40 Minuten Videovortrag
iCloud Schlüsselbund: Wie iOS 12 den Einsatz brauchbarer Passwörter fördert
Zu den Sicherheitsverbesserungen, die Apple zusammen mit iOS 12 auf iPhone und iPad eingeführt hat, zählte unter anderem die erhebliche Aufwertung des iCloud-Schlüsselbundes.
Dieser hat sich seit dem letzten System-Update zu einem ausgewachsenen Passwort-Manager gemausert und erkennt inzwischen nicht nur doppelt vergeben Passwörter, sondern bringt einen intelligenten Passwort-Generator mit, erkennt Kurznachrichten mit Codes für die 2-Faktor-Autorisierung automatisch und bietet darüber hinaus eine tiefe Systemintegration von Drittanbieter-Managern zur Passwort-Verwaltung an.
„Hey Siri, zeig mir mein Netflix-Passwort“
Verbesserungen über die ifun.de bereits im Juni ausführlich berichtete – ein Highlight damals: Wollt ihr euch lediglich ein Passwort anzeigen lassen, könnt ihr einfach Siri um die Darstellung des gewünschten Accounts bitten. „Hey Siri, zeig mir mein Netflix-Passwort“.
Apples Ricky Mondello geht im Rahmen der Stockholmer PasswordsCon 2018 nun noch mal detailliert auf die Neuerungen ein und erklärt in seinem knapp 40-minütigen Videovortrag, wie iOS 12 den Einsatz brauchbarer Passwörter fördert:
In iOS 12 und macOS Mojave hat Apple eine Reihe von Verbesserungen für den Kennwort-Manager iCloud Schlüsselbund bereitgestellt, der darauf abzielte, automatisch generierte Kennwörter zu verwenden und Benutzern zu ermöglichen, in einer Welt zu leben, in der Benutzer ihre Kennwörter nicht kennen. In diesem Vortrag werde ich einen kurzen Überblick über diese Funktionen geben, diskutieren, welche davon aus Sicht eines Betriebssystems oder eines Browser-Herstellers interessant sind, und darüber sprechen, welche Dienstleistungs-, Website- und App-Entwickler dazu beitragen können, das Leben zu ermöglichen in einer Welt, in der Benutzer ihre Passwörter nicht kennen.
Jetzt fände ich es cool, wenn in iOS 13 auch 2-Faktor TOTP Codes direkt übers System funktionieren, die nicht per SMS verschickt werden.
Eine Frage dazu… Ich nutze Enpass… Immer wenn ich eine Webseite oder App mit PW habe, kann ich auch direkt Enpass öffnen aber er zeigt mir nie dazu das richtige Passwort an, sondern ich muss gesondert nach der passenden App oder Webseite in Enpass suchen. Frage wie muss ich Apps oder Webseiten in Enpass abspeichern das es direkt gefunden wird?
Wie wäre es wenn du den log in link in Enpass einfach hinzufügst ? … noch nicht auf diese Idee gekommen ?
Sind dann die PW nicht doppelt in der Enpass App?
Du kannst pro LogIn auch mehrere Sites speichern. Geht problemlos
Das ist wohl wahr.
Ich habe erst letze Woche sämtliche Accounts (154) auf jeweils sichere Passwörter umgestellt.
Ganz einfach mit iOS 12.
Bei einigen hatte ich schon komplexe Zeichenketten, bei anderen eben noch nicht.
Jetzt habe ich nirgendwo mehr das gleiche Passwort und Überall eben eine komplexe Zeichenkette.
Was genau passiert wenn das System mal irgendwie geartet abstürzt oder gar die Daten verliert? Was wenn jemand an deinen Account kommt und ihn vor dir wegsperrt?
Dafür hast du verschlüsselte System Backups und einen Recovery Key für den Notfall.
Wenn, zum Beispiel, mein iPhone unbrauchbar ist, habe ich die Daten noch immer auf meinem MacBook oder iPad. Und ich kann diese Daten auch jederzeit exportieren, falls ich mal auf andere Systeme umziehen wollte. In der Folge ist dann wieder etwas Handarbeit nötig, aber dafür sind meine Zugangsdaten recht sicher.
Dass jemand an meinen Hauptaccount (=Apple ID) kommt ist arg unwahrscheinlich. Ich nutze die Zwei-Faktor-Authentifizierung. Und zudem bin ich ziemlich immun gegen Phishing-Versuche, da IT-technisch affin.
