Passkeys in iOS 16 und MacOS Ventura

So funktioniert Apples Passwort-Alternative in der Praxis

30.11.2022 von Stephan Wiesend
Statt einem unsicheren Passwort kann man unter iOS 16 und Ventura nun erstmals Passkeys nutzen. Zumindest unter iOS funktioniert dies schon recht gut.
Passkeys bieten mehr Sicherheit als häufig genutzte Passwörter und ist komfortabler als Zwei-Faktor-Authentifizierung.
Foto: BestForBest - shutterstock.com

Passwörter für Webdienste oder Apps werden immer mehr zum Sicherheitsproblem. Das hat zwei Gründe: Niemand kann sich für dutzende Dienste Passwörter merken, die wirklich sicher sind. Stattdessen wird häufig ein und dasselbe Passwort für eine Vielzahl von Accounts verwendet. Noch schlimmer: Passwörter haben eine Verfallszeit. Immer wieder geraten Datenbanken mit Anmeldedaten in die Hände von Hackern, was auch Firmen wie Adobe schon passiert ist. Im besten Fall ist die Folge ein plötzlich gesperrtes Konto, im schlimmsten Fall Betrug und Identitätsdiebstahl. Auch die Zwei-Faktor-Authentifizierung (2FA) per Einmal-Passcodes hat Schwächen und ist nicht gerade komfortabel.

Hier kommt das neue Prinzip der sogenannten Passkeys in Spiel, das Apple mit iOS 16 (alle Änderungen im Überblick) und Ventura eingeführt hat.

Passwörter und auch 2FA-Systeme sollen durch den neuen Standard komplett ersetzt werden, das Gerät des Nutzers dient dabei als Authentifizierung - ohne Passwörter, die jemand stehlen könnte. Grundlage des Schutzes ist biometrische Sicherheit: Nur Sie haben Zugriff auf Ihr iPhone oder iPad und nur Sie selbst können es mit Ihrem Gesicht oder Ihrem Fingerabdruck entsperren.

Passkeys als Lösung

Als Lösung aller Probleme gilt das neue System der Passkeys, das statt auf Passwörter auf sogenannte Schlüsseldateien setzt. Statt bei einem Dienst wie Google ein Passwort zu verwenden, sichern Sie ihre Anmeldung durch eine einzigartige Schlüsseldatei ab, die Sie bei einer ersten Anmeldung auf ihrem iPhone oder Mac abspeichern - als hätte man Ihnen beim Einzug in eine Wohnung einen Schlüssel anvertraut.

Ab iOS 16 und Ventura wird dieses System auch von Apple-Geräten genutzt - per iCloud wird diese Datei außerdem automatisch auf allen Geräten eines Nutzers synchronisiert. Nach einer Anmeldung mit Passkey auf dem Mac funktioniert der Passkey ebenso am iPad und iPhone - und zwar sowohl über eine App als auch im Browser.

Kayak als Beispiel

Aktuell gibt es noch sehr wenige Anbieter, die Passkeys unterstützen. Eine Ausnahme ist der Reise-Dienst Kayak. Bei diesem Dienst kann man das neue Anmeldeverfahren bereits ausprobieren, etwa bei einer ersten Anmeldung auswählen. Einen Benutzernamen benötigen Sie weiterhin, statt dem zusätzlichen Passwort können Sie aber gleich die Nutzung eines Passkeys auswählen.

Die Nutzung von Passkeys ist aber auch möglich, wenn Sie bereits einen Account besitzen. Unter "Konto" finden Sie bei Kayak die Option "Passkey einrichten". Sie werden nun in einem Systemdialog gefragt, ob Sie einen Passkey für diesen Account sichern wollen. Sie müssen dies unter iOS per Touch-ID oder Face-ID bestätigen, dann wird die Datei auf Ihr Apple-Gerät heruntergeladen.

Der Reisebuchungsdienst Kayak unterstützt bereits Passkeys.

Die Datei wird sofort im iCloud-Schlüsselbund gespeichert und kann hier auch angezeigt und bei Bedarf gelöscht werden (etwa wenn Sie versehentlich mehrere Passkeys heruntergeladen haben). Ein zusätzliches Passwort für den Account ist nicht nötig.

Besuchen Sie Kayak nun über einen Webbrowser, müssen Sie im Webbrowser über "Anmelden per E-Mail" nur noch ihren Anmeldenamen eingeben. Bei einer App werden Sie automatisch angemeldet. Bei der Einrichtung des Passkeys sehen Sie die Option "Auf anderem Gerät einrichten". Das ermöglicht zwei andere Optionen: das Speichern auf einem anderen Mobilgerät oder auf einem externen Stick.

Probleme unter macOS Ventura (13.0)

Unter iOS funktioniert das System schon einwandfrei, Probleme stellten wir aber am Mac fest. Bei einem Anmeldeversuch mit Safari scheiterte mehrmals der Versuch, sich direkt per Schlüsselbund anzumelden. Was allerdings funktionierte, war eine alternative Anmeldeart: Man kann am Mac auf der Webseite einen QR-Code einblenden, den man dann mit einem iPhone oder iPad (mit gespeichertem Passkey) einscannt. Über einen Dialog kann man dann die Anmeldung über das iOS-Gerät genehmigen.

Technische Hintergründe

Passkeys sind keine Apple-Erfindung: Hinter dem neuen Standard, auch WebAuthn genannt, steht die sogenannte FIDO-Allianz und das W3C. Er wird aber von den drei Plattformen Android, Windows und iOS/macOS mitgetragen und Apple, Google und Microsoft arbeiten hier zusammen. Passkeys sollen Passwörter komplett ersetzen und die einfache und sichere Anmeldung bei Webseiten und Anwendungen ermöglichen. Statt über die Eingabe von Passwörtern oder SMS-Codes soll sich der Benutzer plattformübergreifend anmelden können: komfortabel per Fingerabdruck, Gesichtsscan oder Geräte-PINs.

Der neue Anmeldestandard, bei dessen Konzeption hunderte Firmen und Dienstleister kooperieren, wird bereits von vielen Geräten und modernen Webbrowsern unterstützt. Bisher setzte man auch stark auf sogenannte FIDO-Keys, USB-Sticks, die für die Authentifizierung sorgen. Früher setzte der Standard bei jeder Webseite oder App vor der Nutzung eine einmalige Registrierung voraus und wurde deshalb kürzlich um zwei neue Funktionen erweitert: Benutzer können auf mehreren und auch neuen Geräten auf die FIDO-Zugangsdaten zugreifen (sogenannte multi-device FIDO credentials), ohne sich für jeden Account neu anmelden zu müssen. Apple nutzt hier iCloud, um die Passkeys zwischen iPhone und Mac abzugleichen. Nutzer können die FIDO-Authentifizierung ihres Mobilgerätes übrigens auch für Anmeldungen auf einem anderen Gerät in der Nähe nutzen ­ - etwa per iPhone eine Anmeldung auf einem Desktop authentifizieren. (Macwelt)