Zusammenfassung: Googles Kampf gegen das Passwort
Das Passwort ist gescheitert. Die Autorisierung eines Nutzers über eine Kombination aus Benutzername und Passwort ist zwar Standard und wird seit Jahrzehnten angewendet, doch in der heutigen Zeit funktioniert das ganze System aus relativ simplen Gründen einfach nicht mehr. Google hat dem Passwort daher schon vor einiger Zeit den Kampf angesagt, und hat mittlerweile alle Puzzlestücke zusammen um die Abschaffung einzuleiten.
Das Passwort als Sicherheitsmechanismus ist ein sehr zweischneidiges Schwert: Einerseits ist es immer noch die sicherste Methode um einen Nutzer zu identifizieren und die Daten vor unbefugten zu schützen, aber auf der anderen Seite bereiten die Vielzahl von Logins große Probleme. Der Nutzer wird stets dazu angehalten, bei jedem Angebot ein anderes Passwort zu verwenden und dieses wenn möglich auch noch regelmäßig zu ändern.
Doch wenn wir uns mal ehrlich sind, tut dies wohl kaum jemand. Wer keine lange Liste mit Passwörtern mit sich herum trägt, kann sich wohl kaum mehr als fünf verschiedene Passwörter merken – zumindest nicht, wenn sie sicher sind. Natürlich gibt es Systeme und Eselsbrücken, aber auch für diese sind die meisten Nutzer zu bequem und verwenden einfach an allen Stellen das gleiche Passwort. Beim Hack eines Anbieters steht dann gleich die gesamte Online-Identität Sperrangelweit offen. Und genau hier liegt das Problem.
Ein Login für Alles
Smart Lock & Saved Passwords
Google hat sich diesem Problem nun angenommen und mit Smart Lock und Saved Passwords einen guten Lösungsansatz vorgestellt. Dabei handelt es sich im Grunde um einen einfachen Passwortmanager in dem alle Zugangsdaten gespeichert, allerdings mit dem kleinen Unterschied dass dieser Plattformübergreifend funktioniert und selbst innerhalb von Android-Apps zum Einsatz kommen kann.
Nun könnte man natürlich sagen, dass man damit wieder beim alten Problem ist wenn alle Passwörter an nur einem Ort gespeichert sind. Doch Google hat aus den eigenen Nutzer-Accounts in den letzten Jahren wahre Festungen gemacht. Entdeckt man auffällige Aktivitäten oder loggt sich ein Nutzer von einem unbekannten Gerät oder Ort ein, wird der Besitzer des Accounts sofort darüber informiert und kann den Login mit einem Klick beenden.
Keine unnötige Passworteingabe mehr
In dem man verhindert dass der Nutzer ständig sein Passwort neu eingeben muss, lässt sich natürlich ebenfalls die Sicherheit erhöhen – da er nun vielleicht dazu bereit ist, verschiedene Passwörter zu verwenden, wenn sie ohnehin nicht eingegeben werden müssen. Dazu hat man in den vergangenen Monaten eine Reihe von Technologien vorgestellt, die den Nutzer stets sicher identifizieren sollen.
On Body Detection
Die in Android 5.+ eingeführte On Body Detection sorgt dafür, dass das Smartphone des Nutzers gar nicht gesperrt wird wenn er es die ganze Zeit bei sich trägt. Hält man es in der Hand oder trägt es in der Hosentasche, wird dies erkannt und das Smartphone geht davon aus dass es vom rechtmäßigen Besitzer gehalten wird – so dass keine Entsperrung notwendig ist.
Bleibt das Smartphone hingegen für längere Zeit regungslos, etwa weil es auf dem Tisch liegt, geht es einfach davon aus dass es vergessen wurde und sperrt sich automatisch. So ist sicher gestellt, dass keine fremde Person das Smartphone nutzen kann.
Chrome Easy Unlock
Mit Chrome Easy Unlock hat Google eine Möglichkeit vorgestellt, bei der das Chromebook vollautomatisch entsperrt werden kann sobald der Nutzer sein Smartphone daneben legt. Werden beide Geräte mit dem gleichen Account genutzt, und erkennt das Chromebook das Smartphone, ist die Eingabe des Konto-Passworts nicht mehr nötig und das Netbook ist sofort zum Einsatz bereit. Derzeit noch in der Entwicklungsphase, kann aber in Zukunft viel Passwort-Eingaben ersparen.
