WhatsApp führt Passkeys unter iOS ein

[Jan Gruber]

Jan Gruber
WhatsApp hat offiziell die Unterstützung für Passkeys auf iOS-Geräten gestartet, eine Funktion, die bereits unter Android-Nutzern verfügbar ist und nun auch iPhone-Besitzern eine sicherere und einfachere Anmeldemöglichkeit bietet.

Passkeys sind eine fortschrittliche Form der Authentifizierung, entwickelt, um die Nutzung von Passwörtern zu eliminieren. Diese Technologie basiert auf dem Standard „WebAuthentication“ (WebAuthn) und verwendet ein Schlüsselpaar, das vom Betriebssystem erstellt wird. Bei der Anmeldung wird nur der öffentliche Schlüssel übertragen, während der private Schlüssel sicher auf dem Gerät gespeichert bleibt und nie den Server erreicht. Diese Methode bietet einen deutlichen Schutz vor Phishing-Angriffen, da keine "Shared Secrets" (gemeinsam genutzte Geheimnisse) übertragen werden.

Passkeys: Vorteile der Integration​

Für WhatsApp-Nutzer auf iOS bedeutet diese Implementierung eine nahtlose und sichere Anmeldemöglichkeit ohne die Notwendigkeit von Passwörtern. Nutzer können sich mit Face ID, Touch ID oder ihrer Geräte-PIN einloggen, wodurch selbst bei fehlendem Mobilfunkempfang der Zugriff gewährleistet ist. Diese Methode vereinfacht nicht nur den Login-Prozess, sondern erhöht auch die Sicherheit beim Zugriff auf die App.

Die Einrichtung der Passkeys erfolgt direkt in der WhatsApp-Anwendung unter den Einstellungen im Bereich „Konto“. Dort finden Nutzer die Option „Passkeys“, um die Funktion zu aktivieren und einzurichten. Nach der Einrichtung können Nutzer die einfache und schnelle Anmeldung genießen, ohne sich Sorgen um die Sicherheit ihrer Daten machen zu müssen.

Via Anbieter

Den Artikel im Magazin lesen.

 

[El Cord]

Was passiert eigentlich mit allen Seiten und Apps, wenn man sich ein neues Gerät, wohlmöglich noch eines eines anderen Herstellers kauft? Wie logge ich mich dann ein?

 

[doc_holleday]

Disclaimer: Ob das technisch Sinn ergibt, was in den Blog-Einträgen beschrieben ist, kann ich nicht beurteilen. Ich verlinke es hier trotzdem mal für die technisch Versierteren und würde mich über weitere Einschätzungen freuen, weil das Folgende schon sehr negativ ist, aber vielleicht nicht gut begründet oder gar falsch?

Gerade heute bei Fefe erschienen:

Passkeys sind tot. Opfer von Enshittification.

Fefes Blog

Aus der verlinkten Geschichte:

"Since then Passkeys are now seen as a way to capture users and audiences into a platform. What better way to encourage long term entrapment of users then by locking all their credentials into your platform, and even better, credentials that can't be extracted or exported in any capacity."

(https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/)

 

[James Atlick]

trotzdem mal für die technisch Versierteren und würde mich über weitere Einschätzungen freuen, weil das Folgende schon sehr negativ ist, aber vielleicht nicht gut begründet oder gar falsch?

Finde seine beiden Hauptargumente nicht besonders wichtig.

Argument 1: PassKeys können zu einem Vendorlock führen.

Gut, das haben wir auch schon bei Passwörtern. Finde es nicht besonders schön, aber ist ja nicht so, dass es keine Möglichkeit zur Herstellerunabhängigen Passkeys gibt. Microsoft Authentifactor funktioniert auf allen Geräten. Kann sogar easy per Cloudbackup wiederhergestellt werden. Cloudbackup!?!? werden jetzt einige verständlicherweise schreien. Zur Verteidigung muss ich aber sagen, der Auth von MS verwendet eine Kombination aus iCloud und MS Konto dafür. Das ist schon smart umgesetzt. Aber hey, wenn die EU einen einfachen PassKey Export vorschreibt, bin ich voll dafür.

