nicht sicher – und sind sie, wie von Experten empfohlen, mindestens zwölf Zeichen lang sowie mit Sonderzeichen und Zahlen gespickt, so kann sie sich kaum jemand merken. Zudem bieten Passwörter eine breite Angriffsfläche für Cyberkriminelle: Mittels Phishing-Attacken leiten sie ihre Opfer auf gefälschte Firmenwebsites oder geben sich am Telefon als Vorgesetzte aus – alles, um die Nutzer zur Herausgabe ihrer vertraulichen Zugangsdaten zu bewegen. Bis die so getäuschten Personen oder die IT-Verantwortlichen eines betroffenen Unternehmens den Angriff bemerken, ist es meist schon zu spät – denn die Kriminellen benötigen meist nur wenige Minuten, um wertvolle Firmen-Interna von Servern abzuschöpfen oder auf Kosten ihrer Opfer auf Online-Einkaufstour zu gehen.
Nicht nur Apple: Passkeys sind ein Gemeinschaftswerk
Passkeys sollen diese Verwundbarkeit, unter der Online-Dienstleister und -Shops ebenso zu leiden haben wie Endkunden, ein für alle Mal beseitigen. Mit dieser neuen Stufe passwortfreier Authentifizierung wird die Praxis umgesetzt, wofür sich Apple gemeinsam mit den übrigen „Big Tech“-Unternehmen Alphabet (Google), Amazon, Meta (ehemals Facebook) und Microsoft sowie Hardware-Herstellern von Intel bis Qualcomm bereits seit 2012 in der FIDO-Alliance einsetzt. Ziel der Organisation ist es, die Verwendung von Passwörtern zu reduzieren und die Authentifizierungsstandards auf Desktop- und mobilen Geräten zu verbessern.
Apples Passkey ist somit keine aufs eigene Produkt-Ökosystem beschränkte Eigenentwicklung, sondern FIDO2 konform. Sie entspricht also in seiner Umsetzung dem standardisierten Log-In-Credential, welches von der FIDO Alliance entwickelt wurde. Da andere Mitglieder der FIDO Alliance wie Microsoft und Google das Verfahren ebenfalls unterstützen, dürfte es sich in den kommenden Jahren rasch durchsetzen. Neben dem Verzicht auf Passwörter bringt der sichere Login noch weitere Vorteile mit sich. Zum einen ist er unabhängig vom Endgerät, der Betriebssystemplattform und dem verwendeten Browser. Zum anderen stellt er sicher, dass die digitalen Schlüssel geräteübergreifend sicher geteilt werden – die persönlichen Passkeys stehen dem Nutzer also ohne erneute Anmeldung auf jedem seiner Geräte zur Verfügung, was die Nutzererfahrung entscheidend verbessert.
Damit das neue System in Zukunft reibungslos funktioniert, ziehen aber nicht nur die Tech-Giganten an einem Strang: Es müssen auch Online-Dienstleister und -Shops ihren Teil zum Erfolg beitragen, indem sie ihre Apps und Websites fit für die passwortfreie Zukunft machen. Die Mitglieder der FIDO-Allianz bieten dafür bereits entsprechende Programmierschnittstellen an.
Anpassung von Webshops und Co.
Website-Betreiber können solche APIs selbst in ihre Software-Architektur einbinden – oder sie können auf Authentifizierungslösungen von Drittanbietern wie Nevis zurückgreifen, die die FIDO-Authentifizierung mit Passkeys bereits vollständig anbieten. Dabei handelt es sich heute üblicherweise um Cloudlösungen: Unternehmen müssen sich also nicht selbst darum kümmern, die Login-Komponenten auf dem neuesten Stand zu halten. Stattdessen wird das zentral vom Dienstleister erledigt.
Bis Passkeys wirklich überall einsatzbereit sind, dürfte es zwar noch einige Zeit dauern – doch eins ist dank der breiten Unterstützung durch Hard- und Softwarehersteller bereits sicher: Die Innovation ist nicht aufzuhalten und wird das Agieren und Einkaufen im Netz ein entscheidendes Stück sicherer machen.
