In dem Google-Account eines Nutzers kann sich bei eifriger Benutzung schon ein ganzer Berg an Daten ansammeln, der natürlich vor fremden Zugriffen bewahrt werden muss. Seit den Urzeiten der IT wird dafür eine Kombination aus Benutzername und Passwort verwendet, aber genau dem hat Google schon vor längerer Zeit den Kampf angesagt. Wie das ATAP-Team jetzt angekündigt hat, möchte man noch in diesem Jahr die Option zum völligen Passwort-Verzicht in das Android-Betriebssystem bringen.
Google arbeitet seit vielen Jahren sehr hart daran, die gespeicherten Daten der Nutzer zu schützen – doch das alles bringt natürlich nichts, wenn ein schwaches und leicht knackbares Passwort gewählt wird. Viele Nutzer verwenden leichtsinnigerweise zudem noch bei allen Angeboten das gleiche Passwort. Die die das nicht tun, können sich wiederum aber auch nicht dutzende Passwörter merken und verwenden entweder sehr leichte oder leicht zu erratende. Googles Ingenieure möchten dieses Problem nun lösen.
In den vergangenen Jahren hat Google mit diversen Methoden dem Passwort den Kampf angesagt – und jetzt ist man offensichtlich bereit für den finalen Schritt. Das im letzten Jahr vorgestellte Project Abacus soll mittlerweile gut genug arbeiten um tatsächlich auf Millionen oder gar Milliarden von Nutzern losgelassen zu werden und diese vollkommen ohne Passwort zu identifizieren und authentifizieren. Die dazu nötige Trust API könnte schon im kommenden Betriebssystem Android N integriert sein.
Die unter der Bezeichnung Project Abacus entwickelte Lösung überwacht ständig das Verhalten des Nutzers und lernt diesen so besser kennen. Dafür werden Bewegungsmuster aufgezeichnet, die Stimme registriert, eventuell die Augen gescannt oder auch das Touch- und Tastverhalten analysiert (Geschwindigkeit, Druck, Fingergröße,…). Durch diese Daten soll sich ein Nutzer eindeutig identifizieren und später wieder erkennen lassen. Apps können dann auf die Trust API, die all diese Daten ständig sammelt, zugreifen und um eine Autorisierung bieten.
Da sich der Verhalte aber natürlich im Laufe der Zeit ändern kann, und jeder Menschen mal einen guten oder schlechten Tag hat und so vielleicht fester oder leichter auf das Display drückt, soll es einen Trust Score geben. Dieser berechnet ständig die Wahrscheinlichkeit, ob es sich um den Besitzer des Smartphones handelt oder nicht. Je höher der Score, desto wahrscheinlich befindet sich tatsächlich der Besitzer gerade vor dem Display. Ist der Score nicht ganz so hoch, könnten etwa Spiele auch weiterhin funktionieren, die Online-Banking App aber ihren Dienst versagen bzw. nach den Zugangsdaten fragen.
Tatächlich könnten die Entwickler hier einen Weg gefunden haben, der sich kaum knacken lässt. Da das Verhalten des Nutzers so gut wie gar nicht oder nur sehr sehr aufwendig nachgeahmt werden kann, haben Hobby-Hacker schlechte Karten. Möglich ist das natürlich nur durch die vielen Sensoren in den Smartphones, die ansonsten lange Zeit unnütze Daten sammeln würden – wie der Projektleiter selbst noch einmal verdeutlicht.
We have a phone, and these phones have all these sensors in them. Why couldn’t it just know who I was, so I don’t need a password? I should just be able to work
Derzeit wird das ganze mit einer Reihen von Partnern getestet – darunter sollen sich sogar Banken und Kreditinstitute befinden. Bei einem erfolgreichen Probelauf soll die API gegen Ende des Jahres für alle Nutzer freigegeben werden, und könnte so tatsächlich endgültig dem Passwort den gar aus machen. Wenn die Nutzer das dann wollen.
And assuming it goes well, this should become available to every Android developer around the world by the end of the year