Android: Google will Passwörter abschaffen und durch Passkeys ersetzen – Microsoft & Apple sind mit dabei
Passwörter sind ein leidiges Thema, denn obwohl sie die grundlegende Sicherheitsschranke für den Zugang zu Daten und Diensten bilden, werden sie von vielen Nutzern als lästig empfunden. Google arbeitet schon seit über zehn Jahren daran, die Passwörter in ihrer ursprünglichen Form abzuschaffen und hat nun anlässlich des heutigen Welt-Passwort-Tag die Umsetzung einer Lösung der FIDO-Allianz präsentiert: Automatische Passkeys statt Passwörter – und das auf allen Plattformen.
Passwörter müssen sehr hohe Ansprüche erfüllen, bei denen zwei gegensätzliche Dinge unter ein Dach gebracht werden müssen: Sie müssen sicher sein, aber der Nutzer muss sie sich auch merken können. Und natürlich sollte man sie vor allem bei wichtigen Diensten nicht mehrfach verwenden. Dieses Problem lässt sich seit vielen Jahren durch Passwortmanager lösen und mit der 2FA haben viele große Plattformen längst eine zusätzliche Sicherheitsschranke etabliert. Aber beides könnte in der heute bekannten Form schon bald nicht mehr notwendig sein.
In der FIDO Allianz arbeitet man schon seit langer Zeit an einer Alternative und sowohl Google (Android, Chrome) als auch Apple (iOS, Mac OS) und Microsoft (Windows) werden diese umsetzen. Statt Passwörter kommen Passkeys zum Einsatz, die den Login vollständig ersetzen können. Dabei handelt es sich um kryptographische Schlüssel, die bei der Registrierung zwischen dem Online-Anbieter und dem Passkey-Verwalter (in diesem Fall Google) ausgetauscht werden. Dieser Zugangsschlüssel wird auf dem Gerät sowie in der Cloud des Verwalters gespeichert. Bei Google ist das der Google-Account.
Der Austausch dieser Zugangsdaten, die dann nur noch aus dem kryptographischen Schlüssel bestehen, kann automatisch erfolgen. Gelegentlich (vielleicht auch immer) muss man seine Identität gegenüber des Google-Kontos bestätigen. Entweder durch Fingerabdruck, Gesichtserkennung oder vielleicht auch einem festgelegten PIN oder dem Passwort des Google-Kontos. Das soll das einzige Passwort sein, das man sich überhaupt noch merken muss.
So funktioniert die Zukunft ohne Passwörter
Wenn ihr euch mit eurem Smartphone auf einer Webseite oder in einer App anmeldet, entsperrt ihr einfach euer Telefon. Euer Konto benötigt dann kein Passwort mehr.
Stattdessen speichert euer Telefon eine FIDO-Berechtigung, die als „Passkey“ (also als Hauptschlüssel) bezeichnet wird und zum Entsperren eures Online-Kontos verwendet wird. Dieser Passkey macht die Anmeldung weitaus sicherer, da er auf einem öffentlichen Schlüssel mit Kryptographie basiert und eurem Online-Konto nur angezeigt wird, wenn ihr euer Telefon entsperrt.
Um euch auf eurem Computer auf einer Website anzumelden, müsst ihr nur euer Telefon griffbereit haben. Denn dann werdet ihr aufgefordert, das Telefon für den Zugriff zu entsperren. Sobald ihr das getan habt, braucht ihr das Telefon nicht mehr und könnt euch anmelden, indem ihr einfach euren Computer entsperrt. Selbst wenn ihr euer Telefon verliert, werden eure Passkeys aus der Cloud-Sicherung sicher mit eurem neuen Telefon synchronisiert, sodass ihr genau dort weitermachen könnt, wo euer altes Gerät aufgehört hat.
Mit dieser Methode möchte man Passwörter endgültig abschaffen und dennoch für ausreichend Sicherheit sorgen. Allerdings legt man dafür auch seine gesamte Identität und alle Schlüssel in die Hände von Google oder des jeweiligen Verwalters. Gut, das tun viele Menschen durch das Smartphone und die Online-Dienste schon heute, aber die Abhängigkeit wird noch einmal ein ganzes Stück größer. Google ist nicht bekannt dafür, Daten zu verlieren – aber was wenn es dann doch mal passiert? Dann verpufft die digitale Identität des Nutzers. Vielleicht habe ich da auch was falsch verstanden, aber das wäre eine reele Gefahr.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Und kaum hat sich das durchgesetzt, wird Google doch den Dienst einschränken, mit nem weiteren zwangsverbinden, ein Abo draus machen…
Von den üblichen Bedenken zum Thema „Datenschutz bei Google“ ganz zu Schweigen.
Nene. Mag sein das Microsoft und Apple da mitziehen, ICH jedenfalls nicht.
Google macht mir Angst!
Google drängt sich in alle Lebensbereiche und macht uns immer Abhängiger. Da ich leider kein Englisch verstehe bleibt mir keine Alternative dazu…
Dino Redenich
Richtig gute Initiative.
Ich wünschte mir, da wären die vor Jahren drauf gekommen.
Wird umgehend gekauft.
Es ist wirklich egal, zu welchem Thema. Immer findet man Leute die Ängste haben und denken, die neue Technologie sei Teufelszeug (etwas übertrieben ausgedrückt). Wirklich interessant zu verfolgen.
Für mich ist es interessant, wie es zu jedem Thema Leute gibt, die nur zu – sorry: geil sind auf neue Entwicklungen. Hatte nicht Apple auch schonmal einen Vorstoss in die aktuelle Richtung, und musste diesen „1 Login für alles“ einstampfen weil es einen riesen Datenschutzskandal gab? (oder war das Microsoft?)
Meine Einstellung dazu bsp. wäre anders, wenn ein Unternehmen diese Absicht angekündigt hätte, das nicht wie Google aufgefallen wäre durch:
– Datenschutzskandale
– Services die aus dem Nichts weggecancelt werden (vgl. G+ – es kam richtig in’s Rollen, kurz danach wars weg), niemals funktionierten, hochgradig fehlerhaft, erst frei dann Bezahl-Abo sind
– es bezüglich Sicherheit und Benutzbarkeit es genauer nehmen würde (vgl. Faceunlock durch Selfi-Cam, Fingerprintsensor-Probleme, lange Wartezeit für Fixes schwerer Sicherheitslücken)
– nicht mit Unternehmen zusammen arbeiten würde, die bekannt sind die Anwender zu „entmündigen“ oder einen „Lock In“ zu forcieren, oder einfach schlechte Software veröffentlichen (vgl Microsoft: ob Passphrase oder Passwort – so löchrigt wie die MS-Produkte sind, ist der Login doch das kleinste Problem!)
Leider passen diese Attribute weder auf Google, Apple oder Microsoft. (und wie „zuverlässig“ Microsoft unterwegs ist, muss man wohl nicht speziel erläutern, oder?)
„Vielleicht habe ich da auch was falsch verstanden, aber das wäre eine reele Gefahr.“
Ein großes Lob an den Autor, der offen schreibt, dass er nicht alles weiß und sich vielleicht irrt. So etwas sieht man leider viel zu selten.