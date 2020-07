Apple baut die Funktionen der in iOS und macOS integrierten Passwortverwaltung iCloud-Schlüsselbund aus: iOS 14 und macOS 11 sollen Nutzer mit einer Benachrichtigung darauf hinweisen, sobald eines oder mehrere der gespeicherten Passwörter kompromittiert wurden. Das Passwort sei in einem Datenleck aufgetaucht, heißt es in der Mitteilung, der zugehörige Account sei somit unsicher.

Warnung bei Passwort-Breach

Neben mehrfach verwendeten und unsicheren Passwörtern warnt Apple künftig auch vor solchen, die bei einem Breach veröffentlicht wurden. (Bild: Apple)

Wurde ein Passwort bei einem Datenleck veröffentlicht, sind alle Accounts gefährdet, bei denen das Passwort eingesetzt wird, betont Apple. Man zeige die Warnung deshalb für jedes Benutzerkonto, für das das kompromittierte Kennwort verwendet wird, auch wenn das Datenleck bei einem anderen Dienst auftrat, wie der iPhone-Konzern in einer Session auf der Entwicklerkonferenz WWDC erklärte. Die Mitteilung führt den Nutzer zu den hinterlegten Account-Daten im iCloud-Schlüsselbund und fordert dort dazu auf, das Passwort zu ändern.

Nutzer können dann einen Link in der Passwortverwaltung anklicken, der im Idealfall direkt auf eine Webseite zum Zurücksetzen des Passwortes beim jeweiligen Dienst führt. Da das Ändern des Passwortes oft umständlich sei, würden viele Nutzer darauf verzichten, so ein Apple-Entwickler. Der Konzern erlaubt App- und Dienste-Anbieter deshalb künftig, sich über eine neue Extension in die Passwortverwaltung einzuklinken und dem Nutzer dort die Änderung seines Passwortes durch Drücken eines Buttons zu ermöglichen – der Schlüsselbund lege dann ein neues sicheres Passwort fest. Dienste können dem Nutzer darüber zudem anbieten, ihren Account auf Apples Login-Dienst "Mit Apple anmelden" umzustellen.

Apple verspricht sicheren Passwort-Check

Um auf Passwort-Leaks zu prüfen, setze der Schlüsselbund auf "starke kryptographische Techniken", mit denen "Ableitungen" der Passwörter des Nutzers mit einer Datenbank aus Passwort-Leaks abgeglichen wird, wie Apple erklärte. Passwortinformationen sollen dabei nicht preisgegeben werden, betont der Konzern, auch Apple erhalte keinen Einblick. Details zu der verwendeten Technik wurden noch nicht genannt.

Passwortmanager wie 1Password setzen solche Techniken bereits ein, dort wird aus jedem Passwort ein Hash mit einer Länge von 40 Zeichen gebildet und die ersten fünf Zeichen davon mit der Leak-Datenbank haveibeenpwned.com abgeglichen. Die Liste eventueller Treffer werde dann lokal auf dem Gerät analysiert, so der Anbieter.

