Advanced Protection Program: Google arbeitet an neuem System zur Absicherung des Google-Accounts
Im Google-Account vieler Nutzer befinden sich große Mengen an Informationen und Daten, die natürlich entsprechend geschützt werden wollen. Immer mehr Nutzer setzen dabei glücklicherweise auf die Bestätigung in zwei Schritten um noch einmal eine zusätzliche Sicherheit zum Passwort zu schaffen. Jetzt arbeitet Google an einer neuen Variante, die noch einmal mehr Sicherheit bringen und vor allem prominenten Personen einen zusätzlichen Schutz geben soll.
Mit der Bestätigung in zwei Schritten hat Google schon vor Jahren eine zusätzliche Sicherheit geschaffen, bei der selbst das Knacken des Account-Passworts kein großes Problem mehr darstellt. Jeder Login auf einem neuen Gerät muss auf dem Smartphone via App oder per SMS-Code, oder mit einigen anderen nicht ganz so populären Methoden, bestätigt und abgenickt werden. Doch wer dem Nutzer das Smartphone klaut UND das Passwort kennt, dem ist wieder Tür und Tor geöffnet.
In den meisten Fällen wird sich wohl kein Angreifer für die E-Mails und Urlaubsfotos von Max Mustermann interessieren und wohl auch keinen großen Aufwand betreiben um ein Konto zu knacken. Anders sieht das hingegen bei Politikern, A-Prominenten oder Unternehmenslenkern aus, denn dort können sehr wichtige und auch wertvolle Daten gespeichert sein, die entsprechend geschützt werden möchten. Für diese Zielgruppe entwickelt Google derzeit eine verbesserte Sicherheit.
Das neue System nennt sich Advanced Protection Program und setzt auf einen physikalischen Sicherheitsschlüssel, den Google auch schon für alle anderen Nutzer anbietet. Mit dem neuen System kommt nun aber noch ein zweiter dazu, der ebenfalls eingesteckt sein muss. Vermutlich wird man empfehlen, einen Schlüssel dauerhaft im Computer zu lassen und einen mit sich herum zu tragen, so dass beide einzeln wertlos sind – ähnlich wie man es von einigen Tresoren oder Geldkoffern kennt.
Ein weiterer Schritt soll es sein, dass der Zugriff auf die Daten von GMail, Drive & Co. von außen über APIs nicht mehr möglich sein wird, so dass man sich auch nicht durch unbedachtes herumklicken oder dem Freigeben von Rechten in Bedrängnis bringen kann.
Das neue Angebot soll schon im kommenden Monat vorgestellt oder angeboten werden. Es ist gut denkbar, dass Google es im ersten Schritt auch überhaupt nicht ankündigt und stattdessen die Nutzer in dieser Zielgruppe kontaktiert. Diese „High-Profile User“ sind sicherlich ohnehin schon durch weitere Maßnahmen stärker geschützt als der durchschnittliche Nutzer, aber das bringt natürlich alles nichts wenn man dann bei der eigenen Sicherheit schlampt.
Ob und wann das neue Programm dann auch für alle anderen Nutzer freigegeben wird ist noch nicht bekannt, ich würde aber zumindest im ersten Schritt erst einmal nicht davon ausgehen. Vermutlich wird man sich diese Sicherheit auch einiges kosten lassen und entsprechende Preise für die beiden Sicherheitsschlüssel verlangen. Da Google aber vor allem mit dem Schutz der Daten aller Nutzer wirbt, würde ich davon ausgehen dass es zumindest nach einer Anfangsphase auch für die gesamte Nutzerbasis verfügbar ist.
Angestoßen wurde diese Entwicklung vor allem dadurch, dass im US-Wahlkampf des vergangenen Jahres gleich mehrere Konten von hochrangigen Personen gehackt worden sind – darunter waren natürlich auch Google-Accounts. Da ich diese Zielgruppe so einschätze, dass sie das Passwort noch per Post-it an das Display kleben, ist natürlich keine Sicherheit gegeben. Nun muss Google also dafür sorgen, dass es keine erneuten Zugriffe von Unberechtigten- und damit natürlich auch schlechte PR für die eigenen Angebote – gibt.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Wer Passwörter im Klartext irgendwo von Hand niederschreibt, hat es nicht besser verdient als dass er/sie „gehackt“ wird. Für alle anderen ist diese 3FA eine willkommene Verbesserung der Sicherheitsstandards und es bleibt zu hoffen, dass andere Unernehmen nachziehen.