Apple arbeitet an einer Revolution, was die Sicherheit von hunderten Millionen, ja Milliarden Usern betrifft.
Die Kalifornier wollen nicht weniger als das Passwort abschaffen. Und sie sind diesem Ziel, das auch der grosse Konkurrent Google verfolgt, schon erstaunlich nah. Das zeigte eine Präsentation diese Woche an der WWDC, Apples (erneut) nur virtuell abgehaltenen Entwicklerkonferenz.
Am Mittwochabend (Schweizer Zeit) gab Apple anlässlich der Entwicklerkonferenz WWDC eine Demo. Dies für die weltweit vor den Bildschirmen versammelten IT-Fachleute.
Corona-bedingt fand auch die diesjährige Zusammenkunft von Apples Entwicklergemeinde virtuell statt. Garrett Davidson, Authentication Experience Engineer, hielt einen knapp halbstündigen Vortrag. Das Video ist auf der Apple-Website für Interessierte verfügbar (siehe Quellen).
Der Titel seiner Präsentation lautete:
Der Apple-Ingenieur erklärt im Video eine neue Funktion namens «Passkeys in iCloud Keychain».
Klingt vielleicht kompliziert, ist aber verblüffend einfach. Wie es im Detail funktioniert, erfährst du weiter unten.
Im Wesentlichen sind «Passkeys» Paare aus privaten und öffentlichen Schlüsseln, die auf dem branchenweit anerkannten Standard WebAuthn basieren. Sie funktionieren im Grunde wie ein Hardware-Sicherheitsschlüssel, werden aber auf dem Gerät und im iCloud-Schlüsselbund gespeichert.
Die neue Authentifizierungsfunktion steht in iOS 15 und macOS Monterey zum Testen zur Verfügung, wie die Entwicklergemeinde am Mittwochabend erfuhr. Sie sei aber noch nicht bereit für eine vollständige Veröffentlichung.
Eine der stärksten Sicherheitsoptionen, die es heute gibt, sind Sicherheitsschlüssel, die in Form eines Hardware-Dongles oder Anhängers verwendet werden. Diesen «Schlüssel» führt man mit sich und steckt ihn – um sich auf einem Gerät anzumelden – in den passenden Anschluss. Dies kann ein USB-Port sein, oder auch Apples «Lightning»-Port.
Hardware-Sicherheitsschlüssel werden vor allem bei Hochsicherheits-Anwendungen verwendet und etwa auch, um digitale Schätze wie Kryptowährungen zu schützen.
Sie basieren auf dem Web-Authentifizierungs- oder WebAuthn-Standard, der vom World Wide Web Consortium (W3C) veröffentlicht wurde und allen offen steht.
Die meisten Hardware-Schlüssel, die es auch bei Schweizer Online-Händlern wie Brack oder Digitec zu kaufen gibt, seien «nach einer anfänglichen Lernkurve ziemlich einfach zu benutzen», betonte der Apple-Ingenieur in seinem Vortrag. Und sie seien viel sicherer als nur ein Passwort.
Die hohe Sicherheit resultiert aus der grundlegend anderen Funktionsweise im Vergleich zu den Login-Verfahren, bei denen es Benutzernamen und Passwort braucht.
Genau diese geteilten Geheimnisse, die in falsche Hände fallen können, ob durch Phishing, oder Hackerangriffe, braucht's beim «Public-Key-Verfahren» nicht. Und das geht so:
Statt auf spezieller Hardware (wie einem USB-Stick) speichert Apple den Schlüssel auf dem Gerät des Users, sowie – mit Ende-zu-Ende-Verschlüsselung – in der iCloud.
Für die Nutzerinnen und Nutzer bieten Passkeys eine einfache und sichere Alternative zu Passwörtern. Sie können sich mittels Gesichtserkennung (Face ID) oder Fingerabdruck (Touch ID) authentifizieren, um sich automatisch anzumelden.
Dies funktioniere auch beim ersten Besuch auf einer Website extrem einfach, sagte der Apple-Ingenieur.
Voraussetzung ist, dass die Technologie durch die Webseiten-Betreiber und Dienste-Anbieter implementiert wurde.
