Apple schafft das Passwort ab

Geschäftsprozesse zukunftssicher machen

22. Juni 2022, 12:00 Uhr | Sebastian Ulbert/am
LL2012-11

Apple hat verkündet, dass mittelfristig die heute im Internet noch allgegenwärtige Authentifizierung per Passwort aussterben soll. An ihre Stelle tritt, zunächst im Apple-Browser Safari, die passwortfreie Anmeldung mit dem sogenannten Passkey. Damit setzt Apple ein wegweisendes Sicherheits-Upgrade in die Praxis um, für dessen Einführung man sich schon 2012 mit anderen Internet-Giganten wie Meta (ehemals Facebook) und Google sowie Hardwareherstellern von Intel bis Qualcomm zur FIDO Alliance zusammengeschlossen hat. Spätestens jetzt sollten Unternehmen überlegen, wie sie ihre Geschäftsprozesse für diese Zukunft fit machen.

Passkey basiert auf einer Kombination aus starker Verschlüsselung und Biometriedaten, wie sie die Sensoren von Laptops oder mobilen Endgeräten erfassen. Zur Aktivierung der Funktion auf einer Website oder in einer App erstellen die Nutzer lediglich einmalig mittels Apples Gesichtserkennung FaceID oder dem Fingerabdruckscanner TouchID einen digitalen Autorisierungsschlüssel. Dieser Schlüssel ist ausschließlich für die jeweilige Website oder App gültig, für die man ihn erstellt hat. Neu ist, dass sich der Passkey über die iCloud Keychain an andere Geräte des Benutzers weitergeben lässt und so eine geräteübergreifende Autorisierung ermöglicht.

Apples Implementierung des passwortfreien Logins folgt damit den Zielen der FIDO Alliance. Die Strategie dahinter ist nicht auf Apples Produkt-Ökosystem beschränkt, sondern verwirklicht eine neue Stufe passwortfreier Authentifizierung, die unabhängig vom Endgerät, der Betriebssystemplattform und dem verwendeten Browser ist. Sie stellt darüber hinaus sicher, dass sich die digitalen Schlüssel geräteübergreifend sicher teilen lassen und den Nutzern so ohne erneute Anmeldeprozedur auf allen Geräten zur Verfügung stehen. Da andere Mitglieder der FIDO Alliance wie Microsoft und Google das System ebenfalls unterstützen, ist mit einer raschen Verbreitung in den kommenden Jahren zu rechnen.

Ob es um den Zugang zum Mailing-Dienst, Cloud-Software oder Banking- und E-Commerce-Accounts geht: Die passwortfreie Authentifizierung macht das Abfangen von Login-Daten unmöglich und bremst Datendiebe damit zuverlässig aus. Dass führende Hard- und Softwareanbieter bei der Umsetzung zusammenarbeiten, zeigt, was das Gebot der Stunde ist: Wo dies noch nicht geschehen ist, sollten Online-Dienstleister und -Händler ihre Login-Prozesse zukunftssicher machen und den Zugang ohne Passwort ermöglichen. Technikkonzerne wie Apple, Google und Microsoft liefern standardmäßig die Lösung auf Endanwenderseite. Nun müssen die Unternehmen nachziehen und ihre Login-Systeme anpassen.

Entsprechende Authentisierungslösungen lassen sich ohne großen Aufwand in die bestehende Softwarearchitektur integrieren. Als Cloud-Lösungen bieten sie Unternehmen die Gewissheit, mit der Weiterentwicklung der FIDO-Sicherheitsstandards stets schrittzuhalten, ohne sich selbst um regelmäßige Updates der Authentisierungskomponenten kümmern zu müssen.

Der Grund für die anhaltenden Bemühungen der FIDO Alliance, Logins sicherer zu machen, ist folgender: Zwar nutzen viele Menschen inzwischen lange, nichttriviale Passwörter, doch Hackern gelingt es immer wieder, diesen Sicherheitsmechanismus auszuhebeln. Mit Social-Engineering-Attacken wie Phishing verleiten sie Anwender dazu, ihr Passwort auf einer vermeintlichen Unternehmens-Website oder gegenüber einem angeblichen Vorgesetzten preiszugeben.

Tatsächlich lauern am anderen Ende der Kommunikationskette die Cyberkriminellen, die mit den gestohlenen Login-Daten Firmengeheimnisse ausspähen oder illegale Transaktionen tätigen. Vor solchen geschickten Angriffen kann kein noch so langes und komplexes Passwort schützen.

Sebastian Ulbert ist Chief Revenue Officer und Member of the Executive Board bei Nevis.


Verwandte Artikel

Nevis Security

Authentifizierung

Passwort-Management