Derzeit gibt es eine primäre Methode, mit der wir den Online-Zugriff sichern: Benutzername und Passwort. Doch selbst wenn wir ein langes, kompliziertes und komplexes Passwort erstellen, bleibt in diesem Sicherheitssystem immer noch eine entscheidende Schwachstelle – der Benutzer.
Millionen wurden bereits Opfer von Phishing-Sites, Social Engineering und anderen Formen von Angriffen, die Passwörter kompromittieren. Aus diesem Grund will Apple das Passwort entfernen und durch Passkeys ersetzen.
Wie lösen Apple Passkeys also das Passwortproblem?
Was ist der Standard für die Webauthentifizierung (WebAuthn)?
Dieser Standard wird vom World Wide Web Consortium (W3C) veröffentlicht, einer Organisation, die sich der Erstellung von Protokollen und Richtlinien für die langfristige Webentwicklung verschrieben hat. Durch die Entwicklung dieser neuen Authentifizierungstechnologie hofft die Gruppe, unsere Abhängigkeit von Passwörtern als primärem oder einzigem Weg zum Schutz unserer Daten zu verringern.
Apple ist auch Mitglied des W3C und integriert den WebAuthn-Standard in Apple-Passkeys. Diese Funktion funktioniert auch mit dem iCloud-Schlüsselbund, sodass Personen, die diesen Dienst bereits nutzen, ihr System nicht migrieren müssen.
Durch die Implementierung der WebAuthn-API stellen Webentwickler und Gerätehersteller eine Authentifizierung sicher, die über verschiedene Systeme hinweg funktioniert. Egal, ob Sie Android, iOS, Mac oder Windows verwenden, dieses passwortlose System sollte funktionieren.
Wie schützen Apple Passkeys Sie?
Die meisten von uns haben sich irgendwann auf Benutzernamen und Passwörter verlassen. Du tust es jetzt wahrscheinlich immer noch. Passwörter können jedoch leicht gehackt werden, insbesondere wenn der Benutzer kein sicheres Passwort hat oder Opfer von Social Engineering geworden ist.
Die traditionelle Kombination aus Benutzername und Passwort bedeutet auch, dass diese Informationen online gespeichert werden. Wenn also der von Ihnen verwendete Dienst, wie z. B. Twitch, gehackt wird, gefährdet der Angriff die Daten und mehr. Wenn Sie Ihren Benutzernamen und Ihr Passwort wiederverwenden, was viele tun, aber wir raten davon ab, sind auch Ihre anderen Konten gefährdet.
Zwei-Faktor-Authentifizierung (2FA) wurde entwickelt, um dieses Problem zu lösen. Durch Hinzufügen einer weiteren Sicherheitsebene tragen Benutzer dazu bei, unbefugten Zugriff auf ihre Konten zu verhindern.
Obwohl diese Technologie die Sicherheit dramatisch erhöht hat, insbesondere gegen Brute-Force-Angriffe, werden viele Benutzer immer noch Opfer davon Social-Engineering-Angriffe. Und während technisch versierte Benutzer Angriffe leicht erkennen können, sind diejenigen, die sich nicht so auskennen, möglicherweise nicht in der Lage Erkennen Sie die Anzeichen von Angriffen wie Phishing-Betrug.
Apple Passkeys zielen darauf ab, dieses Problem zu lösen, indem das Passwort vollständig entfernt wird. Wenn Sie sich bei einem Onlinedienst anmelden, müssen Sie Ihren Benutzernamen und Ihr Passwort nicht mehr eingeben. Stattdessen müssen Sie nur die biometrischen Sicherheitsfunktionen Ihres Geräts wie FaceID oder TouchID verwenden.
Der Dienst ist auch nicht nur auf Ihr Apple-Gerät beschränkt. Sie können Passkeys auf Ihrem Windows-PC oder Android-Tablet verwenden. Solange Sie auf eine Website zugreifen, die die WebAuthn-API implementiert, können Sie die biometrischen Funktionen Ihres Apple-Geräts verwenden, um sich bei Ihrem Konto anzumelden, selbst wenn Sie mit einem Gadget eines anderen Herstellers darauf zugreifen. Es ist, als würden Sie Ihr Apple-Gerät als Universalschlüssel verwenden, der jede digitale Tür öffnen kann.
Wie funktionieren Apple Passkeys?
