Sicherheitsempfehlungen für Passwörter
Aus der Liste der Passwörter für das automatische Ausfüllen von Passwörtern von iOS, iPadOS und macOS geht hervor, welches der gesicherten Passwörter eines Benutzers für andere Websites wiederholt verwendet wird, welche Passwörter als schwach eingestuft werden und welche Passwörter infolge eines Datenlecks kompromittiert wurden.
Übersicht
Wird dasselbe Passwort für mehrere Dienste verwendet, macht dies die betreffenden Accounts anfällig für Credential-Stuffing-Angriffe. Diese funktionieren folgendermaßen: Wenn ein Angreifer in einen Dienst eingedrungen ist und Passwörter abgegriffen hat, kann er versuchen, dieselben Anmeldedaten bei anderen Diensten auszuprobieren, um weitere Accounts zu schädigen.
Passwörter werden als wiederholt verwendet gekennzeichnet, wenn erkannt wird, dass ein bestimmtes Passwort in verschiedenen Domains wiederholt als gesichertes Passwort verwendet wird.
Passwörter werden als schwach gekennzeichnet, wenn Angreifer sie leicht erraten können. iOS, iPadOS und macOS erkennen gängige Muster, die zum Erstellen leicht zu merkender Passwörter verwendet werden. Hierzu gehören beispielsweise Wörter, die in einem Lexikon zu finden sind, gängige Zeichenersetzungen (etwa „p4ssw0rt“ anstelle von „passwort“), Muster auf einer Tastatur (etwa „q12we34r“ einer QWERTZ-Tastatur) oder sich wiederholende Zeichenfolgen (etwa „123123“). Diese Muster werden häufig zum Erstellen von Passwörtern verwendet, die die Mindestanforderungen für Passwörter zum Anmelden bei Diensten erfüllen. Doch auch Angreifer bedienen sich dieser Muster, wenn sie mittels Brute-Force-Attacken versuchen, in den Besitz von Passwörtern zu kommen.
Da viele Dienste gezielt einen vier- oder sechsstelligen PIN-Code abfragen, gelten für diese kurzen Codes andere Regeln. PIN-Codes gelten als schwach, wenn sie zu einem der am häufigsten verwendeten PIN-Codes gehören, wenn sie eine auf- oder absteigende Ziffernfolge darstellen, z. B. „1234“ oder „8765“, oder wenn sie einem Wiederholungsmuster folgen, etwa „123123“ oder „123321”.
Passwörter werden als kompromittiert gekennzeichnet, wenn die Funktion für die Passwortüberwachung belegen kann, dass sie Gegenstand eines Datenlecks waren. Weitere Informationen sind unter Passwortüberwachung zu finden.
Schwache, wiederholt verwendete und kompromittierte Passwörter werden entweder in der Liste gekennzeichnet (macOS) oder in der dedizierten Oberfläche für Sicherheitsempfehlungen präsentiert (iOS und iPadOS). Wenn sich der Benutzer in Safari bei einer Website anmeldet und dabei ein zuvor gesichertes Passwort verwendet, das sehr schwach ist oder durch ein Datenleck kompromittiert wurde, erscheint ein Warnhinweis mit der Aufforderung, ein Upgrade auf ein automatisch starkes Passwort zu vorzunehmen.
Aktualisieren der Authentifizierungssicherheit für Accounts in iOS und iPadOS
Durch die Implementierung von Account Authentication Modification Extensions (im Authentication Services Framework) können Apps Benutzer in die Lage versetzen, durch bloßes Tippen auf eine Taste Upgrades für passwortbasierte Accounts und den Wechsel zur Option „Mit Apple anmelden“ vorzunehmen oder automatisch starke Passwörter zu verwenden. Dieser Erweiterungspunkt ist für iOS und iPadOS verfügbar.
Wenn der Erweiterungspunkt in einer App implementiert ist und die App auf einem Gerät installiert ist, sehen Benutzer die Upgrade-Optionen der Erweiterung, wenn sie sich die Sicherheitsempfehlungen für Anmeldedaten zu ihrer App ansehen (im Passwortmanager des iCloud-Schlüsselbunds unter „Einstellungen“). Die Upgrades werden auch angeboten, wenn Benutzer für die Anmeldung bei einer App risikobehaftete Anmeldedaten verwenden. Apps können das System jedoch anweisen, Benutzern nach der Anmeldung die Upgrade-Optionen nicht zu präsentieren. Über die neue API AuthenticationServices können Apps außerdem eigene Erweiterungen aufrufen und selbst Upgrades ausführen – im Idealfall ausgehend von einem Bildschirm der App, der für Accounteinstellungen oder die Accountverwaltung verwendet wird.
Apps ist es freigestellt, ob sie die Upgrade-Option für „Automatisch starke Passwörter“ oder die Upgrade-Option für „Mit Apple anmelden“ oder beide Optionen nutzen wollen. Beim Upgrade auf die Option „Automatisch starke Passwörter“ generiert das System automatisch ein starkes Passwort für den Benutzer. Im Bedarfsfall kann die App eigene Passwortrichtlinien bereitstellen, die beim Generieren des neuen Passworts eingehalten werden müssen. Wenn ein Benutzer den Wechsel von einem passwortbasierten Account zur Option „Mit Apple anmelden“ vornimmt, stellt das System im Hinblick auf die Option „Mit Apple anmelden“ neue Anmeldedaten für die Erweiterung bereit, die diese dann dem Account zuordnet. Die E-Mail-Adresse zur Apple-ID des Benutzers wird nicht als Teil der Anmeldedaten bereitgestellt. Nach dem erfolgreichen Upgrade auf die Option „Mit Apple anmelden“ löscht das System die bisherigen Passwortdaten aus dem Schlüsselbund des Benutzers, sofern sie dort gesichert waren.
Account Authentication Modification Extensions bieten die Möglichkeit, eine zusätzliche Benutzerauthentifizierung vorzunehmen, bevor das Upgrade durchgeführt wird. Bei Upgrades, die über den Passwortmanager oder nach der Anmeldung an einer App initiiert werden, stellt die Erweiterung den Benutzernamen und das Passwort des Accounts bereit, für den das Upgrade vorgenommen werden soll. Bei Upgrades aus der App heraus wird nur der Benutzername bereitgestellt. Wenn die Erweiterung eine weitere Benutzerauthentifizierung erfordert, kann sie hierfür eine eigene spezifische Oberfläche einblenden, bevor das Upgrade initiiert wird. Sinn und Zweck dieses Vorgehens ist es, den Benutzer zur Eingabe eines zweiten Authentifizierungsfaktors zu zwingen, um das Upgrade zu autorisieren.