Auch später, wenn man sich erneut anmelden will, sendet man dem Server keine geheimen Daten. Stattdessen beweist man dem virtuellen Gegenüber, dass es sich tatsächlich um das eigene Konto handelt. Dies tut man, indem man beweist, dass das eigene Gerät den privaten Schlüssel kennt, der mit dem öffentlichen Schlüssel des Kontos verknüpft ist.
Wenn sich ein User, bzw. dessen Smartphone oder Computer (links) bei einem bestimmten Server (rechts) anmelden will, müssen keine «Geheimnisse» übertragen werden. Vielmehr schickt der Server auf das Anmelde-Begehren hin eine sogenannte «Challenge» (Herausforderung) zurück.
Das Gerät hat den privaten Schlüssel, also nimmt es diese Herausforderung an und tut etwas, das «Signieren» der Herausforderung genannt wird. Nur dieser eine private Schlüssel kann eine gültige Signatur für das Konto erzeugen. Diese Signatur wird dann an den Server zurückgeschickt.
Der Server hat ja – wie wir oben gesehen haben – bereits den öffentlichen Schlüssel, sodass er diese Signatur mit diesem gespeicherten öffentlichen Schlüssel abgleichen kann.
Wenn es passt, ist man drin.
Anmerkung: Das Public-Key-Verfahren kommt auch bei den fälschungssicheren Covid-Zertifikaten zum Einsatz. So speichert zum Beispiel die Schweiz ihre privaten Schlüssel in sogenannten Hardware-Sicherheits-Modulen (HSM). Das sind quasi die Hardwareschlüssel, die im Rechenzentrum des Bundesamts für Informatik und Telekommunikation lagern. Mit diesen privaten Schlüsseln werden die Covid-Zertifikate signiert. Die öffentlichen Schlüssel werden unter anderem dem Server der Europäischen Union (EU) in Brüssel geschickt. Damit können die vom Bund (mit dem privaten Schlüssel) signierten Zertifikate später auf ihre Echtheit überprüft werden.
Mithilfe des iCloud-Schlüsselbunds können Apple-User schon heute ihre Passwörter und andere Sicherheitsinformationen auf allen Geräten synchron halten. Wichtig zu wissen: Die Daten sind durch Ende-zu-Ende-Verschlüsselung geschützt, sowohl bei der Übertragung im Internet als auch in den Rechenzentren. Apple kann sie nicht entschlüsseln. Und wenn man den Sicherheitscode vergisst, kann man nach erfolglosen Rettungsversuchen nicht mehr auf den Schlüsselbund zugreifen und dieser wird von den Servern gelöscht.
In ihrem iCloud-Schlüsselbund sollen Apple-User in Zukunft auch die «Passkeys» für das passwortfreie Anmelden speichern können. Apple-Ingenieur Garret betonte:
In den meisten Fällen sei nur ein einziger Tipp oder Klick nötig, um sich anzumelden. Und diese Lösung sei dank der kombinierten Sicherheit von WebAuthn und dem iCloud-Schlüsselbund stärker als die meisten anderen Lösungen.
Passkeys im iCloud-Schlüsselbund sind im Prinzip überall nutzbar, wo WebAuthn unterstützt wird. Derzeit seien das Browser und Apps auf Apples Plattformen, schreibt der US-Blog Apple Insider. Bis zur vollständigen Einführung des Standards werde es wohl noch einige Jahre dauern.
Passkeys sind zwar in iOS 15 und macOS Monterey integriert und diese neuen Betriebssysteme wird Apple gemäss Ankündigung im Herbst 2020 veröffentlichen. Jedoch müssen wir «normalen» User uns noch etwas gedulden. Vorläufig ist das neue Verfahren nur für Entwickler zum Testen gedacht. Apple sagt, dass das Testen der Funktion in bestehenden Apps und Arbeitsabläufen nur der erste Schritt einer «mehrjährigen Anstrengung beim Ersetzen von Passwörtern» sei.
Gute Nachrichten für Android-User: Apple ist natürlich nicht das einzige Unternehmen, das auf eine Zukunft ohne Passwörter hinarbeitet. So hat Google auf seiner I/O-Konferenz im Mai eine Reihe von neuen Datenschutz- und Sicherheitsfunktionen vorgestellt, die Passwörter ersetzen sollen.
