Google legt Fünfjahresplan für sicherere Authentifizierung vor

Smartphones und „Smart Apps“ spielen eine große Rolle in Googles Strategie für eine sichere Zugangskontrolle. Innerhalb von fünf Jahren will der Suchkonzern Passwörter überflüssig machen – auch um den Preis, den Anwendern unbequeme Veränderungen zuzumuten.

Der Plan läuft auf ein Log-in-System hinaus, das immer wieder einzugebende Passwörter durch einen komplexen Authentifizierungscode ersetzt, mit dem ein Gerät sich selbst und seinen Nutzer identifiziert. Das System soll für eine ständige Authentifizierung sorgen und auch Nutzungsmuster erkennen, die auf Angriffe hindeuten.

„Wir werden das Sign-in zu einem einmaligen Vorgang auf dem Gerät verändern“, sagte Eric Sachs, bei Google als Produktgruppenmanager für Identität verantwortlich. „Das wird für alle Nutzer schwieriger und nicht etwa einfacher sein. Es macht uns nichts aus, die Anmeldung bei ihrem Gerät schmerzlich für die Nutzer zu machen, wenn sie es nur einmal erledigen müssen.“

Sachs trug die Pläne während der Konferenz IIW (Internet Identity Workshop) im kalifornischen Mountain View vor. Demnach will der Internetkonzern von allen Endnutzern die Aktivierung einer Zwei-Faktor-Authentifizierung verlangen. Google und andere Websites bieten sie bis jetzt nur als eine Option an.

Schon 2008 hatte Google einen ähnlichen Fünfjahresplan aufgestellt, um für eine sicherere Authentifizierung zu sorgen. Es machte dabei zwar Fortschritte, musste aber laut Sachs auch die Kontowiederherstellung als seine Achillesferse erkennen. Als schwierig erwies sich auch, Anbieter zur Akzeptanz des Web-Authentifizierungsdienstes OAuth zu bewegen – und „die Bösen haben immer raffiniertere Angriffsmethoden entwickelt“.

Der neue Fünfjahresplan soll insbesondere ein Versäumnis korrigieren, das auf einer Fehleinschätzung im Jahr 2008 basierte. „Vor fünf Jahren wurde die Smartphone-Akzeptanz in einem solchen Umfang nicht vorhergesagt“, erklärte der Google-Manager. „Wir haben es nicht kommen sehen.“

Eine wesentliche Rolle sollen daher in Zukunft neue Authentifizierungsmethoden spielen, die Smartphones und Apps verbinden, begleitet von Infrastrukturveränderungen im Backend. „Wir wollen unsere mit Android OS gemachten Lernerfahrungen auf Chrome anwenden“, heißt es in einem Google-Dokument zu den Plänen, das von einer Folienpräsentation begleitet ist. Das bedeute auch, die Identitätsverwaltung von Android-Apps in ähnlicher Weise für Web-Apps umzusetzen.

Als Beispiel nannte Sachs eine webbasierte Anwendung für Onlinebanking, die den Nutzer auffordert, eine Smartphone-Version der gleichen App zu öffnen und dort eine Transaktion durch einen Button zu bestätigen. Gleichzeitig soll die mobile App die Echtheit der webbasierten Site überprüfen.

Technologien wie Biometrie und Near Field Communication (NFC) sollen Nutzern ebenfalls erlauben, sich zu identifizieren. Mit einem bereits verifizierten Gerät soll es möglich sein, ein neues Konto auf einem zweiten Gerät zu authentifizieren. „Wir ziehen es vor, wenn ein Nutzer ein neues Gerät authentifiziert, indem ein vorhandenes Gerät über ein kryptografisches Protokoll mit ihm kommuniziert, das jegliches Phishing ausschließt“, heißt es dazu in Googles Strategiepapier.

Der Suchkonzern hat sich außerdem im April der FIDO Alliance (Fast Identity Online) angeschlossen, zu deren Gründungsmitgliedern Lenovo und Paypal gehören. Die 2012 gegründete Vereinigung hat sich zum Ziel gesetzt, Passwörter durch offene und plattformübergreifende Authentifizierungsmethoden weitgehend überflüssig zu machen.

[mit Material von John Fontana, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago