[HaPeKa]

wecken oder in die Realität zurück holen fände ich treffender ...

[HaPeKa]

Apple ist nun auch dabei, ab Release 13.3 wird FIDO2 unterstützt.

FIDO2-Unterstützung von iOS im Kurztest

[HaPeKa]

Mit dem iOS 16 Release letzten Montag hat Apple ein neues Passkey Verfahren eingeführt, das auf dem WebAuthn Standard der FIDO-Allianz beruht. Damit entfällt nun das Erstellen eines eigenen Passwortes bei Diensten, die das unterstützen.

Beim Anmelden auf einem Dienst, der die FIDO Standards unterstützt, wird auf dem iPhone ein Schlüsselpaar generiert, mit dem in Zukunft der Zugang gesichert wird. Mit Biometrie wie zum Beispiel Face-ID oder Touch-ID wird lediglich der Besitz des privaten Schlüssels nachgewiesen.

Apple erlaubt auch, dass die Passkeys im Cloud Schlüsselbund gesichert werden. Nachteiil davon: Nutzt man dieses Passkey-Verfahren, schliesst man sich im Applesystem ein, es ist nicht möglich, die Passkeys auf ein anderes System zu transferieren. Dasselbe gilt natürlich auch für FIDO basierende Passkey Systeme von Google und Microsoft.

Verliert jemand, aus welchem Grund auch immer sein Handy und den Zugriff auf die Cloud-Sicherung, verliert er bei allen Systemen, die mit dem Passkey Verfahren gesichert sind, den Zugriff. Der komplexe Wiederherstellungsprozess für verlorene oder gestohlene iCloud Zugänge ist sehr mühsam und nicht immer erfolgreich ...

[HaPeKa]

Das Passkey Verfahren scheint sich langsam auch bei Google, Microsoft und Apple durchzusetzen, also Zeit, sich mit dem Verfahren vertraut zu machen.

Ein aktueller Artikel von Heise Online:
Zukunft ohne Passwort

[usch]

Ich seh da nach wie vor weder einen Gewinn an Komfort noch an Sicherheit.

Meine Passwörter hat Firefox gespeichert, das Firefox-Profil liegt auf einer Bitlocker-Parition und ist zusätzlich noch EFS-verschlüsselt. Davon abgesehen ist die Passwort-Datei von Firefox intern natürlich auch nochmal verschlüsselt. Da ich keine Passwörter eintippe, könnte selbst ein eventueller Keylogger keine abgreifen. Und Firefox füllt das Passwortfeld nur dann aus, wenn ich auf der zugehörigen Website bin, damit bin ich also auch gegen Phishing geschützt.

Und was den Komfort angeht: Da Benutzername und Passwort von Firefox automatisch eingetragen werden, ist das Anmelden - nachdem man sich davon überzeugt hat, dass alles korrekt ausgefüllt ist - nur ein einziger Mausklick. Was soll da noch einfacher gehen?

Im Gegenteil - wenn der private Schlüssel nur zu Hause auf meinem Rechner liegt, wie authentifiziere ich mich dann, wenn ich mal auf einem fremden Rechner (bei Freunden oder im Internet-Café) z.B. meine E-Mails lesen will?

[HaPeKa]

Steht alles im oben verlinkten Artikel. Ein Passwort, dass es nicht gibt, kann nicht geklaut werden. Und Passwörter werden nicht nur beim User sondern auch bei lausig programmierten Webseiten von Lieferanten geklaut.

Und bei Google und Apple können die Schlüssel synchronisiert werden, d.h. wenn das Handy geklaut wird, kannst du mit deinem Tablet noch zugreifen und ein neues Handy authorisieren. Und wenn du auf einem PC, der nicht dir gehört, auf eine mit Passkey gesicherte Seite zugreifen willst, kannst du anstelle eines Passworts einzugeben über einen QR-Code einloggen, den du mit dem Handy, auf dem der Passkey gespeichert ist, scannen kannst.

Anyway, man darf natürlich auch weiterhin Passwörter nutzen, wenn man das will. Und es wird nicht allzulange gehen, da wird auch Firefox die gespeicherten Passwörter mit einem Passkey schützen, wie das Google Chrome, MS Edge und Apple mit dem Schlüsselbund heute schon machen.