Zum Inhalt springen Zur Navigation springen
Google – Neuer Herr der Ringe?

Google – Neuer Herr der Ringe?

Wie unter anderem heise Security berichtet, experimentiert Google derzeit an einer Technologie, welche die Verwendung von Passwörtern beim Login auf Webseiten, beispielsweise bei der Nutzung von Gmail, vollständig ersetzen soll.

Statt mit Passwörtern soll eine Authentifizierung künftig über physikalische Kleingeräte wie einem speziellen Fingerring oder Token mit NFC-Technologie erfolgen.

Sichere Alternative zum Passwort?

Die Frage ist, ob die von Google untersuchte Lösung eine echte Alternative zum Passwort sein kann. In jedem Fall bietet sie mehr Sicherheit als ein fehlendes, ein zu einfaches oder ein solches Passwort, das als Merkhilfe auf einem Post-it am Bildschirm oder unter der Tastatur klebt.

Der vollständige Ersatz eines Passwortes durch die ausschließlich hardwaregebundene Authentifizierung erscheint jedoch mit Blick auf einen möglichen Verlust der benötigten Hardware fragwürdig. Völlig ungeklärt ist unter anderem auch, wie der berechtigte Zugang zu Webdiensten durch den User im Fall des Diebstahls oder Verlierens z.B. des Rings oder Tokens gesichert ist.

Wissen oder Besitz?

Die Kombination macht’s. Bereits von Google und zahlreichen anderen Diensten verwendet wird ein Verfahren, das verschiedene Methoden (Wissen, Besitz oder Biometrie) zum Nachweis der Identität kombiniert – die sog. Zwei-Faktor-Authentifizierung. Hierbei muss der Benutzer in Besitz eines Tokens oder ähnlichem Mediums sein und zusätzlich über ein sicheres Passwort verfügen, um sich dem Rechner, Netzwerkdienst etc. gegenüber ausweisen zu können. Dies hat gegenüber einem Verfahren mit ausschließlicher Verwendung eines physikalischen Gerätes den Vorteil, dass bei dessen Verlust zumindest kein unmittelbarer Zugang zum Dienst möglich ist.

Größte Schwachstelle bei der Zwei-Faktor-Authentifizierung dürfte allerdings wieder die Passwortsicherheit sein. Denn das Bewusstsein für sichere Passwörter ist längst nicht tief genug bei den Usern verankert. Daher hatten wir bereits eine kleine Anleitung zur Bekämpfung der Passwort-Demenz zusammengestellt.

Fazit

Ob Google die Gegenargumente zur hardwarebasierten Authentifizierung entkräften kann, bleibt bis Ende dieses Monats abzuwarten. Denn dann wird es im IEEE Security & Privacy Magazine einen Fachartikel zum aktuellen Stand des Projektes geben. Bleibt nur zu hoffen, dass es nicht am Ende heißt:

„Ein Ring, sie zu knechten, sie alle zu finden,
ins Dunkel zu treiben und ewig zu binden“ (J.R.R. Tolkien)

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.