Googles Passwort-Alternativen

Die Eingabe eines Passworts ist die gängigste Methode, um wichtige Daten zu schützen. Dennoch bringt der Mischmasch aus Nummern und Buchstaben vielfältige Probleme mit sich.

User verlieren Passwörter, machen Fehler beim Aufschreiben oder wählen viel zu einfache und somit unsichere Buchstaben- und Zahlenkombinationen. Passwörter werden von Malware oder findigen Hackern ausspioniert, die mit ihren Tricks die User dazu zu bringen, ihr Passwort preiszugeben. Viele Sicherheitsexperten sind sich gemeinsam mit Google einig, dass universelle Passwörter nicht mehr ausreichen, um die digitale Sicherheit der User zu garantieren, und forschen daher an neuen Methoden. Beispielsweise könnte es in der Zukunft möglich sein, sich durch das Antippen des Computers mit einem Fingerring in den eigenen Account einzuloggen.

In der Vergangenheit gab es verschiedene Alternativen wie zum Beispiel das biometrische Authentifizierungssystem, bei welchem ein Fingerabdruck oder der Tipp-Rhythmus zur Identifizierung des Users dienten. Es gab sogar Softwareschlüssel, die Einmal-Passwörter erzeugten. Jedoch konnte sich keines dieser Systeme am Markt langfristig durchsetzen. Vor zwei Jahren führte Google ein Zwei-Schritte Authentifizierungsverfahren ein. Wann immer ein User sich über ein neues Gerät anmeldete, versendete Google eine SMS mit einer sechsstelligen PIN-Nummer, welche zusätzlich zum Passwort eingegeben werden musste. Trotzdem gelang es Hackern, die User zu täuschen und an die PIN-Nummer zu gelangen.

Der Direktor von Googles Sicherheitsabteilung, Eric Grosse, und Software-Ingenieur Mayank Upadhyay haben jetzt einen Forschungsartikel zum Thema ‚Passwortalternativen‘ in der Februarausgabe des Fachmagazins IEEE Security & Privacy Magazin veröffentlicht:

„Gemeinsam mit anderen Experten mit IT Jobs und zum Thema Sicherheit sind wir uns einig, dass Passwörter und einfache Verschlüsselungsträger wie beispielsweise Cookies nicht länger ausreichen, um unseren Usern angemessenen digitalen Schutz zu bieten.“

Die Autoren diskutieren eine neue Möglichkeit, um das Identifikationsproblem mit Hilfe eines zusätzlichen Gerätes zu lösen. Sie experimentieren mit einem USB-Stick, der eine winzig kleine kryptografische Karte enthält. Schiebt man den Stick in ein USB-Lesegerät, wird der User automatisch bei Google eingeloggt. Idealerweise wollen die beiden Googler ihre Technologien kabellos verfügbar machen und in bereits vorhandene Endgeräte wie beispielsweise Smartphones, Armbanduhren oder sogar einen Fingerring integrieren: „Der User soll in der Lage sein, sich durch Berührung des zu authorisierenden Computers mit dem Smartphone oder der im Fingerring eingebauten Smart Card einzuloggen, und das auch wenn diese mal keine Verbindung zum Mobilfunknetz haben“,  so die Autoren.

Darüberhinaus möchte Google ein solches Gerät auch unabhängig von Google-Produkten funktionieren lassen sowie die Kompatibilität mit anderen Browsern gewährleisten. Aus diesem Grund wurde ein Protokoll entwickelt, welches das Sicherheitsgerät ohne die Anwendung spezieller Software im System registrieren kann. User müssten sich lediglich in ihren Account einloggen und das Sicherheitsgerät per Klick bestätigen. Danach würde der User automatisch eingeloggt werden, wann immer sich das Gerät in der Nähe befindet oder mit dem Computer verbunden ist.

Problematisch wird es allerdings, wenn man das Smartphone oder den Ring verliert! Jede Methode der Datensicherung hat eben ihre Vor- und Nachteile. Geht man aber davon aus, dass User auf diese Geräte genauso gut aufpassen wie auf ihre Haus- oder Autoschlüssel, dann könnte sich dieses System als eines der sichersten überhaupt erweisen.

Bild: © Gerd Altmann / PIXELIO