Passkeys – Verschlüsselte Zugänge statt Passwort-Nutzung

Was sind Passkeys? Das fragen sich bestimmt einige von euch nach der WWDC22 sowie im Vorfeld der Veröffentlichung von iOS 16, iPadOS 16, macOS Ventura und Co. Die Antwort auf diese Frage habe ich euch im Folgenden aufgeführt. Dabei gehe ich nicht nur auf die Vorteile, die für die Nutzer/innen der Passkey-Technologie versprochen werden, ein. Auch zeige ich Quellen auf, die für Entwickler/innen interessant sein könnten. Denn das Einloggen mit Passkeys in Apps und auf Webseiten kann laut Apple einfach realisiert werden; dafür wird die „Authentication Services API“ angeboten.

Was sind und wie funktionieren Passkeys? Warum ist ein Passkey sicherer als ein Passwort? Und wie können Entwickler/innen diese Login-Methode in ihre App implementieren? Antworten auf diese Fragen sowie weiterführende Quellen findet ihr hier!

Was sind Passkeys?

Passkeys sollen zum Einloggen in Apps oder auf Webseiten die bisher dafür verwendeten Passwörter ersetzen. Ähnlich wie das automatische Ausfüllen der Login-Felder und das Bestätigen über Face ID oder Touch ID soll das Ganze funktionieren. Für Nutzer/innen von Apple-Geräten und dem iCloud-Schlüsselbund ergibt sich in der Verwendung dieser neuen Login-Methode also kaum ein Unterschied zur bisherigen Vorgehensweise. 

Jedoch – und das ist tatsächlich ein Unterschied – handelt es sich bei Passkeys um verschlüsselte Zugangsschlüssel, die für jeden Account einzeln und einmalig erstellt werden. Sie sind Ende-zu-Ende verschlüsselt und können nur bei dem jeweiligen Dienst, in der entsprechenden App oder auf der Webseite eingesetzt werden. Das erschwert das Phishing über Fake-Webseiten oder andere Eingabemasken. Ein Passkey ist also viel sicherer als ein Passwort.

So funktionieren Passkeys

Während der Erstellung eines Accounts für eine App oder Webseite wird vom Betriebssystem (iOS, macOS, iPadOS o. ä.) ein verschlüsseltes Schlüsselpaar erzeugt. Dieses besteht aus einem öffentlichen Schlüssel, der auf einem Server gespeichert wird, und einem nur lokal verwendeten Schlüssel. Dabei kommt der WebAuthentication-Standard, kurz WebAuthn, zum Einsatz. Außerdem arbeiten Plattformanbieter über die FIDO Alliance daran, dass Passkeys plattformübergreifend auf verschiedensten Geräten funktionieren.

Passkeys kann man sich also als Schlüsselpaar vorstellen. Einen Schlüssel, nämlich den einmalig angelegten und stark verschlüsselten, habt ihr. Den dazugehörigen Schlüssel, der öffentlich ist und nicht weiter geschützt wird, gehört den Betreiber/innen des Services, den ihr nutzen wollt. Erst wenn beide zusammenkommen, wird die Tür geöffnet und ihr bekommt Zutritt zu eurem Account und den so erreichbaren Angeboten (Shopping, App-Inhalte, Online-Banking, etc.). 

Warum sind Passkeys sicherer als Passwörter?

Passwörter können bei unvorsichtigen Leuten durch Fishing oder andere Methoden in Erfahrung gebracht werden. Aber auch vorsichtige Nutzer/innen können bspw. durch Spyware überwacht werden, was ihre Passwörter ebenfalls ans Tageslicht bringen kann. Und selbst, wenn man an Mac und iPhone nur Touch ID und Face ID zur Verifizierung der automatischen Vervollständigung nutzt, liegen die Passwörter ja immer noch auf dem Server des Services, den man nutzen will.

Da der User-eigene Zugangsschlüssel keinem anderen Schlüssel ähnelt (anders als bei mehrfach benutzten Passwörtern) und da er stark verschlüsselt auf einem sicheren lokalen Speicher liegt, kann er so gut wie nicht gehackt werden. Laut Apple sind Schutz und Wiederherstellung von in der iCloud liegenden Passwörtern und Passkeys sogar dann möglich, wenn das Konto gehackt wurde, es einen externen Angriff gab oder Mitarbeiter/innen sich Zugriff verschaffen. Mehr dazu gibt’s im Support-Dokument „Informationen zur Sicherheit von Passkeys“ mit der Nummer HT213305.

Informationen für Developer, die Passkeys verwenden wollen

Passkeys sind stark, können nicht erraten werden und werden auch nicht wiederverwendet. Das sind u. a. Argumente, die Apple auf der entsprechenden Developer-Seite anbringt. Wer die Login-Methode implementieren will, kann sich dort belesen und findet zudem den Hinweis auf die oben schon erwähnte Authentication Services API. Es lassen sich auch Beispiel-Codes einsehen, um die Implementierung leichter zu machen. Mit diesem Link findet ihr bei Interesse außerdem Videos von der WWDC21 und der WWDC22, in denen es um Passkeys und deren Verwendung (in der eigenen App) geht. Die Videos findet ihr überdies in der Developer App.

Johannes Domke

Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.