Apple hat es mal wieder allen gezeigt. Anfang Mai 2022 erklärten Apple, Google und Microsoft gemeinsam, dass das passwortlose Anmelden mit Sicherheitsschlüsseln "irgendwann 2023" kommen sollte. Jetzt hat der iPhone-Konzern seine Version der Anmeldung - Apple nennt sie "Passkeys" - direkt in sein neues mobiles Betriebssystem iOS 16 gepackt. Seit Montag steht es den Nutzern zur Verfügung.
Sich bei Webseiten und Apps ohne die leidigen Passwörter anmelden zu können, ist seit vielen Jahren eine Utopie, die viele liebgewonnen haben. Es leuchtet auch sofort ein, warum. Sicherheitsmaßnahmen gehören für Nutzer zu dem nervigsten Dingen, die das Internet zu bieten hat. Jedes Jahr mindestens zwei Mal erklären seriöse Medien, wie ein gutes Passwort auszusehen hat ("auf keinen Fall Wörter aus dem Wörterbuch!") und dass es wirklich helfen würde, wenn Nutzer die Zwei-Faktor-Authentifizierung für alle relevanten Log-ins einschalten würden - einen zusätzlichen Schutz, den viele Webseiten anbieten.
Trotzdem tauchen im Netz wöchentlich neue Datenlecks mit Millionen Nutzernamen und Passwörtern auf. Und dennoch gehören "Passwort" und "123456" immer noch zu den meistgenutzten Kennwörtern im Netz. Diese Statistik mag durch einige Effekte statistisch verzerrt sein, zum Beispiel werden oft Accounts gekapert, die Nutzern gar nicht wichtig waren. Dennoch bleibt unterm Strich die Erkenntnis: Menschen sind offenbar nicht für Passwörter geschaffen.
Handy statt zusätzliche Hardware
Das haben sich auch die Initiatoren der FIDO-Allianz gedacht. Sie arbeiten seit Jahren an einem Sicherheitsstandard, der ohne Passwörter auskommt. Im Prinzip funktioniert das schon längst zuverlässig, etwa mithilfe kleiner USB-Schlüssel wie dem Yubikey. Diese werden bislang vor allem in großen Unternehmen eingesetzt. Technisch gesehen ist das Ganze ein asymmetrisches Verschlüsselungssystem wie man es von der E-Mail Verschlüsselung mit PGP kennt. Kern des Verfahrens ist ein Schlüsselpaar: Ein öffentlicher und ein geheimer, privater Schlüssel. Damit die asymmetrische Verschlüsselung für den Log-in funktioniert, müssen Nutzer das Verfahren auf jeder Webseite einrichten. Dann generieren sie ein Schlüsselpaar, der öffentliche Schlüssel bleibt auf den Servern der Webseite, der Private beim Nutzer. Zugang zum Konto auf der Seite bekommt nur, wer den Besitz des dazu passenden privaten Schlüssels beweisen kann.
Der Yubikey und ähnliche Hardware-Geräte mussten dazu noch in den Computer gesteckt werden. Die neueste Version des FIDO-Standards ermöglicht dagegen Erstaunliches: Nutzer speichern den privaten Sicherheitsschlüssel einfach per Software auf einem besonders geschützten Bereich ihres Mobilgeräts. Sie können sich also ein zusätzliches Gerät sparen, das Handy hat sowieso jeder dabei. Die Prüfung der erforderlichen Daten passiert per Bluetooth. Wenn eine Nutzerin mit ihrem Laptop auf eine Seite mit Log-in surft, muss sie nur noch ihren Benutzernamen eingeben und auf Einloggen drücken. Die Webseite prüft dann automatisch, ob für den Nutzernamen der notwendige privaten Schlüssel vorliegt und lässt die Nutzerin nach erfolgreicher Prüfung in das Konto. Sollte das iPhone einmal verloren gehen, sind die Zugänge dennoch nicht verloren. Der private Schlüssel wird zusätzlich in der Apple-Cloud gespeichert, der Nutzer kommt also wieder ran.
Phishing wird so unmöglich - also das Abgreifen von Nutzernamen und Passwörtern über gefälschte Webseiten, auf die Nutzer zum Beispiel per E-Mail gelockt werden. Diese Art des Hackerangriffs ist die große Schwäche des Passwortsystems. Tausende Cyberkriminelle könnten nun also arbeitslos, das Internet deutlich sicherer werden.
Doch die schöne neue passwortlose Welt lässt auch bei Apple noch auf sich warten. Wie so oft ist das Dasein des Pioniers ist ziemlich einsam. Zwar lässt sich Nutzern des Internetforums Reddit zufolge das iPhone schon auf zahlreichen Webseiten als Sicherheitsschlüssel hinterlegen, jedoch bislang nur als zusätzliches Sicherheitsmerkmal einer Zwei-Faktor-Authentifizierung - also als Alternative zu einer Authentifizierungs-App, SMS oder eben einem Yubikey. Das ist zwar für Sicherheitsfans dennoch praktisch, ein Passwort benötigen die Nutzer dann aber auch weiterhin - es ist ja nach wie vor der erste von zwei Faktoren. Bis weitere vielgenutzte Webseiten und Apps das Verfahren anbieten, bleibt die passwortlose Anmeldung noch Theorie.
