Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Passwörter abschaffen: Apple, Google und Microsoft mit Bekenntnis zur passwortlosen Zukunft

Schon vor zwei Jahren hatte sich Apple der Fast Identity Online (Fido) Alliance angeschlossen und damit ein Bekenntnis zur passwortlosen Zukunft abgelegt. Jetzt gibt es eine gemeinsame Stellungnahme von Apple, Google und Microsoft, in der sich die Unternehmen eindeutig zu den Zielen der Vereinigung bekennen und die Passwort-Ära überwinden wollen. Eine der Überzeugungen lautet, dass Passwörter zu den größten Sicherheitsrisiken zählen. Zwar bieten Passwörter theoretisch einen wirkungsvollen Schutz gegen unbefugtes Eindringen in eigene Daten, so wie viele Nutzer aber damit umgehen, öffnet es Tür und Tor für Missbrauch. Egal wie oft davor gewarnt wird, nicht dasselbe Passwort auf allen Plattformen zu verwenden oder keine einfach zu erratenden Kennwörter anzulegen: Nutzer machen es unbeirrt trotzdem, denn ohne Passwort-Manager geht ansonsten sehr schnell die Übersicht verloren.


Mehr Komfort, dennoch mehr Sicherheit erforderlich
Stattdessen müsse es einfache, komfortable, dennoch wesentlich sichere Wege geben, so die Prämisse. Ein wichtiger Weg sind beispielsweise PIN-Code samt zusätzlicher biometrischer Authentifizierung – gut bekannt von Smartphones, allerdings auch ein von Microsoft verfolgter Aspekt unter Windows. Was bei Hardware gut funktioniert und bewährt ist, lässt bei Diensten oder auch Webseiten weiterhin zu wünschen übrig – immerhin ist es dort sehr kompliziert, Alternativen umzusetzen. Unter anderem "Einweg-Passwörter" und vertrauenswürdige Geräte (samt Face ID oder Touch ID) gelten als von der Fido unterstütze Maßnahmen. Dabei sei aber stets zu bedenken, Nutzern nicht noch mehr lästige Arbeit zu machen, sondern Schutz und bewährte Abläufe zu vereinen.

Passkey und WebAuthn-Standard
Apple hatte auf der WWDC 2021 mit der Passkey-Funktion des Schlüsselbundes einen Weg vorgestellt, wie per WebAuthn-Standard Anmeldungen ohne Passwort möglich sind. Erst seit macOS 12.3 und iOS 15.4 steht die Schnittstelle allerdings für (Web)-Apps zur Verfügung. Konkrete weitere Ideen nannten Apple, Google und Microsoft in der Erklärung zwar nicht, unterstrichen aber die Notwendigkeit, sich von Passwörtern zu verabschieden – ganz besonders im Web. Nach der Vorstellung von Passkey im vergangenen Sommer ist es aber recht wahrscheinlich, auf der WWDC 2022 im Juni von weiteren Schritten zu hören.

