Sign in with Apple und mehr

Wie iOS 14 vor Datenlecks warnt

Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Mit dem für Herbst 2020 erwarteten Betriebssystem-Update bringt Apple weitere Funktionen für iPhone und iPad, um die Sicherheit der Nutzer zu stärken. Im Mittelpunkt stehen dabei der Passwort Manager und „Sign in with Apple“.
Mit iOS 14 schlägt der Passwort Manager nicht nur sichere Kennwörter vor, sondern warnt auch vor Datenlecks.
Mit iOS 14 schlägt der Passwort Manager nicht nur sichere Kennwörter vor, sondern warnt auch vor Datenlecks.
Foto: Prostock-studio - shutterstock.com

Apple widmet sich bereits seit einiger Zeit dem Thema Passwortsicherheit auf seinen mobilen Systemen. Mit iOS 11 führte Apple erstmalig einen eigenen Passwort Manager in iOS ein und integrierte diesen in die QuickType-Tastatur. Er hilft seitdem dabei, die Benutzernamen und Kennwörter auf Webseiten oder in Apps einzutragen.

Passwortschutz in iOS 14

Zu diesem Zweck versucht die iOS-Tastatur zu erkennen, ob der Anwender nach seinem Benutzername / Kennwort gefragt wird und bietet diese als QuickType an. Ist kein Kennwort verfügbar, ein solches Feld jedoch identifiziert, kann der Anwender auf alle Benutzernamen und Kennwörter in seinem Passwort Manager zugreifen und die passende Kombination auswählen.

Seit iOS 12 kann man auch Dritthersteller-Apps wie 1Password als Passwort Safe registrieren - diese stehen im Anschluss bei den entsprechenden Dialogen zur Auswahl. Damit die Kennwörter automatisch als Ausfüllhilfe vorgeschlagen werden, gehen Webseiten und Apps ein Vertrauensverhältnis ein. Dieses wird durch eine Verknüpfung von App und Webseite realisiert. Dazu hinterlegt der Entwickler in den Projekteinstellungen in xCode (Associated Domains) die jeweilige Domäne. Die hier hinterlegte Webseite braucht aber noch eine spezielle JSON-Datei ("apple-app-site-association") die in

  • https://<voll qualifizierte Domain>/apple-app-site-association

  • oder https://<voll qualifizierte Domain> /.well-known/ apple-app-site-association

hinterlegt werden muss. Diese JSON-Datei enthält für sich dann ebenfalls eine Referenzierung auf die freigegebene App, nämlich:

  • { "webcredentials": { "apps": [ "D3KQX62K1A.de.SecureContact.SecureContactX", "D3KQX62K1A.de.SecureContact.SecureContactXPro" ] }}

Diese "apple-app-site-association" Datei entspricht dabei der seit iOS 8 bekannten JSON-Datei für das Austauschen von Kennwörtern zwischen Apps und Webseiten (per Safari). Mit iOS 13 können alle Associated-Domain-Konfigurationen auch per MDM gesetzt werden:

Vertrauen der Webseite für die App - Ablegen einer JSON-Datei ("apple-app-site-association", Webseite muss ATS (App Transport Security) entsprechen)

  • https://<voll qualifizierte Domain>/apple-app-site-association

  • https://<voll qualifizierte Domain>/.well-known/ apple-app-site-association

"You have been pwned"

Nachdem einige Anwender allerdings keinen Gebrauch von der Vorschlagsfunktion für sichere Passwörter machen, nimmt Apple mit iOS 14 nun eine Erweiterung im Passwort Manager vor: Anwender werden nun automatisch darauf hingewiesen, wenn ihr selbst vergebenes Passwort (im Laufe der Zeit) kompromittiert wurde, also über ein Datenleck in falsche Hände geriet und ihr Account somit unsicher geworden ist. Auch auf schwache Kennwörter wie 1234 werden die Nutzer vom System hingewiesen.

Wurde ein Passwort bei einem solchen Datenleck (öffentlich) einsehbar, sind nach Aussagen von Apple alle Accounts gefährdet, bei denen das Passwort eingesetzt wird. Dabei bedeutet das Datenleck nicht automatisch, dass der Benutzer-Account des Anwenders dort aufgetaucht ist. Es reicht nach Aussagen aus der WWDC-Session von Apple bereits, dass das Kennwort selbst in den Passwortdatenbanken der "bösen Jungs" aufgenommen sein könnte. Ist dies der Fall, wird der Anwender per Push-Nachricht und per Passwort Manager Dialog auf diesen Umstand hingewiesen. Die Mitteilung ist allerdings etwas kryptisch - hier wäre etwas mehr Transparenz wünschenswert, damit der Anwender nicht sofort in Panik verfällt.