Project Abacus
Mit dem Project Abacus hat Google erst vor wenigen Tagen ein neues Projekt vorgestellt, bei dem der Nutzer ständig mit einem Security-Score überwacht werden soll. Ändert sich plötzlich das Verhalten, etwa bei den gestarteten Apps, der Tipp-Geschwindigkeit oder einem anderen messbaren Wert, wird dies erkannt und der Score sinkt nach unten. Durch aktivieren des Mikrofons oder der Kamera versucht das Smartphone dann den Nutzer zu erkennen oder eben nicht zu erkennen und passt den Score an. Handelt es sich nicht um den Nutzer, wird dies sehr schnell erkannt und das Gerät gesperrt.
Alternativen zum Passwort
All diese Entwicklungen können die Eingabe des Passworts zwar deutlich seltener machen und den Nutzer identifizieren, aber eben nicht ersetzen. Aber auch hier arbeiten die Googler an Lösungen.
Fingerabdruck
In der neuen Android-Version M wurde eine native Fingerabdruckerkennung integriert, die den Nutzer sowohl bei der Entsperrung des Smartphones als auch bei der Autorisierung von Zahlungsvorgängen oder der Eingabe von Passwörtern unterstützen soll. Durch einfaches Auflegen des Fingers auf den Sensor, und einer entsprechend sicheren Erkennung, sollen so Passwörter umgangen und Nutzer erkannt werden. Da der Fingerabdruck praktisch gleichzeitig Benutzername UND Passwort ist, ist dies zur Zeit eines der vielversprechendsten Systeme – wenn auch mit aktueller Technologie noch stark fehleranfällig.
Trusted Voice
Mit Trusted Voice testet Google derzeit ein System, bei dem das Smartphone ganz einfach per Stimme entsperrt werden kann. Der Nutzer muss nur „OK, Google“ sagen, und hoffen dass das Smartphone die Stimme als die autorisierte erkennt. Da es sehr gut auf die Stimme des Benutzers trainiert ist, soll die Erkennungsrate hierbei äußerst hoch sein. Das Verstellen der Stimme oder die Aufnahme einer Stimme soll das System erkennen können.
Security Key
Im vergangenen Jahr hat Google den Security Key vorgestellt, der praktisch das Passwort mit einem Hardware-Stick ablösen soll. Der Stick übernimmt die Autorisierung und macht die Eingabe eines Passworts ebenfalls überflüssig. Der Nachteil ist natürlich, dass man den Stick nicht am Laptop vergessen sollte und dieser etwa bei einem Smartphone nicht zum Einsatz kommen kann. Also nur eine vorübergehende Notlösung.
Ausblick
Es dürfte noch eine ganze Weile dauern bis Google tatsächlich ernsthaft in Erwägung ziehen wird das Passwort abzuschaffen – aber die dafür nötigen Werkzeuge hat man mittlerweile. Auch GMail hat sich bereits darauf vorbereitet und hat das Passwort in einen separaten Schritt ausgelagert, was mit dem Test von neuen Authentifizierungsmethoden begründet worden ist.
Möglicherweise wird die Eingabe des Passworts aber bald schon genau so überflüssig werden wie die Eingabe eines Captchas. Auch hier hat Google im vergangenen Jahr einen Durchbruch geschafft und erkennt ganz ohne zutun des Nutzers, ob es sich um einen Bot oder einen Nutzer handelt. Durch eine Kombination aus allen beschriebenen Methoden sollte es problemlos möglich sein, dass dies auch bei einer Passworteingabe funktioniert. Möglicherweise haben wir dann das Problem, dass wir uns an unser EINES Passwort nicht mehr erinnern können, weil wir es seit Jahren nicht mehr verwendet haben. Aber das sollte dann wohl das kleinste Problem sein 😉
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
LastPass ftw…
Das sind alles Insellösungen und bis auf den Security Key basiert keines auf einer offenen Lösung.
Projekt Abakus ist ein Albtraum für den Datenschutz und was alle gemeinsam haben ist das sie nur für Webanwendungen verwendbar sind. Das sind aber nur ein Teil der Passwörter die man täglich verwendet.
Ich kann täglich erleben wie die Passwörter von Mailkonten via Trojaner von den Rechnern von Nutzern ausgelesen werden. Diese Konten werden dann für den Spamversand verwendet. Hier wäre es wichtig mal anzusetzen.
Die einzige Alternative zu Passwörtern in diesem Bereich sind Clientzertifikate was aber für die meisten Nutzer zu „kompliziert“ ist.
Sämtliche Zugänge einem US Unternehmen anvertrauen? Da kann man auch gleich unsichere Passwörter nutzen.
Eine wirklich sichere Lösung beginnt immer damit, das man selbst die Hoheit über seine Passwörter/Zugänge hat…