Home / Apple / News
News

Hardwareschlüssel für die 2FA ab macOS 13.2 und iOS 16.3: So geht’s

Zusätzliche Sicherheit bringt die Unterstützung von Hardware-Schlüsseln durch Apple – die Anforderungen sind aber relativ hoch.
Von Thomas Hartmann
Autor, Macwelt
Security keys for Apple ID graphic
Image: Foundry

An die Zwei-Faktor-Authentisierung (2FA) hat man sich vermutlich schon gewöhnt. Hierzu muss man auf einem zweiten Gerät von Apple die Anmeldung an einem neuen Gerät oder das Einloggen in einen Apple-Account mit Apple-ID mit einem sechsstelligen Code bestätigen. Das kann für einen Mac beispielsweise ein iPhone sein oder umgekehrt. Nun hat Apple die Möglichkeiten erweitert und gestattet den sogenannten Hardwareschlüssel mit einem externen Gerät. Voraussetzung ist aber auf dem Mac mindestens macOS 13.2 und auf den mobilen Apple-Geräten wenigstens iOS 16.3, also die derzeit aktuellen Betriebssystemversionen.

Das bedeutet, dass man zum Einloggen einen USB-C-, Lightning- oder NFC-Dongle als zweiten Authentifizierungsfaktor verwendet anstatt dem beschriebenen sechsstelligen Verifizierungscode, den Apple normalerweise an ein anderes kompatibles Gerät aus Cupertino sendet. Apple führt die Details auf einer bisher nur auf Englisch vorliegenden Support-Seite aus.

Schutz durch externe Hardware-Schlüssel

Security Keys für Apple ID sind demnach eine optionale erweiterte Sicherheitsfunktion, um zusätzlichen Schutz vor gezielten Angriffen wie Phishing oder Social-Engineering-Betrug zu ermöglichen.
Bei der Zwei-Faktor-Authentifizierung gibt man als erste Information sein Apple ID-Kennwort an. Als zweite Information kann ein Sicherheitsschlüssel anstelle des normalerweise verwendeten sechsstelligen Verifizierungscodes verwendet werden. Der physische Schlüssel anstelle des sechsstelligen Codes soll den Sicherheitsschlüssel des Zwei-Faktor-Authentifizierungsprozesses verstärken und verhindern, dass dieser zweite Authentifizierungsfaktor beispielsweise von einer angreifenden dritten Person abgefangen oder abgefragt werden und missbräuchlich eingesetzt werden kann.

Wichtig ist die Information, dass zur Nutzung dieses Hardware-Schlüssels gleich zwei externe Geräte erforderlich sind, um im Falle eines Verlustes oder einer Störung ein Backup zu haben, denn sonst wird es sehr schwierig, wieder an seine Apple-ID heran zu kommen. Apple schreibt dazu:

  • Man benötigt mindestens zwei FIDO-zertifizierte Sicherheitsschlüssel (FIDO ist laut Wikipedia Fast IDentity Online, deutsch: schnelle Identität bei digitalen Verbindungen), die mit den gewünschten Apple-Geräten funktionieren.
  • Systemvoraussetzungen: iOS 16.3, iPadOS 16.3 oder macOS Ventura 13.2 oder höher auf allen Geräten, auf denen man mit seiner Apple-ID angemeldet ist.
  • Einrichtung der Zwei-Faktor-Authentifizierung für die eigene Apple-ID.
  • Ein aktueller Webbrowser auf dem neuesten Stand.
  • Um sich bei Apple Watch, Apple TV oder Homepod anzumelden, nachdem man dort den Sicherheitsschlüssel eingerichtet hat, benötigt man ein iPhone oder iPad mit einer Softwareversion, die Sicherheitsschlüssel unterstützt.

Nicht möglich ist es zum Beispiel, sich auf diese Weise bei iCloud für Windows anzumelden oder auf Geräten, die sich nicht auf den aktuellen Software-Stand bringen lassen. Ebenso ausgenommen sind etwa Kinder-Accounts oder Apple Watches, die mit einem iPhone aus der Familie im Rahmen der Familienfreigabe verbunden sind, das die neue Funktion nicht unterstützt.

