Google legt Fünfjahresplan für sicherere Authentifizierung vor

Smartphones und „Smart Apps“ spielen eine große Rolle in Googles Strategie für eine sichere Zugangskontrolle. Innerhalb von fünf Jahren will der Suchkonzern Passwörter überflüssig machen – auch um den Preis, den Anwendern unbequeme Veränderungen zuzumuten.

Der Plan läuft auf ein Log-in-System hinaus, das immer wieder einzugebende Passwörter durch einen komplexen Authentifizierungscode ersetzt, mit dem ein Gerät sich selbst und seinen Nutzer identifiziert. Das System soll für eine ständige Authentifizierung sorgen und auch Nutzungsmuster erkennen, die auf Angriffe hindeuten.

„Wir werden das Sign-in zu einem einmaligen Vorgang auf dem Gerät verändern“, sagte Eric Sachs, bei Google als Produktgruppenmanager für Identität verantwortlich. „Das wird für alle Nutzer schwieriger und nicht etwa einfacher sein. Es macht uns nichts aus, die Anmeldung bei ihrem Gerät schmerzlich für die Nutzer zu machen, wenn sie es nur einmal erledigen müssen.“

Sachs trug die Pläne während der Konferenz IIW (Internet Identity Workshop) im kalifornischen Mountain View vor. Demnach will der Internetkonzern von allen Endnutzern die Aktivierung einer Zwei-Faktor-Authentifizierung verlangen. Google und andere Websites bieten sie bis jetzt nur als eine Option an.

Schon 2008 hatte Google einen ähnlichen Fünfjahresplan aufgestellt, um für eine sicherere Authentifizierung zu sorgen. Es machte dabei zwar Fortschritte, musste aber laut Sachs auch die Kontowiederherstellung als seine Achillesferse erkennen. Als schwierig erwies sich auch, Anbieter zur Akzeptanz des Web-Authentifizierungsdienstes OAuth zu bewegen – und „die Bösen haben immer raffiniertere Angriffsmethoden entwickelt“.

Der neue Fünfjahresplan soll insbesondere ein Versäumnis korrigieren, das auf einer Fehleinschätzung im Jahr 2008 basierte. „Vor fünf Jahren wurde die Smartphone-Akzeptanz in einem solchen Umfang nicht vorhergesagt“, erklärte der Google-Manager. „Wir haben es nicht kommen sehen.“

Eine wesentliche Rolle sollen daher in Zukunft neue Authentifizierungsmethoden spielen, die Smartphones und Apps verbinden, begleitet von Infrastrukturveränderungen im Backend. „Wir wollen unsere mit Android OS gemachten Lernerfahrungen auf Chrome anwenden“, heißt es in einem Google-Dokument zu den Plänen, das von einer Folienpräsentation begleitet ist. Das bedeute auch, die Identitätsverwaltung von Android-Apps in ähnlicher Weise für Web-Apps umzusetzen.

Als Beispiel nannte Sachs eine webbasierte Anwendung für Onlinebanking, die den Nutzer auffordert, eine Smartphone-Version der gleichen App zu öffnen und dort eine Transaktion durch einen Button zu bestätigen. Gleichzeitig soll die mobile App die Echtheit der webbasierten Site überprüfen.

Technologien wie Biometrie und Near Field Communication (NFC) sollen Nutzern ebenfalls erlauben, sich zu identifizieren. Mit einem bereits verifizierten Gerät soll es möglich sein, ein neues Konto auf einem zweiten Gerät zu authentifizieren. „Wir ziehen es vor, wenn ein Nutzer ein neues Gerät authentifiziert, indem ein vorhandenes Gerät über ein kryptografisches Protokoll mit ihm kommuniziert, das jegliches Phishing ausschließt“, heißt es dazu in Googles Strategiepapier.

Der Suchkonzern hat sich außerdem im April der FIDO Alliance (Fast Identity Online) angeschlossen, zu deren Gründungsmitgliedern Lenovo und Paypal gehören. Die 2012 gegründete Vereinigung hat sich zum Ziel gesetzt, Passwörter durch offene und plattformübergreifende Authentifizierungsmethoden weitgehend überflüssig zu machen.

[mit Material von John Fontana, ZDNet.com]