Erstellt man über Safari bzw. Apples iCloud-Schlüsselbund ein Passwort, erhält man ein Kennwort wie „yLuBpSJQbN0D“ oder „m”U.9yJB?SnJ“. Das sind sehr sichere Passwörter, dank iCloud-Sync stehen sie nach der Erstellung automatisch am Mac und iPhone zur Verfügung. Wenn man die Passwörter aber plötzlich doch mit einer Bildschirmtastatur eingeben oder am Telefon diktieren muss („Nein kleines b und dann großes N“), wird die Zufalls-Ziffernfolge schnell zum Ärgernis.
Das ging schon vielen so, Apple bot deshalb bis einschließlich Mojave einen interessanten Kompromiss zwischen Sicherheit und Merkbarkeit: Eine Option, die das Hilfsprogramm „Passwortassistent“ bereitstellte. Das Hilfsprogramm erstellt für Nutzer Passwörter und kann aus Programmen wie Schlüsselbundverwaltung und Festplattendienstprogramm aufgerufen werden – man klickt dazu bei der Passworteingabe auf ein kleines Schlüssel-Symbol neben der Eingabe.
Bei der Wahl der Passwort-Art fand sich hier neben „Ziffern“, „Zufällig“ und weiteren Optionen die Passwort-Art „Einprägsam“. Mit dieser Option erhielt man statt dem unmöglich merkbaren „m”U.9yJB?SnJ“ ein Passwort wie „Cognacs39%Fetten“ oder „BD7.hauteng“. Unter Catalina fehlt diese Option aber komplett, eine Erklärung liefert Apple dafür nicht. Manche vermuten , die Option wäre vielleicht eine alte 32-Bit-Anwendung gewesen, wir vermuten aber, dass Apple diese Funktion einfach zu unsicher war.
Wie ein kurzer Test mit dem Passwort-Tester des Bayerischen Staatsministeriums für Digitales (und anderen Diensten) zeigt, sind diese per Wörterbuch erstellten Passwörter nämlich äußerst unsicher. Der Passwort-Assistent von Apple stuft zwar nach seiner eigenen Einschätzung das aus sechzehn Ziffern bestehende „Cognacs39%Fetten“ als sehr sicher ein, das Test-Tool bemängelt jedoch, dass allein 13-Zeichen des Passworts in Wörterbüchern zu finden sind und bewertet es als „schwach“ – mit mäßigen 74 Punkten. Nutzen doch auch Passwort-Knacker Wörterbücher, um Codes zu knacken. Der Aufwand für das Brechen wird als eine Rechenzeit von weniger als einem Monat angegeben, nach Meinung des Ministeriums ist das zu wenig – eine Meinung, die auch von anderen Quellen geteilt wird. Zum Vergleich: „m”U.9yJB?SnJ“ ist zwar nur 12 Zeichen lang, bekommt aber gute 110 Punkte und laut Schätzung sollte es Jahrhundert oder 1.268e+24 Versuche dauern, bis jemand es geknackt hätte.
Unsere Meinung:
Man darf nicht das Alter und den damaligen Zweck mancher Tools vergessen: Soll ein Passwort die Urlaubs-Fotos auf dem USB-Stick oder das Familien-iPad schützen, reicht weiterhin ein simples Allerwelt-Passwort aus. Vergibt aber ein Nutzer heute per iPhone oder Safari ein Passwort, handelt es sich in den meisten Fällen um einen gefährdeten Online-Account. Ein einprägsames Passwort wäre hier riskant, weshalb Apple die Funktion wohl entfernt hat. Angriffe auf Online-Konten haben in den letzten Jahren zugenommen, auch Social-Media-Account sind für Spammer sehr wertvoll. Hacker nutzen immer leistungsfähigere Rechner zur Verfügung und können durch Datenlecks auf große Datenbanken mit Nutzerdaten zugreifen. Vor allem bei wichtigen Dienste oder Konten empfehlen wir deshalb, nur noch wirklich sichere Passwörter zu verwenden. Die einprägsamen Passwörter waren sehr praktisch, aber genau diese einfache Merkbarkeit macht sie auch unsicher.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.