Argument 2: PassKeys sind krass wichtig, doof wenn der Hersteller deine Keys löscht.

Das stimmt natürlich, betrifft aber auch meine Keepass Datei in Nextcloud, oder mein LastPass Konto oder mein Firefox Konto mit den Passwörter usw.

Mein winziges Argument wäre eher, potentielle Sicherheitslücken bei der Implementierung. Nutzte ich den MS Auth anstelle von Apple PassKeys, muss ich für die automatische Ausfüllung in Chrome, Safari oder Firefox ein Plugin installieren. Aber auch der integrierte Mechanismus von Apple und Safari könnte fehlerbehaftet sein.

Passkeys als Ersatz für 2FA sehe ich kritisch und ist mir auch noch keine Bank oder so bekannt, welche es so handhabt.


Egal ob für meine Mutter als 0815 User oder für mich der an die 50 Passkeys (SSH) pro Tag braucht, diese winzigen "Nachteile" werden meiner Meinung nach extrem stark vom Sicherheitsgewinn und vom Bequemlichkeitsfaktor überwogen.

 

[Jan Gruber]

Was passiert eigentlich mit allen Seiten und Apps, wenn man sich ein neues Gerät, wohlmöglich noch eines eines anderen Herstellers kauft? Wie logge ich mich dann ein?

Meine Passkeys liegen in 1Passwort, das klappt überall und damit hat sichs.
- Vendor-Lock Argumente wie in der weiteren Diskussion besprochen sehe ich daher genau Null.

 

[James Atlick]

- Vendor-Lock Argumente wie in der weiteren Diskussion besprochen sehe ich daher genau Null.

Naja, du bist nun halt vendor locked bei Lastpass Ist halt nicht Hardware sondern Service locked.
Ähnliches sehen wir ja bei Spotify und Apple Music, ich bin da ein wenig Service locked, da meine Playlists usw. nicht automatisch übernommen werden.

 

[AndaleR]

da meine Playlists usw. nicht automatisch übernommen werden.

Wobei da ja was kommen soll von Apple in der Richtung?

 

[access]

Ich soll mich auf Apple bei Passwörtern verlassen? Niemals im Leben. Mir ist mehrfach folgendes passiert:

Benutzername und Passwort eingeben: Fehlermeldung
Noch ein Versuch: Fehlermeldung
Passwort vergessen gewählt und über IPad authentifiziert.
Geben Sie ihr neues Passwort ein, Passwort eingeben, Meldung: Ihr neues Passwort darf nicht ihr altes Passwort sein.

Biss in den Schreibtisch!

 

[Jan Gruber]

Naja, du bist nun halt vendor locked bei Lastpass Ist halt nicht Hardware sondern Service locked.

Stimmt, aber die "Verdorr Locked" Argumente die bei Passkeys geführt werden gehen eben: Auf Verdor bzw eben Plattform. Heißt, ich Wechsel nicht mehr von Android zu iOS oder anders rum - was bei "Service Locked" wie in meinem Fall egal wäre. Am Ende muss man irgend einen Tod sterben in dem Fall wohl ... "Paar Euro" für 1Password, das ich so oder so immer zahlen werde, sind mir da lieber als einige tausend Euro für Hardware ^^

Wobei da ja was kommen soll von Apple in der Richtung?

Kann ich mir nicht vorstellen ... Apple Music ist keine "Large Online Plattform", warum sollten sie. Wir werden uns weiter mit diversen Tools zum Umziehen von Playlisten rumschlagen dürfen

 

[James Atlick]

Heißt, ich Wechsel nicht mehr von Android zu iOS oder anders rum - was bei "Service Locked" wie in meinem Fall egal wäre. Am Ende muss man irgend einen Tod sterben in dem Fall wohl ... "Paar Euro" für 1Password, das ich so oder so immer zahlen werde, sind mir da lieber als einige tausend Euro für Hardware ^^

Du kannst also genauso wenig von
Apple Passkeys zu MS Authentificator wechseln,
wie von LastPass zu MS Authentificator