Accounts mit schwachen/gebrochenen Kennwörtern werden im Passwort Manager von iOS 14 hervorgehoben.
Accounts mit schwachen/gebrochenen Kennwörtern werden im Passwort Manager von iOS 14 hervorgehoben.
Foto: Mark Zimmermann

Um eine Kompromittierung von Passwörtern prüfen zu können, setzt Apple auf verschiedene Techniken. Apple betont aber ausdrücklich, dass der Konzern keinen Einblick in die Kennwörter selbst erhalte. Vielmehr kämen kryptographische Techniken (Hash-Funktionen) zum Einsatz, mit deren Hilfe ein Anwender-Passwort in einen nicht nach verfolgbaren Zustand überführt wird. Details zum Vorgehen sind allerdings nicht bekannt.

Informiert Apple den Anwender darüber, dass sein Passwort kompromittiert wurde, kann dieser im Idealfall im Passwort Manager direkt auf eine betroffene Webseite zum Zurücksetzen des Passwortes beim jeweiligen Dienst klicken. Dies wird dann angeboten, wenn die Webseite eine derartige Funktion unter https://<voll qualifizierte Domain>/.well-known/change-password anbietet. Für viele Anwender ist dieses Verfahren jedoch undurchsichtig, umständlich oder beängstigend.

Apple bietet aber noch eine weiter Möglichkeit mit iOS 14: App-Entwickler können sich nun über eine Anpassung in ihrer App (eine so genannte Extension) in den Passwort Manager einklinken. Bietet eine zugehörige App (zu dem gemeldeten Account) eine solche Extension, kann der Anwender auch hier die Änderung seines Passwortes durch Drücken eines Buttons ermöglichen. In diesem Fall legt der Passwort Manager selbst ein sicheres Kennwort für den Anwender fest.

Sign in with Apple - weitere Optionen

Mit "Sign in with Apple" (Mit Apple anmelden) bietet Apple seit iOS 13 eine spezielle Schaltfläche, mit der sich ein Anwender analog zu seinem Google-, Twitter- oder Facebook-Konto bei einer Anwendung oder auch einer Webseite anmelden kann. Mit anderen Worten: Nutzer können sich mit ihrer Apple-ID an jedem kompatiblen Dienst anmelden.

Bei der Registrierung geht Apple aber noch einen Schritt weiter: Der Anwender hat die Wahl, ob er seine E-Mail-Adresse oder einen zufällig erstellten Mail-Account nehmen möchte. Laut Angaben von Apple sei dabei garantiert, dass alle E-Mails entsprechend "umgeleitet" werden und der Anbieter niemals die echte Adresse erfährt.

Mit "Sign in with Apple" bietet Apple seit iOS 13 eine spezielle Anmeldemöglichkeit für Apps und Websites.
Mit "Sign in with Apple" bietet Apple seit iOS 13 eine spezielle Anmeldemöglichkeit für Apps und Websites.
Foto: Konstantin Savusia - shutterstock.com

Dabei soll für jeden Dienst eine eigene zufällige Adresse generiert werden. Diese ist nur Apple selbst bekannt, da Apple im Wesentlichen hier als Vermittler zwischen dem Dienst und dem Benutzer fungiert. Apple verspricht jedoch, die Privatsphäre des Benutzers zu schützen und die Daten nicht für eigenes Profiling zu verwenden. So würden generell keine Benutzeraktivitäten in Anwendungen oder auf Websites protokolliert. Zudem seien alle Konten zusätzlich durch eine Zwei-Faktor-Authentifizierung geschützt. Die Web-Anmeldung funktioniert dabei nicht nur auf Apple-Systemen, sondern auch unter Windows und Android.

Mit iOS 14 erweitert Apple den Dienst um weitere Optionen. So können Anwender nun einen Account, der (noch) nicht mit "Sign in with Apple" angelegt wurde, auch im Nachhinein konvertieren. Apple bietet dazu Entwicklern die Möglichkeit, ihre Apps entsprechend (ebenfalls per Extension) zu erweitern. Auch die Umstellung eines Account auf Apples Login-Dienst "Sign in with Apple" wird damit im Passwort Manager möglich. (mb/fm)

Zur Startseite