Kompliziert, möglichst lang und für jeden Account ein anderes. Und dann auch noch regelmäßig wechseln. Die Tipps zu einem sicheren Passwort kennt jeder von uns – und fast alle ignorieren sie in irgendeiner Form. Nicht weil die Sicherheit egal ist. Sondern weil die Regeln im Alltag oft kaum durchzuhalten sind. Die Techbranche weiß das. Und will das Passwort deshalb am liebsten einfach ganz abschaffen.
Im Herbst macht mit Apple einer der einflußreichsten Techkonzerne Ernst. Alle Nutzer von Apple-Accounts werden dann automatisch Teil eines Programms, dass traditionelle Passwörter abschaffen soll. Führt man das Update auf einem der bei der Entwickler-Konferenz WWDC Anfang Jinu vorgestellten Betriebssysteme für iPhone, Ipad oder Mac aus, erstellt Apple automatisch einen sogenannten Passkey für den Nutzer. Und erlaubt es damit, sich zukünftig ganz ohne Passworteingabe einzuloggen.
Gesicht statt Passwort
Statt ein Passwort einzugeben, muss man dann nur noch den Fingerabdruck-Scanner TouchID oder die Gesichtserkennung FaceID benutzen. Anders als bisher kommt die Abfrage aber nicht, um dann automatisch das Passwort einfügen zu können. Der Schritt mit dem Passwort wird dann schlicht übersprungen. Die biometrische Freigabe des Passkey loggt einen direkt ein.
Komplett neu ist das nicht. Schon jetzt können sich Apple-Nutzer einen Passkey erstellen, schon jetzt können sie sich damit auf Seiten einloggen, die das bereits unterstützen. Die große Umstellung ist allerdings, dass man die Option bislang erstmal entdecken und einrichten muss und das ab Herbst aber für jeden automatisch passiert. Und: Apple geht mit gutem Beispiel vorran und bietet das Einloggen per Passkey für alle seine eigenen Dienste und Webseiten an.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Ein Schlüssel für alles
Die Technology hinter den Schlüssel ist hochkomplex, aber eigentlich leicht zu verstehen. Ein Passkey ist sozusagen ein Schlüsselpaar, das fest mit einem Gerät verbunden ist. Einer der Schlüssel ist öffentlich, der andere ist fest auf den Geräten gespeichert. Statt immer ein neues Passwort generieren zu müssen, authentifizieren Webseiten dann diesen einen Nutzer über seine einmaligen, zusammenpassenden Schlüssel. Der private Schlüssel verlässt das Gerät nicht, kann daher auch nicht von Hackern gestohlen werden.
In Apples Fall wird er über die iCloud über alle Apple-Geräte der Nutzenden synchronisiert. Da er dabei verschlüsselt bleibt, kann nicht mal Apple darauf zugreifen, betont der Konzern. Will man sich in ein neues Gerät einloggen, kann man das einfach mit einem alten Gerät tun.
Schon jetzt gibt es auf vielen Webseiten die Möglichkeit, sich über seinen Apple-Account einzuloggen. In der Regel werden dabei aber immer noch Benutzername und Passwort abgefragt. Nutzt man Passkey, fällt das in Zukunft einfach weg. Im Prinzip erinnert das System an Ansätze, die man jetzt schon aus der Zwei-Faktor-Authentifizierung kennt: Um sich erstmal einzuloggen, braucht man ein vertrauenswürdiges Gerät. Nur, dass der Schritt der Passworteingabe jetzt ganz wegfällt.
Allianz gegen das Passwort
Anders als bei vielen Vorstößen des Konzerns ist Passkey kein Alleingang Apples. Das System beruht auf dem gemeinsam mit Partnern wie Google und Microsoft entwickelten Industriestandard FIDO. Die beiden Konkurrenten bewerben ebenfalls zunehmend die Möglichkeit, sich ohne Passwort in ihre Dienste einzuloggen.
Die Branche hat ein gemeinsames Interesse, das Passwort abzulösen. Schließlich haben die letzten Jahre die Schwächen des Systems immer deutlicher gemacht. Passwörter werden regelmäßig gestohlen, auf einschlägigen Plattformen gehandelt. Viele Nutzer scheinen derweil schlicht aufgegeben zu haben und wählen viel zu leicht erratbare Passwörter, die dann auch noch wiederverwertet werden. Um auf Nummer sicher zu gehen, braucht man eigentlich schon jetzt immer Zwei-Faktor-Authentifizierung. Und kann dann eben das Passwort auch gleich weglassen.
Die Erfolgsaussichten für den neuen Ansatz sind gut. Mit Microsoft, Apple und Google sind sowohl die Betreiber der mit Abstand wichtigsten Betriebssysteme für Tablets, Smartphones und Desktoprechner als auch der relevantesten Browser an Bord. Stellt ein Nutzer auf das neue System um, sind die Chancen also sehr groß, dass es auf allen seinen genutzten Geräten und den dort genutzten Internetdiensten funktionieren wird. "Man kann sich dann etwa mit einem iOS-Gerät in den Chrome-Browser auf einem Windows-Computer einloggen", erklärt Microsofts Vize-Präsident Vasu Jakkal den Vorteil der Zusammenarbeit.
Die Chancen, das leidige Thema Passwort endlich abzuhaken, stehen also gut.
Quellen: Apple, FIDO-Ankündigung
