Informationen zur Sicherheit von Passkeys
Passkeys ersetzen Passwörter. Passkeys beschleunigen die Anmeldung, sind einfacher zu verwenden und sind viel sicherer.
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites, sind einfach zu verwenden und funktionieren auf all deinen Apple-Geräten und sogar auf nicht von Apple stammenden Geräten, die sich in der Nähe befinden.
Sichere Anmeldedaten
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Auf Apple-Geräten, die Touch ID oder Face ID unterstützen, können diese Methoden zur Autorisierung der Nutzung des Passkeys verwendet werden, mit dem sich der Benutzer dann bei der App oder Website authentifiziert. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
Sichere Synchronisierung
Passkeys wurden so entwickelt, dass sie auf allen regelmäßig verwendeten Geräten bequem und zugänglich sind. Passkeys werden mit dem iCloud-Schlüsselbund auf allen Geräten eines Benutzers synchronisiert.
Der iCloud-Schlüsselbund ist Ende-zu-Ende mit starken kryptografischen Schlüsseln verschlüsselt, die Apple nicht bekannt sind. Die Schlüssel unterliegen außerdem einem Rate-Limiting, damit Brute-Force-Angriffe auch aus privilegierten Positionen im Cloud-Backend verhindert werden, und können wiederhergestellt werden, selbst wenn der Benutzer alle seine Geräte verliert.
Apple hat den iCloud-Schlüsselbund und die Schlüsselbundwiederherstellung so konzipiert, dass die Passkeys und Passwörter eines Benutzers auch unter folgenden Bedingungen geschützt bleiben:
Der mit iCloud verwendete Apple Account eines Benutzers wurde kompromittiert
iCloud wurde durch einen externen Angriff oder einen Mitarbeiter kompromittiert
Ein Dritter greift auf Benutzeraccounts zu
Schutzmaßnahmen beim Zugriff auf den Apple Account
Zum Schutz vor unberechtigtem Zugriff ist für jeden Apple Account, der den iCloud-Schlüsselbund verwendet, die Zwei-Faktor-Authentifizierung erforderlich. Wenn ein Benutzer versucht, einen neuen Passkey zu registrieren, und die Zwei-Faktor-Authentifizierung nicht eingerichtet hat, wird er automatisch aufgefordert, die Zwei-Faktor-Authentifizierung einzurichten.
Für die erstmalige Anmeldung auf einem neuen Gerät sind zwei Informationen erforderlich: das Apple Account-Passwort und ein sechsstelliger Bestätigungscode, der auf den vertrauenswürdigen Geräten des Benutzers angezeigt oder an eine vertrauenswürdige Telefonnummer gesendet wird.
Weitere Informationen zur Zwei-Faktor-Authentifizierung
Schutzmaßnahmen beim Zugriff auf den iCloud-Schlüsselbund
Eine zusätzliche Sicherheitsebene schützt vor dem Zugriff auf den iCloud-Schlüsselbund eines Benutzers über ein nicht autorisiertes Gerät. Wenn ein Benutzer den iCloud-Schlüsselbund zum ersten Mal aktiviert, baut das Gerät einen Vertrauenskreis auf und erstellt für sich selbst eine Synchronisierungsidentität aus einem eindeutigen Schlüsselpaar, das im Schlüsselbund des Geräts gespeichert wird.
Neue Geräte, die sich bei iCloud anmelden, können dem Synchronisierungskreis des iCloud-Schlüsselbunds auf eine der folgenden beiden Arten beitreten:
Durch die Kopplung mit einem vorhandenen iCloud-Schlüsselbundgerät und durch dessen Unterstützung; oder
Über die iCloud-Schlüsselbundwiederherstellung.
Sichere Wiederherstellung
Die Passkey-Synchronisierung bietet Komfort und Redundanz bei Verlust eines einzelnen Geräts. Passkeys müssen aber auch dann wiederhergestellt werden können, wenn alle zugehörigen Geräte verloren gehen. Passkeys können über iCloud-Schlüsselbund-Escrow wiederhergestellt werden. Dies bietet auch Schutz vor Brute-Force-Angriffen, selbst wenn diese durch Apple erfolgen.
Der iCloud-Schlüsselbund sichert die Schlüsselbunddaten eines Benutzers bei Apple, ohne dass Apple die Passwörter und anderen enthaltenen Daten lesen kann. Der Schlüsselbund des Benutzers wird mit einem sicheren Code verschlüsselt, und der Escrow-Dienst stellt nur dann eine Kopie des Schlüsselbunds bereit, wenn strenge Bedingungen erfüllt sind.
Um einen Schlüsselbund wiederherzustellen, muss sich ein Benutzer mit seinem iCloud-Account und seinem Passwort authentifizieren und auf eine SMS reagieren, die an seine registrierte Telefonnummer gesendet wird. Nachdem er sich authentifiziert und reagiert hat, muss der Benutzer seinen Gerätecode eingeben. iOS, iPadOS und macOS erlauben nur 10 Authentifizierungsversuche. Nach mehreren fehlgeschlagenen Versuchen wird der Datensatz gesperrt, und der Benutzer muss den Apple Support anrufen, um weitere Versuche zu erhalten. Nach dem zehnten fehlgeschlagenen Versuch wird der Escrow-Datensatz gelöscht.
Optional kann ein Benutzer einen Kontakt für die Accountwiederherstellung einrichten, um sicherzustellen, dass er immer Zugriff auf seinen Account hat, auch wenn er sein Apple Account-Passwort oder seinen Gerätecode vergisst.
Hier erfährst du, wie du einen Kontakt zur Accountwiederherstellung einrichtest