Mit diesen Geräten funktioniert es

Apple gibt ein paar Beispiele von unterstützten Securit-Dongles oder -Token an, die äußerlich teils USB-Sticks ähneln:

  • Yubikey 5C NFC (funktioniert mit den meisten Mac- und iPhone-Modellen)
  • Yubikey 5Ci (Lightning und USB-C) funktioniert mit den meisten Mac- und iPhone-Modellen)
  • FEITAN ePass K9 NFC USB-A (funktioniert mit älteren Mac-Modellen und den meisten iPhone-Modellen)

Davon benötigt man, wie gesagt, zwei für alle Fälle. Für iPhones braucht man entweder NFC- oder Lightning-kompatible-Geräte. USB-A oder -C funktionieren mit den entsprechenden Macs oder auch passenden Adaptern fürs iPhone.

Man nutzt seine Security-Keys laut Apple, um sich beispielsweise mit seiner Apple-ID auf einem neuen Gerät oder im Internet anzumelden, das Apple-ID-Kennwort zurückzusetzen oder seine Apple-ID zu entsperren, zusätzliche Sicherheitsschlüssel hinzuzufügen oder einen Sicherheitsschlüssel zu entfernen. Die Sicherheitsschlüssel sollen an sicheren Orten aufbewahrt werden, zum Beispiel lässt man einen Schlüssel zu Hause und hat einen Schlüssel am Arbeitsplatz. Ist man unterwegs, kann man ebenfalls einen seiner Sicherheitsschlüssel zu Hause lassen und den anderen, wenn möglich, beispielsweise an einen Schlüsselbund hängen.

Dann beschreibt Apple, wie man sich mit seinem neuen Security-Key auf den verschiedenen Geräten einrichtet:

Auf dem iPhone oder iPad:

  • Die App “Einstellungen” öffnen.
  • Auf seinen Namen tippen und dann auf ”Passwort & Sicherheit”.
  • Auf ”Sicherheitsschlüssel hinzufügen” tippen und den Anweisungen auf dem Bildschirm folgen, um seine Schlüssel hinzuzufügen.
  • Auf den Geräten, die mit der Apple-ID verknüpft sind, wählen: ”Bei allen aktiven Geräten angemeldet bleiben.”
  • Geräte, für die man keinen Zugriff mehr auf seinen Account wünscht, auswählen und von diesen abmelden.


So beendet man die Verwendung von Sicherheitsschlüsseln:

  • Die App ”Einstellungen” öffnen,
  • auf seinen Namen tippen und dann auf ”Kennwort & Sicherheit”.
  • Auf ”Sicherheitsschlüssel” und dann auf ”Alle Sicherheitsschlüssel entfernen”.
  • Tippt man auf ”Alle Sicherheitsschlüssel entfernen”, wird für diese Apple-ID wieder der sechsstellige Prüfcode für die Zwei-Faktor-Authentifizierung verwendet.


Auf dem Mac

  • Im Apple-Menü die Option “Systemeinstellungen” wählen und auf seinen Namen klicken, dann auf ”Passwort & Sicherheit”.
  • Neben “Sicherheitsschlüssel” auf “Hinzufügen” klicken und den Anweisungen auf dem Bildschirm folgen, um seine Schlüssel hinzuzufügen.
  • Auf den Geräten, die mit der Apple-ID verknüpft sind, wählen: ”Bei allen aktiven Geräten angemeldet bleiben.”
  • Geräte auswählen, für die man keinen Zugriff mehr auf seinen Account wünscht, von diesen abmelden.
  • So beendet man die Verwendung von Sicherheitsschlüsseln: Die Systemeinstellungen öffnen, auf seinen Namen klicken und dann auf ”Kennwort und Sicherheit”, dann auf ”Sicherheitsschlüssel” und weiter auf ”Alle Sicherheitsschlüssel entfernen”. Entfernt man alle Sicherheitsschlüssel, wird für diese Apple ID wieder der sechsstellige Prüfcode für die Zwei-Faktor-Authentifizierung verwendet.
vgwort

, Autor

Thomas Hartmann schreibt News, Hintergrundberichte und Kurztests für Macwelt.de.

Aktuelle Beiträge von Thomas Hartmann: