Nun ist der iPhone-Hersteller Board-Mitglied. Die FIDO Alliance entwickelt offene Standards für die Anmeldung ohne Passwort – und erhoffen sich von der Zusammenarbeit mit Apple neue Impulse.
Unternehmen wie Google, Intel und Microsoft gehören, der in 2012 gegründeten Fast Identity Online Alliance (FIDO) bereits schon dazu – nun hat sich auch Apple angeschlossen. Ihr gemeinsames Ziel ist es, die Authentifizierung im Internet zu vereinfachen und mit offenen Standards die Anmeldung per Passwort zu ersetzen.
Schon länger bietet der iPhone-Hersteller mit Touch ID und Face ID Sicherheitsfunktionen an, die den Zielen der FIDO Alliance entsprechen. Warum Apple gerade jetzt den Entschluss gefasst hat und nicht schon früher dem Vorbild von Google und Microsoft gefolgt ist die Alliance als Board-Mitglied zu unterstützen, ist nicht bekannt.
„Passwörter sind die Kakerlaken des Internets und Unternehmen versuchen seit Jahren, sie loszuwerden“, kommentierte Merritt Maxim, Principal Security Analyst bei Forrester Research, den Eintritt Apple im Gespräch mit dem Nachrichtensender CNBC. Die von der FIDO Alliance und dem W3C entwickelter Programmschnittstelle, ist nur einer dieser Versuche, die eine Registrierung und Anmeldung bei Servern mit einer Public-Key-Kryptographie statt Passwörter erlaubt.
Der Apple-Browser unterstützt seit Dezember 2019 zertifizierte Sicherheitsschlüssel von der FIDO, wie Yubikey. So ist eine Anmeldung über WebAuthn im Browser über NFC, USB oder Lightning möglich – allerdings nur ab iOS 13.3.
Gemäß den FIDO-Standards bieten mobile Apple-Geräte über einen integrierten Sicherheitschips einen vertrauenswürdigen Bereich, der ihren Einsatz als Sicherheitsschlüssel erlaubt. Seit rund vier Wochen lässt Google beispielsweise iPhones als Sicherheitsschlüssel für die Anmeldung bei Google-Konten zu. Hierzu wird lediglich die Smart-Lock-App von Google für iOS und eine einmalige Einrichtung benötigt.
Jedoch sieht Rolf Lindemann, Co-Chairman der Security Requirements Working Group der FIDO noch Nachholbedarf bei Apple. Bisher bieten nur Chrome, Android, Windows, Edge und Mozilla Firefox vollständigen Support für FIDO. Er geht aber davon aus, Dass Apple bei der künftigen Ausrichtung der Allianz mitwirken wird. Das werde „zu einem Support für eine passwortlose Anmeldung führen, die am besten in Apples Ökosystem passt“.
Dennoch sind Passwörter weiterhin die gebräuchlichste Methode, um eine Anmeldung auch bei Online-Diensten abzusichern. Leicht zu erratene und vor allem schwache Passwörter sind anfällig für Brute-Force-Attacken und führen daher immer wieder zu Sicherheitsvorfällen und auch zu Datenverlusten.