Anstatt den Benutzernamen und das Passwort online zusammenzuhalten, verwendet Apple Passkeys Verwenden Sie asymmetrische Verschlüsselung. Entsprechend Sicherheitssupportseite für Passkeys von Apple:
Während der Kontoregistrierung erstellt das Betriebssystem ein eindeutiges kryptografisches Schlüsselpaar, das einem Konto für die App oder Website zugeordnet wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jedes Konto generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist kein Geheimnis. Der andere Schlüssel ist privat und wird benötigt, um sich tatsächlich anzumelden. Der Server erfährt nie, was der private Schlüssel ist. Auf Apple-Geräten mit verfügbarer Touch ID oder Face ID können sie verwendet werden, um die Verwendung des Hauptschlüssels zu autorisieren, der den Benutzer dann für die App oder Website authentifiziert. Es wird kein gemeinsames Geheimnis übertragen und der Server muss den öffentlichen Schlüssel nicht schützen.
Wenn Sie einen Benutzernamen und ein Passwort verwenden, hält der Server die Sperre (Ihren Benutzernamen) und den Schlüssel (Ihr Passwort). Um das Schloss zu öffnen, zeigen Sie dem Server, dass Sie einen ähnlichen Schlüssel haben, und er öffnet die Tür für Sie.
Aber mit Apple Passkeys wird der Server niemals den Schlüssel halten. Stattdessen übergibt es Ihnen das Schloss und Sie entriegeln es selbst. Und da der Server Ihnen die Sperre nur dann aushändigt, wenn er sie auch physisch hat (d. h. Ihre Daten sind tatsächlich auf seinem Server gespeichert), werden Phishing-Hacks zu Phishing-Hacks unwirksam, weil sie das Schloss nicht haben (d.h. sie können nicht nach dem Schlüssel fragen, weil Apple Passkeys ihn nur freigeben, wenn sie einen gültigen sperren).
Mit diesem System kann nur die gültige Entität einen Hauptschlüssel anfordern, wodurch sichergestellt wird, dass Benutzer weniger wahrscheinlich Opfer von Phishing-Betrug und anderen Social-Engineering-Angriffen werden. Es ist auch viel bequemer, da sich Benutzer nicht mehr unzählige Anmeldeinformationen merken müssen. Sie müssen sich lediglich bei ihrer 2FA-geschützten Apple-ID anmelden.
Ein weiteres Beispiel für ein passwortloses System
Während Apple möglicherweise das erste Unternehmen ist, das effektiv in ein Smartphone-Betriebssystem integriert wurde, ist es nicht das erste Unternehmen, das passwortlose Systeme implementiert. Wenn Sie ein Microsoft-Konto haben, sind Sie wahrscheinlich schon auf diese Technologie gestoßen.
Wenn Sie eingerichtet haben kennwortlose Anmeldungen mit Ihrem Microsoft-Konto, können Sie sich mit der Microsoft Authenticator-App anmelden – es sind kein Benutzername und kein Kennwort erforderlich. Obwohl es hauptsächlich im Microsoft Edge-Browser verfügbar ist, können Sie auch Windows Hello oder eine Sicherheit verwenden Schlüssel, um die Microsoft Authenticator-App zu verwenden, um sich in anderen Browsern wie Google bei Ihrem Microsoft-Konto anzumelden Chrom.
Abschied von Passwörtern?
Obwohl Benutzernamen und Passwörter Benutzer fast 60 Jahre lang geschützt haben, könnten sie es sein kurz vor dem Ende ihres Lebens dank besserer Sicherheitssysteme anderswo, die einfacher zu bedienen sind zu. Da wir uns für immer mehr Dienste anmelden, kann die Vorstellung, sich Dutzende, wenn nicht Hunderte von Benutzernamen-Passwort-Kombinationen zu merken, entmutigend sein.
Hacker werden auch immer ausgefeilter, was es ihnen ermöglicht, Daten auch bei erhöhter Sicherheit zu kompromittieren. Und obwohl die Multi-Faktor-Authentifizierung die Sicherheit herkömmlicher Anmeldeinformationen etwas erhöht hat, bleibt der Benutzer immer noch eine erhebliche Schwachstelle.
Mit Passkeys können wir uns von Benutzernamen und Passwörtern in eine sicherere Zukunft bewegen. Und wenn neue Technologien wie Quantencomputer entwickelt und auf den Markt gebracht werden, besteht die Gefahr, dass die traditionelle Kombination aus Benutzername und Passwort über Nacht obsolet wird.
