2485426

Zu unsicher? Catalina streicht Passwort-Option „Einprägsam“

05.02.2020 | 08:27 Uhr | Stephan Wiesend

Die Catalina-Version von Apples Passwort-Assistenten muss ohne die nützliche Option „Einprägsam“ auskommen, der Grund sind vermutlich Sicherheitsbedenken.

Erstellt man über Safari bzw. Apples iCloud-Schlüsselbund ein Passwort, erhält man ein Kennwort wie „yLuBpSJQbN0D“ oder „m"U.9yJB?SnJ“. Das sind sehr sichere Passwörter, dank iCloud-Sync stehen sie nach der Erstellung automatisch am Mac und iPhone zur Verfügung. Wenn man die Passwörter aber plötzlich doch mit einer Bildschirmtastatur eingeben oder am Telefon diktieren muss („Nein kleines b und dann großes N“), wird die Zufalls-Ziffernfolge schnell zum Ärgernis.

Das ging schon vielen so, Apple bot deshalb bis einschließlich Mojave einen interessanten Kompromiss zwischen Sicherheit und Merkbarkeit: Eine Option, die das Hilfsprogramm „Passwortassistent“ bereitstellte. Das Hilfsprogramm erstellt für Nutzer Passwörter und kann aus Programmen wie Schlüsselbundverwaltung und Festplattendienstprogramm aufgerufen werden – man klickt dazu bei der Passworteingabe auf ein kleines Schlüssel-Symbol neben der Eingabe.

Bei der Wahl der Passwort-Art fand sich hier neben „Ziffern“, „Zufällig“ und weiteren Optionen die Passwort-Art „Einprägsam“. Mit dieser Option erhielt man statt dem unmöglich merkbaren „m"U.9yJB?SnJ“ ein Passwort wie „Cognacs39%Fetten“ oder „BD7.hauteng“. Unter Catalina fehlt diese Option aber komplett, eine Erklärung liefert Apple dafür nicht. Manche vermuten , die Option wäre vielleicht eine alte 32-Bit-Anwendung gewesen, wir vermuten aber, dass Apple diese Funktion einfach zu unsicher war.

Der Passwort-Tester finden die Passwörter zu unsicher.
Vergrößern Der Passwort-Tester finden die Passwörter zu unsicher.

Wie ein kurzer Test mit dem Passwort-Tester des Bayerischen Staatsministeriums für Digitales (und anderen Diensten) zeigt, sind diese per Wörterbuch erstellten Passwörter nämlich äußerst unsicher. Der Passwort-Assistent von Apple stuft zwar nach seiner eigenen Einschätzung das aus sechzehn Ziffern bestehende „Cognacs39%Fetten“ als sehr sicher ein, das Test-Tool bemängelt jedoch, dass allein 13-Zeichen des Passworts in Wörterbüchern zu finden sind und bewertet es als „schwach“  – mit mäßigen 74 Punkten. Nutzen doch auch Passwort-Knacker Wörterbücher, um Codes zu knacken. Der Aufwand für das Brechen wird als eine Rechenzeit von weniger als einem Monat angegeben, nach Meinung des Ministeriums ist das zu wenig - eine Meinung, die auch von anderen Quellen geteilt wird. Zum Vergleich: „m"U.9yJB?SnJ“ ist zwar nur 12 Zeichen lang, bekommt aber gute 110 Punkte und laut Schätzung sollte es Jahrhundert oder 1.268e+24 Versuche dauern, bis jemand es geknackt hätte.

Unsere Meinung:

Man darf nicht das Alter und den damaligen Zweck mancher Tools vergessen: Soll ein Passwort die Urlaubs-Fotos auf dem USB-Stick oder das Familien-iPad schützen, reicht weiterhin ein simples Allerwelt-Passwort aus. Vergibt aber ein Nutzer heute per iPhone oder Safari ein Passwort, handelt es sich in den meisten Fällen um einen gefährdeten Online-Account. Ein einprägsames Passwort wäre hier riskant, weshalb Apple die Funktion wohl entfernt hat. Angriffe auf Online-Konten haben in den letzten Jahren zugenommen, auch Social-Media-Account sind für Spammer sehr wertvoll. Hacker nutzen immer leistungsfähigere Rechner zur Verfügung und können durch Datenlecks auf große Datenbanken mit Nutzerdaten zugreifen. Vor allem bei wichtigen Dienste oder Konten empfehlen wir deshalb, nur noch wirklich sichere Passwörter zu verwenden. Die einprägsamen Passwörter waren sehr praktisch, aber genau diese einfache Merkbarkeit macht sie auch unsicher.

Macwelt Marktplatz

2485426