Wie genau hast du das gemacht?
Ich bin am iPhone meinen iCloud-Schlüsselbund durchgegangen.
Ich habe dort 1. jedes gespeicherte Passwort angeschaut, ob es ein komplexes ist, wenn nicht habe ich aus dem Schlüsselbund heraus die Website aufgerufen und dieses geändert.
2. habe ich nach doppelt vergeben geschaut. Diese werden über ein kleines Warndreieck angezeigt. Dort bin ich dann analog zu Punkt 1 vorgegangen.
Fertig.
Wäre natürlich auch am Mac gegangen
Danke schön!
Wie handhabt ihr sowas, wenn ihr mehrere Plattformen nutzt? Wenn ich Apple Produkte nutze ist das alles ja kein Problem, aber unter Windows/Chrome usw. muss man ja dann jedes mal explizit nach dem Passwort schauen.
Und manche Apps unterstützen leider auch noch nicht automatisch den Cloud Schlüsselbund.
Du sollst ja auch nur noch Apple Produkte nutzen.
Das langsame einlullen der User in das eigene Ökosystem, ohne Möglichkeit zu wechseln (außer mit extrem viel Aufwand), geht halt weiter.
Opera hat einen password manager, da braucht man nur einmal das lange Passwort eingeben. Andeee Browser haben ebenso einen Pkw Manager an Board.
Du hast den film nicht geschaut, richtig? Auch third party apps können das nutzen.
War an ChrisDerCoder (was ich für ein Gerücht halte) gerichtet
Doch, Apps von Drittanbietern können mittlerweile auch darauf zugreifen.
Wenn Du beispielhaft das Passwort auf der Netflix-Website gespeichert hast in Safari und dann die App lädst, kannst Du auf das zuvor gespeicherte PW zurückgreifen.
@Jonny
So so ich bin als kein Coder? Komisch das ich damit sehr gut meinen Lebensunterhalt verdienen kann.
Es geht darum, dass wenn deine Passwörter in Safari gespeichert sind und du irgendwann mal (aus welchen Gründen auch immer) auf Windows oder Android wechseln müsstest… sei es auch nur zu bestimmten Zeiten, bekommst du ein kleines Problem. Je mehr die Nutzer in das Ökosystem eingelullt werden, desto weniger sind sie bereit den Aufwand zu betreiben zu wechseln oder sich nach Alternativen umzusehen, selbst wenn die Hardwarepreise steigen oder der Funktionsumfang reduziert wird.
Wenn schon Passwortmanager, dann ein third party manager um flexibel zu bleiben.
Dabei sind die Passwörter noch nicht mal die sichersten.
Ausnahmslos alle Sicherheitsexperten (inkl. der Person die vor 20 Jahren gesagt hat das zufällige mindestens 9stellige Passwörter mit Sonderzeichen un Zahl sicher seien) empfehlen heute Pass-Phrasen, da diese im Gegensatz zu langen zufälligen Passwörtern nicht nur merkbar, sondern auch in Billionen von Jahren nach heutigem Rechnerstand nicht knackbar sind. Die zufälligen Kombinationen wie Sie hier vorgeschlagen werden sind leider nicht so gut.
Hallo Coder, ich steh glaub ich noch bisschen auf dem Schlauch.
Warum sollen zufällige Kombinationen im Vergleich zu einer ebenso langen Passphrase nun schlechter sein (Gleiche Schlüssellänge / gleiches Alphabet)?
https://www.heise.de/security/meldung/Sichere-Passwoerter-Viele-der-herkoemmlichen-Sicherheitsregeln-bringen-nichts-3797935.html
@PeterG
Genau. Jedoch sagt der Artikel nicht dass zufällige Zeichenketten unsicherer sind.
Die zufälligen Zeichenketten sind doch sicher, werden aber in der Praxis kaum genutzt, eben weil man sie sich nicht merken kann. Das ist für viele zu umständlich. Und genau deswegen sind Passphrasen die z.B. auf Abkürzungen basieren effektiver.
Die Gefahr hierbei ist aber auch, dass die Leute nur zwei – drei Phrasen verwenden und diese bei all ihren genutzten Diensten nutzen. Dann führt sich das ganze wieder selbst ad absurdum.
@PeterG
Der Artikel sagt aber nicht, dass zufällige Zeichenketten unsicherer sind.
Er sagt, dass diese kaum genutzt werden. Und das ist unsicher. Deswgene lieber Passphrase, die man sich merken kann.
Ein zufälliges Passwort in der Größe, wie es zB. in Safari generiert wird, ist im Vergleich zu einer Passphrase die aus zB. mindestens 4 Wörtern, Bindestrich und Zahl besteht wesentlich leichter zu knacken, was alleine daran liegt das das Alphabet nur 26 Buchstaben besitzt (plus 10 Zahlen und die paar erlaubten Sonderzeichen), alleine im Duden aber rund 140.000 Wörter stehen. Entsprechend erhöht sich die Anzahl der Versuche.
ZB. bei einem Buchstaben aus dem Alphabet bauche ich maximal 26 Versuche den Buchstaben zu treffen, bei einem Wort mindestens 140.000 Versuche (wobei hier Fremdwörter etc. noch gar nicht mit eingerechnet sind). Natürlich reden wir hier von sehr vielen Jahren bis ein Passwort mit heutigem Stand der Technik geknackt ist.
Ein typisches Passwort wie xDs-rFg-32a-SXp sieht für das Gehirn kompliziert aus, ist mit einem einzigen (!) heutigen Rechner in ca. 1 Billionen Jahre zu entschlüsseln (die Jahre unterscheiden sich etwas je nach dem welche Prüfseite man nutzt). Spannend wird es wenn Rechnerfarmen oder Netzwerke aus tausenden gekaperten Rechner loslegen… dann werden daraus ganz schnell sehr kurze Zeiträume.
Eine Passphrase zB. wie „Auto-haus-waschen-laufen26“ ist mit einem heutigen Rechner erst in 8 Quintilliarden Jahren geknackt. Hängt man noch eine Zahl dran (also statt 26 zB. 269) erhöht sich das ganze auf 793 Quintilliarden Jahre). Da kann auch eine Rechnerfarm nicht mehr viel machen. Von daher sind nach aktuellem Stand Passphrasen immer die bessere Wahl und du kannst sie dir wenigstens noch merken.
Wobei man natürlich realistisch bleiben kann, denn bis auf wenige sensible Bereiche wird jemand kaum diese Anstrengungen mit Rechnernetzwerken auf sich nehmen, sondern eher Phishing versuchen und da kann dann das Passwort noch so sicher sein, am Ende ist immer die Dummheit der Nutzer ausschlaggebend.
@ChrisDerCoder Wenn du gleich lange Passwörter vergleichst, sind die mit zufälligen Zeichen logischerweise sichererer, da weniger vorhersehbar.
Aber selbst wenn du den unfairen Vergleich machst, ist ein Zufalls Passwort mit 16 Zeichen immer noch deutlich sicherer als eines mit 4 Wörtern.
36^16 > 140.000^4
Ja und nein.
Die zufälligen Zeichenketten sind doch sicher, werden aber in der Praxis kaum genutzt, eben weil man sie sich nicht merken kann. Das ist für viele zu umständlich. Und genau deswegen sind Passphrasen die z.B. auf Abkürzungen basieren effektiver.
Die Gefahr hierbei ist aber auch, dass die Leute nur zwei – drei Phrasen verwenden und diese bei all ihren genutzten Diensten nutzen. Dann führt sich das ganze wieder selbst ad absurdum.
Ja und nein. Ein zufälliges Passwort in der Größe, wie es zB. in Safari generiert wird, ist im Vergleich zu einer Passphrase die aus zB. mindestens 4 Wörtern, Bindestrich und Zahl besteht wesentlich leichter zu knacken, was alleine daran liegt das das Alphabet nur 26 Buchstaben besitzt (plus 10 Zahlen und die paar erlaubten Sonderzeichen), alleine im Duden aber rund 140.000 Wörter stehen. Entsprechend erhöht sich die Anzahl der Versuche.
ZB. bei einem Buchstaben aus dem Alphabet bauche ich maximal 26 Versuche den Buchstaben zu treffen, bei einem Wort mindestens 140.000 Versuche (wobei hier Fremdwörter etc. noch gar nicht mit eingerechnet sind). Natürlich reden wir hier von sehr vielen Jahren bis ein Passwort mit heutigem Stand der Technik geknackt ist.
Ein typisches Passwort wie xDs-rFg-32a-SXp sieht für das Gehirn kompliziert aus, ist mein einem einzigen (!) heutigen Rechner in ca. 1 Billionen Jahre zu entschlüsseln (die Jahre unterscheiden sich etwas je nach dem welche Prüfseite man nutzt). Spannend wird es wenn Rechnerfarmen oder Netzwerke aus tausenden gekaperten Rechner loslegen… dann werden daraus ganz schnell sehr kurze Zeiträume.
Eine Passphrase zB. wie „Auto-haus-waschen-laufen26“ ist mit einem heutigen Rechner erst in 8 Quintilliarden Jahren geknackt. Hängt man noch eine Zahl dran (also statt 26 zB. 269) erhöht sich das ganze auf 793 Quintilliarden Jahre). Da kann auch eine Rechnerfarm nicht mehr viel machen. Von daher sind nach aktuellem Stand Passphrasen immer die bessere Wahl.
Wobei man natürlich realistisch bleiben kann, denn bis auf wenige sensible Bereiche wird jemand kaum diese Anstrengungen mit Rechnernetzwerken auf sich nehmen, sondern eher Phishing versuchen und da kann dann das Passwort noch so sicher sein, am Ende ist immer die Dummheit der Nutzer ausschlaggebend.
Wobei die von Safari generierten „sicheren Passwörter“ aus 4 Blöcken Klein- und Großbuchsteban sowie Zahlen mit Bindestrichen bestehen. Also nach dem Muster:
htFr-Qj89-kK9D-Ma1y
Ich muss mich korrigieren.
Das variiert offensichtlich.
Ich habe Passwörter mit dem Muster xxx-xxx-xxx-xxx-xxx und welche mit dem Muster xxxxx-xxxxx-xxxxx-xxxxx
wann was benutzt wird, weiß ich nicht. aber jede Variation ist ja erstmal gut
Das ist mir im Nachgang auch aufgefallen als ich noch mal alte Safari Passwörter durchgesehen habe. Ich vermute das man aktuell die größeren Blöcke generiert und früher die kürzeren.
Meine Passwörter sind alle im Kopf gespeichert. Hält geistig fit.
Alle?
Ich nutze zum Beispiel – im Moment – 154 Passwörter. Und das sind nur die privaten.
Auf der Arbeit sind es nochmal bestimmt 40.
Wenn es nur eine Hand voll wären, würde ich wohl auch alles im Kopf behalten. Aber das sind dann doch zu viele.
Wenn man überall das selbe benutzt, läuft das :-D
Genial! Dass man sich Passwörter mit Siri anzeigen lassen kann, war an mir vorbeigegangen. Und es funktioniert sogar richtig gut und schnell. Danke :)
Kennt das jemand, dass die Textersetzung seit ios12 nicht funktioniert, wenn ‚Passwörter automatisch ausfüllen‘ aktiviert ist und man sich auf einer Seite oder einem App mit Passwort Feld befindet.
Ich habe meine Emailadressen in Textersetzung hinterlegt um sie schneller abzurufen. Seit dem ich Passwörter ausfüllen aktiviert habe, funktioniert die Textersetzung nicht mehr auf Seiten, wo man ein Passwort (Feld mit Sternchen) eingeben muss, nicht mehr.
Versucht mal ‚mfg‘ auf einer Login Seite einzugeben.
Du musst dich nur beeilen. Für den Bruchteil einer Sekunde wird die Textersetzung in der Leiste angezeigt und du kannst drauf tippen.
Das Problem habe ich auch. Nutze Dashlane. Textersetzungen für z.B. die E-Mail-Adresse sind seit dem nicht mehr möglich. Kennt jemand einen Workaround?
Oh toll, Siri zeigt Paßwörter an.
Die mit Siri gesprochenen Befehle werden an Apple-Server weitergeleitet – so können sich Sinn und Zweck von Paßwörtern ganz schnell relativieren. LOL!!!
Ich nutze den integrierten Passwort Manager intensiv nach den erheblichen Verbesserungen, aber mir fehlt die Möglichkeit einer > wichtigen Notiz < pro Passwort zu hinterlegen. Bei Strom und Gasanbietern oder Versicherungen möchte ich gerne Kundennummern bzw. Versicherungsnummern eingeben können.
Das sicherste, finde ich, sind sogenannte Einmal – Passwörter welche erst vergeben werden wenn ich es brauche.