Ohne Passwort einfach per Geräte-PIN, Fingerabdruck oder Gesichtsscan bei Webdiensten einloggen: Was vor zwei Jahren, als Apple das Konzept auf der Entwicklerkonferenz WWDC erstmals unter dem Namen Passkeys vorstellte, noch wie Zukunftsmusik klang, ist mittlerweile Realität. Passkeys, der FIDO2-basierte Anmeldestandard, der das Passwort als Default-Anmeldemethode im Internet mittelfristig ablösen soll, kommt in der Anwenderrealität an. Große Webdienste wie Google, PayPal oder Amazon bieten das sichere Anmeldeverfahren an, die großen Browser unterstützen es und sogar die Zahlungsdienstleister Visa und Mastercard machen mit und schützen Onlinezahlungen per Passkey.
"Apple Passwörter" ist seit iOS 18 und macOS 15 eine eigene App. Die höhere Sichtbarkeit des betriebssystemeigenen Passwortmanagers könnte der Verbreitung von Passkeys zugutekommen.
Trotzdem wird das passwortlose, Phishing-resistente Anmeldeverfahren noch lange nicht von der breiten Masse der Internetnutzer verwendet. Zum einen liegt das laut einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführten Umfrage an der fehlenden Bekanntheit des Verfahrens. Zwar kannten 38 Prozent der Befragten den Begriff Passkeys, nur 18 Prozent gaben jedoch an, sie auch zu nutzen. Unter der Mehrheit der befragten Passkey-Nutzer, 72 Prozent, genießt das Verfahren immerhin ein hohes oder sehr hohes Vertrauen. Sie werten unter anderem die hohe Nutzungsfreundlichkeit positiv.
Die verbessert sich tatsächlich weiter. Bisher musste man als Passkey-Nutzer eine wohlüberlegte Entscheidung für eine der fünf sich anbietenden Schlüsselverwaltungsoptionen treffen. Nicht alle davon ermöglichen in jedem Fall eine betriebssystemübergreifende Nutzung der gesicherten Passkeys. Mittlerweile hat Google seinem Chrome-Browser ein neues Feature verpasst, das diesen Kritikpunkt zumindest teilweise aushebelt: Es erlaubt die betriebssystemübergreifende Speicherung und Nutzung unter Android und auf Desktopgeräten unter Windows, ChromeOS, Linux und macOS.
Ganze 44 Prozent der vom BSI Befragten stehen dem Anmeldeverfahren skeptisch gegenüber. Bedenken haben sie vor allem hinsichtlich der Sicherheit und Komplexität, manche wollen erst auf explizite Nutzungsempfehlungen warten. Laut BSI ist die Option zur Passkey-Verwendung "für Verbraucher oft schwer zu erkennen und wird deshalb oft mit anderen Verfahren verwechselt". Das Amt sieht die Anbieter in der Pflicht, besser aufzuklären. Vonseiten der Behörde gibt es jedenfalls jetzt eine eindeutige Empfehlung, Passkeys zu nutzen, wo es schon geht.
Passwörter-App mit automatischer Passkey-Einrichtungsfunktion
Mit dem Ausspielen der kürzlich veröffentlichten Betriebssystem-Updates – namentlich iOS 18, iPadOS 18 und macOS Sequoia – an Apple-Geräte haben diese eine Neuauflage der systemeigenen Schlüsselverwaltung im Gepäck. Die könnte den Anbietern die Aufgabe, die Nutzer besser an das passwortlose Login-Verfahren heranzuführen, künftig abnehmen: Sie ist leichter aufzufinden als zuvor und könnte mehr Internetnutzer zur Verwendung einer Schlüsselverwaltung bewegen, womit diese die erste Voraussetzung für die Passkey-Nutzung bereits gemeistert hätten. "Apple Passwörter", wie die Passwortverwaltungsfunktion von Apple-Geräten bereits seit iOS 17.4 heißt, ist nicht länger als Teil der Schlüsselbundverwaltung in den Systemeinstellungen versteckt, sondern mit neuer Bedienoberfläche als Stand-alone-App auf den Geräten vorinstalliert.
Zu finden ist die Passwörter-App jetzt auf dem Mac im Unterordner Programme. Auf dem iPhone und iPad hat sich das App-Icon mit dem Update auf iOS 18 heimlich auf die Home-Bildschirme geschlichen. Die Neuauflage wartet mit einer bunten Bedienoberfläche auf, erfüllt mehr als die Basisanforderungen an einen Passwortmanager und implementiert gleich noch ein neues Feature des FIDO2-Standards WebAuthn mit, das die weitere Verbreitung von Passkeys befördern dürfte: Durch die neue sogenannte WebAuthn Conditional Registration Extension kann Apples Passwörter-App automatisch Passkeys für ihre Nutzer bei Webdiensten einrichten. Voraussetzung ist, dass der verwendete Browser und der betreffende Webdienst die WebAuthn-Erweiterung unterstützen. Aktuell gilt das lediglich für Safari ab Version 18; bisher scheinen populäre Webdienste wie Google oder GitHub die Funktion aber noch nicht implementiert zu haben.
(kst)
English (US) ·