- Eine kurze Zusammenfassung eines Teils der Präsentation aus dem Jahr 2018
- Jemand auf Mastodon fragte sich, ob es ein bewusstes Design sei, dass alle von Apple auf iOS erzeugten Passwörter (z. B.
hupvEw-fodne1-qabjyg) wie aus zweisilbigen „Wörtern“ zusammengesetzt wirken
- Dieses zweisilbige Format ist beabsichtigtes Design
- In der Präsentation von 2018 „How iOS Encourages Healthy Password Practices“ wird dieses Format der erzeugten Passwörter erklärt
- Das Video ist zwar schon etwas älter, könnte aber interessant sein, da es auch andere Themen rund um Passwortverwaltung behandelt
- Ab 18:30 wird das Format der erzeugten starken Passwörter erklärt
- Es besteht überwiegend aus Kleinbuchstaben, damit es sich auf nicht optimalen Tastaturlayouts wie etwa Gamecontrollern leichter eingeben lässt
- Es basiert auf Silben, damit es sich beim kurzfristigen Übertragen auf ein anderes Gerät leichter in kleinen Blöcken merken lässt; also auf einem Konsonant-Vokal-Konsonant-Muster
- Durch diese Überlegungen lässt es sich auf ungewöhnlichen Tastaturen deutlich leichter eingeben
- Man entschied sich, das Passwortformat nur dann zu ändern, wenn es stärker oder mindestens gleichwertig zum bisherigen Format ist
- Gemessen an der Shannon-Entropie hat das neue Passwort 71 Bit Entropie (das vorherige Format hatte 69 Bit)
- Auf dem Gerät ist ein Wörterbuch zum Filtern anstößiger Begriffe integriert; Passwörter mit solchen Teilstrings werden übersprungen
- Das neue Passwort ist 20 Zeichen lang und besteht aus Großbuchstaben, Kleinbuchstaben (überwiegend), zwei Bindestrichen und einer Ziffer
- Diese Länge und Zeichenkombination wurden so gewählt, dass sie mit bestehenden Websites kompatibel sind
- Es handelt sich nicht um Silben, die in einer realen Sprache definiert sind
- Es gibt einen Zeichensatz aus 19 als Konsonanten und 6 als Vokalen behandelten Buchstaben, aus dem zufällig gewählt wird
- Die Ziffer wird an einer von fünf Positionen platziert: auf einer der beiden Seiten eines Bindestrichs oder am Ende des Passworts
9 Kommentare
Ich hatte schon einmal Mühe, ein mit 1Password erzeugtes Passwort über die Sicherheits-Tastatur eines Finanzunternehmens einzugeben, daher ist es schon bemerkenswert, dass sogar auf solche Details geachtet wird. Ganz Apple-typisch wird es wahrscheinlich keine Funktion geben, das festgelegte Muster zu ändern, oder?
Ich muss an frühere Nachrichten denken, in denen Einschränkungen wie ein verpflichtender Wechselrhythmus, das Erzwingen bestimmter Zeichen oder die Vorgabe einer festen Länge als Schwachstellen angesehen wurden.
Könnte ein solches Muster nicht eher selbst zu einer Schwachstelle werden?
https://de.news.hada.io/topic?id=16939
Deshalb wurde wohl auch erwähnt, dass die Shannon-Entropie mit 71 Bit besser ist als zuvor.
Apples Liebe zum Detail sticht offenbar sogar bei der Generierung von Passwörtern hervor, haha.
Als ich meinen Kommentar noch einmal gelesen habe, kam mir der Gedanke, dass er vielleicht so wirken könnte, als wäre ich ein fanatischer Apple-Fanboy. So denke ich normalerweise nicht 😅 Mir fiel nur auf, dass sie im Hinblick auf die Nutzererfahrung auf Details achten, indem sie ein Muster geschaffen haben, das leicht zu merken und leicht zu tippen ist. Ich ergänze das hier, weil es offenbar zu Missverständnissen geführt hat.
Safari-Passwörter werden nicht pro Subdomain, sondern pro Domain gespeichert; ob das wirklich Liebe zum Detail ist, na ja. Das scheint von Fall zu Fall unterschiedlich zu sein.
........hä?
Apples Liebe zum Detail (wobei Kamerabuckel, Lens Flare der Kamera und die Notch weiterhin bestehen bleiben)
Ich denke, Apple ist eines der Unternehmen, die sehr auf Details achten, und gleichzeitig ist es offensichtlich, dass nicht jeder Aspekt perfekt ist.
Einige Kommentare hier scheinen mir etwas über das Ziel hinauszuschießen.