World Password Day: Google will passwortlose Zukunft einleiten
Heute, am 5. Mai, findet der World Password Day statt. Hintergrund dieses Ereignisses ist es, mehr Sicherheit bei Online-Passwörtern zu fördern. Doch genau Passwörter gelten schon länger als ein veraltetes Modell zur Sicherheit von Online-Accounts. Aufgrund von Phishing-Betrug, schlechter Passworthygiene und Datenschutzverletzungen werden sie immer unverlässlicher. Google und andere Tech-Riesen wollen deswegen in Zukunft auf Authentifizierung ohne Passwort setzen. Im Laufe des nächsten Jahres haben sich alle großen Geräteplattformen dazu verpflichtet, Unterstützung für neue „Fast Identity Online“-Anmeldestandards (FIDO) einzubauen.
Google kündigt Verbesserungen beim Datenschutz von Google Analytics an
FIDO Alliance will neue Standards setzen
„Passwörter sind heute leider immer noch der Standard im Internet. Die meisten User:innen verwenden diese aber nicht ideal. Sie setzen oft immer wieder auf die gleichen Passwörter und fallen auf Phishing-Betrug herein. Außerdem haben viele Apps kein großes Security-Team, weswegen Hacker häufig Daten stehlen und im Internet verkaufen können. Deswegen wollen wir in Zukunft neue Sicherheitsstandards einführen“, sagt Andreas Türk, Group Product Manager bei Google.
Google ist Teil der FIDO Alliance, einer Organisation für offene Standards, die 2012 zur Lösung von Passwort- und Phishing-Problemen gegründet wurde. Unter anderem gehören auch Microsoft, Apple und Amazon zu der Allianz. Nun hat die Organisation laut Google einen wichtigen Meilenstein erreicht. Im Laufe des nächsten Jahres haben sich alle großen Geräteplattformen dazu verpflichtet, Unterstützung für die passwortlosen FIDO-Anmeldestandards einzubauen. Diese Standards will Google in Android und Chrome implementieren. Apple und Microsoft haben ebenfalls angekündigt, dass sie Unterstützung in iOS, MacOS, Safari, Windows und Edge anbieten werden.
Google: 5,4 Mrd. Dollar-Übernahme von Mandiant soll Cloud-Sparte stärken
Authentifizierung ohne Passwort
Durch die neuen Standards soll die Anmeldung auf allen Geräten, Websites und Anwendungen unabhängig von der Plattform einfacher werden – ohne dass ein einziges Passwort erforderlich ist. Wenn sich User:innen auf einer Website oder in einer App auf ihrem Handy anmelden, müssen sie dieses nur entsperren. Statt einem Passwort speichert das Telefon einen FIDO-Berechtigungsnachweis, den so genannten Passkey, der zum Entsperren des Online-Kontos dient. Der Passkey soll die Anmeldung viel sicherer machen, da er auf der Verschlüsselung mit öffentlichen Keys basiert und dem Online-Konto nur angezeigt wird, wenn User:innen ihr Telefon entsperren.
Ähnlich funktioniert es auf dem Computer. Hier müssen User:innen nur ihr Handy in der Nähe haben und werden aufgefordert, es für den Zugriff zu entsperren. Sobald sie das getan haben, können sie sich anmelden, indem sie einfach ihren Computer entsperren. Selbst wenn Nutzer:innen ihr Handy verlieren, werden ihre Passkeys aus der Cloud-Sicherung mit dem neuen Smartphone synchronisiert.
Authentic Vision und Bank Austria: Phishing-Schutz durch „holografischen Fingerabdruck“
Google will Passwörter bis zum Übergang sicherer machen
Doch Google räumt auch ein, dass Passwörter immer noch omnipräsent sind und der Übergang zu anderen Lösungen nicht über Nacht passieren wird. Deswegen will der Konzern bis dahin auch hohe Sicherheitsstandards rund um Passwörter bieten. Dazu gehören der Google Password Manager und die 2-Schritt-Verifizierung. Laut Zahlen von Google bevorzugen 40 Prozent der Nutzer:innen immer noch schwache, aber leicht zu merkende Passwörter. Passwort-Manager sollen dieses Problem lösen, indem sie sich diese für die User:innen merken und sie sicherstellen.
Google warnt User:innen, wenn ein Passwort kompromittiert ist. Dem Konzern zufolge lassen 500 Millionen Menschen jede Woche über den Manager ihre Passwörter überprüfen. Viele ändern ihre Zugangscodes, sollten diese nicht mehr sicher sein. So sei der Anteil der User:innen mit kompromittierten Passwörtern in den letzten Jahren von etwa der Hälfte auf „nur“ noch 30 Prozent gefallen. „Wir wollen aber, dass die Daten von all unseren Nutzer:innen sicher sind. Deswegen wollen wir in Zukunft weg von Passwörtern und hin zu neuen Lösungen“, so Andreas Türk.