Wobei ich mich bei LastPass halt immer frage, wie häufig müssen die eigentlich noch verkacken um endlich Kunden zu verlieren?
KeePass mit Dropbox, iCloud Drive, Google Drive, OneDrive ist LastPass einfach haushoch überlegen und erst noch kostenlos und trotzdem bezahlen einige ein Abo bei LastPass? Verstehe ich nicht

 

[Jan Gruber]

Passkeys kannste einfach gar nicht übersiedeln, fast so wie bei 2Faktor Codes. Dennoch setz ich persönlich sehr viel lieber auf einen Thirdparty der mich nur Software locked und nicht direkt Plattform locked, aber das muss ja jeder selbst wissen. Das war früher mal Authy, das ist jetzt eben 1Password.

Wobei ich mich bei LastPass halt immer frage, wie häufig müssen die eigentlich noch verkacken um endlich Kunden zu verlieren?
KeePass mit Dropbox, iCloud Drive, Google Drive, OneDrive ist LastPass einfach haushoch überlegen und erst noch kostenlos und trotzdem bezahlen einige ein Abo bei LastPass? Verstehe ich nicht

Ich denke du hast in den letzten Beiträgen von mir falsch gelesen 1Password, nicht LastPass. Wie man zu LastPass gehen kann ist mir generell schleierhaft, ja. KeePass ist schon nicht schlecht, ist mir aber einfach "zu wenig schnell dabei", glaube 1Password war wieder der erste der Passkeys hatte von den Third Partys, und zweitens: ich finds einfach sau hässlich - aber das ist ja einfach nur Geschmacksache Denke wenn das Abo das nächste Mal fällig wird könnte es sein dass ich zu Protonpass wechsle.

 

[James Atlick]

Dennoch setz ich persönlich sehr viel lieber auf einen Thirdparty der mich nur Software locked und nicht direkt Plattform locked,

Warum?
Das ist ja genau mein Punkt
Im Endeffekt ist es genauso mühsam wegzumigireren.

Sorry wegen dem LastPass und 1Pass Durcheinander,
aber auch bei 1Pass kannst du nie wissen, wird die Bude von einem Investor gekauft und der möchte plötzlich 50€ pro Jahr sehen? Dann würdest du vermutlich auch wegmigrieren wollen und stehst vor dem gleichen Problem.

Aber ja, wir sind uns einig, optimal ist es nicht. EU müsste dies reglementieren und einen einfach Transfer vorschreiben.

 

[Jan Gruber]

Warum?
Das ist ja genau mein Punkt
Im Endeffekt ist es genauso mühsam wegzumigireren.

Seh ich nicht ganz so. Die Passkeys die ich bei Apple liegen hab kann ich nicht einfach so auf Android und Windows nutzen - ich glaub die haben mittlerweile zwar Apps da veröffentlicht, aber das ist alles noch recht neu - wenn überhaupt. Was ich sagen will: Die Sachen die bei Windows, Google oder Apple liegen sind nicht wirklich Multiplattform - oder zumindest nicht so gedacht von Haus aus. This Partys schon, das finde ich angenehmer, so muss ich gar nicht erst umziehen.

Sorry wegen dem LastPass und 1Pass Durcheinander,
aber auch bei 1Pass kannst du nie wissen, wird die Bude von einem Investor gekauft und der möchte plötzlich 50€ pro Jahr sehen? Dann würdest du vermutlich auch wegmigrieren wollen und stehst vor dem gleichen Problem.

Aber ja, wir sind uns einig, optimal ist es nicht. EU müsste dies reglementieren und einen einfach Transfer vorschreiben.

Ne das weiß ich nicht und 1Password will irgendwas in der Höhe auch Pro Jahr von mir =) Irgendwann wird der Schritt weg kommen, klar, und es wird wahnsinnig nerven. Ein OpenSource Produkt wird dann wahrscheinlich die Lösung für mich sein. Ja ... da bin ich auch bei ... ne bessere Möglichkeit für Transfer wäre sehr gut.