Single-Sign-On mit Apple

Die Apple-World-Wide-Developers-Conference (WWDC) barg einige Überraschungen. Eine davon war ein neues Feature, das die Anmeldung für Apps und Websites privater gestalten soll: „Sign In with Apple“.

Der neue Anmelde-Service soll unerwünschte Nebenwirkungen anderer Lösungen unterbinden. Bisher meldet man sich für Dutzende von Konten auf Websites mit einer Mail-Adresse und einem Passwort an. Kurze Zeit später wurde man auch schon mit einer Flut von Junk-Mails vom fleißigen Marketing-Team der Website überschüttet. Um dieser lästigen Flut Herr zu werden, nutzen viele eine Wegwerf-Mailadresse. Was aber wenn man einige wenige der Mails aber lesen möchte? Und was passiert, wenn die Dummy-Adresse in Zukunft von jemand anderem verwendet wird? Woher weiß der Nutzer, ob sein Passwort überhaupt sicher ist?

Eine Möglichkeit, dieses Problem zumindest augenscheinlich zu lösen, ist ein Single-Sign-On-Service von einem der beiden großen Anbieter – Google oder Facebook. Wenn man auf einer Website eine Schaltfläche „Mit Google anmelden“ oder „Mit Facebook anmelden“ entdeckt, kann man die Google- oder Facebook-ID für eine schnelle Registrierung oder Anmeldung mit einem Klick verwenden, ohne dass ein Passwort erforderlich ist – sofern man einen Google- oder Facebook-Account hat. Doch auch hier gibt es Tücken. Unternehmen und deren meist nicht weitläufig bekannten Partnerunternehmen, die Single-Sign-On-Service anbieten, wissen am Ende „mehr über Sie als Ihre Großmutter – Privacy ade“.

Michael Veit, Security-Evangelist bei Sophos

„Technische Lösungen für die Registrierung und Anmeldung für Web-Seiten oder Apps sind so gestaltet, dass ein Anbieter oder dessen Partner die maximalen Vorteile für Kommunikation, Marketing und Vertrieb erhalten. Bei diesem Ansatz sind die Bedürfnisse von Anwendern zweitrangig, hier geht es nur ums Geschäft. Daher sollten Anwender, welche sich heute über klassische oder Single-Sign-On-Services registrieren oder anmelden, sich schon im Vorfeld über die Privatsphäre Gedanken machen und aktiv darüber entscheiden, was man preisgeben möchte. Darüber hinaus ist das Erstellen von guten Passwörtern essenziell, denn sonst haben Cyber-Kriminelle extrem leichtes Spiel, in eine ganze Reihe von Seiten und Apps des Benutzers einzudringen“, erklärt Michael Veit, Technology Evangelist bei Sophos.

 

Mehr Privacy durch neue Option von Apple

Apple will es nun anders machen. Die Idee ist es, die Registrierung und Anmeldung auf Websites so einfach wie möglich zu gestalten, ohne persönliche Daten angeben zu müssen. Das geht so: Sobald eine Website oder eine mobile App die Anmeldung via Apple unterstützt, kann man sich für ein Konto registrieren, indem man sich mit dem Gerät authentifiziert, beispielsweise via FaceID oder TouchID. Genau wie bei Facebook und den Social-Sign-In-Funktionen von Google kann man sich mit einem Klick bei einem Dienst anmelden oder registrieren. Apple fungiert dann als Proxy und verwaltet Anmeldeinformationen für Websites oder Apps.

Im Gegensatz zu den Anmeldefunktionen von Google und Facebook konzentriert sich Apple bei der Anmeldung jedoch nicht nur auf den Komfort, sondern auch auf die Privatsphäre. Die Anmeldefunktion sendet Drittanbieter-Apps keine persönlichen Daten. Darüber hinaus besteht die Möglichkeit eine E-Mail-Adresse zu verwenden, die von Apple zufällig erstellt und verwaltet wird. Damit muss der Nutzer weder seine Haupt-Mailadresse oder eine Fake-Mailadresse angeben. Wenn die App nach der Registrierung beginnt Mails an diese Adresse zu senden, leitet Apple diese an die echte Mailadresse des Anwenders weiter. Der große Unterschied: Die von Apple generierte Mailadresse kann jederzeit gelöscht werden, ohne sich von der App abmelden zu müssen.

 

Was steckt aus technischer Seite dahinter?

Derzeit hat Apple noch nicht mitgeteilt, ob die neue Funktion auf einem Industriestandard-Service beruht oder ob Apple einen Alleingang anstrebt. Sowohl Google als auch Facebook verwenden OAuth 2.0, einen Industriestandard für die Online-Authentifizierung von der IETF (Internet Engineering Task Force) für ihre Single-Sign-On-Dienste. Apple hat jedoch mit Web-Authentication (WebAuthn) experimentiert, einem weiteren passwortfreien Anmeldeverfahren, das von der FIDO (Fast IDentity Online)- Allianz unterstützt wird. WebAuthn in Verbindung mit der Version 2 eines anderen Protokolls, namens Client to Authenticator-Protocol (CTAP), bildet den FIDO-2-Standard, der auch die Zwei-Faktor-Authentifizierung optimiert. Mit diesem kann man sich via USB-Schlüssel und ohne Passwort in browserbasierte Anwendungen einloggen.

Die Apple-Funktion wird vermutlich eine weitere Option zur Registrierung und Anmeldung sein. Entwickler, die eine Registrierung oder Anmeldung eines Drittanbieters über Facebook oder Google unterstützen, haben dann kaum eine andere Wahl, als die neue Funktion hinzuzufügen und so ihre direkte Beziehung zum Benutzer zu beenden. Die Folge: Online-Inhalte und Dienstleister könnten gezwungen werden, ihre Monetarisierungsmodelle zu überdenken. Vielleicht ist das keine schlechte Sache. Und für viele Nutzer, die es satthaben, ihre Privatsphäre bei der Anmeldung für Online-Dienste zu gefährden, scheint die neue Apple-Lösung eine gute Option zu werden.

„Der Ansatz von Apple klingt gut und könnte eine wirklich sinnvolle Alternative sein, um mehr Privacy im Internet zu garantieren. Dennoch wird es noch eine ganze Zeit lang dauern, bis alle Apps und Web-Angebote mit der Apple-Technologie ausgestattet sind. Bis dahin bleibt dem Anwender nur, sich sehr genau zu überlegen, was er von sich Preis gibt und wie er sich vor der Sammelwut der Großkonzerne schützen kann“, resümiert Michael Veit.

#Netzpalaver #Sophos