Kommentare

TiBooX
TiBooX05.05.22 16:19
Wow, hat ja nur knapp über 30 Jahre gedauert!
/Ironie
People who are really serious about software should make their own hardware [A. Kay]
+2
Mendel Kucharzeck
Mendel Kucharzeck05.05.22 16:22
TiBooX
…und wird in dem Tempo noch 30 weitere Jahre dauern
+6
winfel05.05.22 19:27
Das Argument im Anreißertext mit 123456 ist völlig blöd. Man soll Passwörter nicht mehrfach verwenden. Allein schon deshalb können die häufigst verwendeten Passwörter keine guten Passwörter sein. Der Hinweis auf die schlechten Passwörter wird also auf ewig korrekt sein (solange überhaupt nur Passwörter verwendet werden). In der Liste können nie gute Passwörter sein.
-2
MacKaltschale05.05.22 22:12
Prima, als zusätzlicher Schutz, On top will ich aber weiter meine zufällig erzeugten Kennwörter mit maximaler Anzahl an Zeichen weiterverwenden. Sonst ist mir das zu unsicher.
+1
pocoloco05.05.22 22:19
On top will ich aber weiter meine zufällig erzeugten Kennwörter mit maximaler Anzahl an Zeichen weiterverwenden.
Die du dann einem dubiosen Dienst anvertraust, dem sie möglicherweise geklaut und im Darknet verbreitet werden.
Das ist doch gerade die Idee hinter Fido2 & Co., das so etwas nicht mehr möglich ist. Der dubiose Dienst hat nur deinen öffentlichen Schüssel. Nicht der Dienst entscheidet, ob du rein darfst, sondern du beweist, dass du derjenige bist, der rein darf. Das ist ein himmelweiter Unterschied, und von noch so komplizierten Passworten ebenso weit entfernt. Und wenn dir das zu kompliziert erscheint: crypt() ist auch kompliziert...
+2
lphilipp
lphilipp05.05.22 22:20
winfel
Das Argument im Anreißertext mit 123456 ist völlig blöd. ...
Ich gebe nur folgendes zum besten: Ein großer Opelhändler in einer Großstadt im Ruhrgebiet erbat von den Opel-IT-Leuten das Passwort für sienen "Laden", damit er auch am Wochenende schnell Änderungen einpflegen könne. Das Paßwort, da man ihm gab hieß "Passwort" - fast so schön wie 123456 - Nun gut es ist ein paar Jahre her und Opel gehört mittlerweile Stellatlantis und nicht mehr General Motors ... aber ich hörte, daß solche Passwörter noch immer im Umlauf sind "Wir können uns doch nicht für jede Firma ein anderes Paßwort merken!" bekommt man zu hören.
Wenn also Dipl. Ing. Gretchen Müller schon so etwas macht, was erwartet man dann von der medizinischen Hilfskraft Lieschen Müller. GRETCHEN UND LIESCHEN KÖNNEN MÄNNER SEIN UND AUCH VÖLLIG ANDERE BERUFSABSCHLÜSSE HABEN.
Man muß sich Sisyphos als einen glücklichen Menschen vorstellen! Albert Camus (Il faut imaginer Sisyphe heureux)
+2
MacKaltschale06.05.22 00:19
pocoloco
On top will ich aber weiter meine zufällig erzeugten Kennwörter mit maximaler Anzahl an Zeichen weiterverwenden.
Die du dann einem dubiosen Dienst anvertraust, dem sie möglicherweise geklaut und im Darknet verbreitet werden.
Das ist doch gerade die Idee hinter Fido2 & Co., das so etwas nicht mehr möglich ist. Der dubiose Dienst hat nur deinen öffentlichen Schüssel. Nicht der Dienst entscheidet, ob du rein darfst, sondern du beweist, dass du derjenige bist, der rein darf. Das ist ein himmelweiter Unterschied, und von noch so komplizierten Passworten ebenso weit entfernt. Und wenn dir das zu kompliziert erscheint: crypt() ist auch kompliziert...

Du glaubst ernsthaft daran, dass es nicht mehr möglich ist? Wenn eins sich immer wieder bewiesen hat, dann das irgendwann doch irgendwo eine fette Lücke gefunden wird. Wenn ein Kennwort kompromittiert ist, dann ist mir das egal, weil die wichtigen Dienste alle zusätzlich 2FA nutzen und alle meine 754 Kennwörter unterschiedlich sind.Und die vertraue ich auch keiner Cloud an, egal wie sehr sie mir versichern wollen, dass sie oder andere unmöglich ran kommen. Zusätzliche Sicherheit begrüße ich, aber dafür gebe ich nicht eine andere auf.
-1
Maclenburger06.05.22 15:23
»Nun gut es ist ein paar Jahre her und Opel gehört mittlerweile Stellatlantis und nicht mehr General Motors ...«

Stellantis
0
PorterWagoner
PorterWagoner06.05.22 16:40
Ich habe immer wieder versucht mir ein System auszudenken, damit ich nicht ein passwort auf vielen Seiten wiederverwenden muss. Ich bin immer wieder gescheitert und musste so oft mich mit "Passwort reset" einloggen. Daher freue ich mich auf alles, das diese Passwörter beseitigt und trotzdem mehr Sicherheit bietet.
0
Califa08.05.22 23:03
Self Sovereign Identity wäre hier super, siehe https://www.iota.org/solutions/digital-identity
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.