Google könnte Passwörter überflüssig machen

Das Passwort ist mittlerweile zum Schwarzen Schaf der Security-Welt geworden, geächtet wegen seiner Unfähigkeit, die Konten der Nutzer zu schützen, und die fast schon lächerlich einfachen Möglichkeiten, es zu knacken

Das Passwort ist mittlerweile zum Schwarzen Schaf der Security-Welt geworden, geächtet wegen seiner Unfähigkeit, die Konten der Nutzer zu schützen, und die fast schon lächerlich einfachen Möglichkeiten, es zu knacken oder zu umgehen. Doch Google, die stärkste treibende Kraft im Web, experimentiert jetzt mit einer Technik, die es Nutzern erlauben würde, Passwörter in fast allen Bereichen durch eine Hardware-basierte Authentifizierungsmethode zu ersetzen.

Die Google-Forscher arbeiten schon länger daran, Authentifizierungsmethoden zu verbessern, und haben das Problem schon von einigen Seiten in Angriff genommen. Das erfolgreichste Beispiel ist die Einführung der Zwei-Faktoren-Authentifizierung für Gmail. Diese Option erfordert es, dass die Nutzer beim Einloggen in ihr Gmail-Konto neben dem Haupt-Passwort einen einmaligen Code eingeben, der ihnen per SMS auf ihr Handy geschickt wird. Damit ist eine weitere Barriere errichtet, die Angreifer überwinden müssen, um ein Gmail-Konto zu hacken – eine gute Verbesserung.

Doch auch die Zwei-Faktoren-Authentifizierung verlässt sich immer noch auf ein Passwort. Google arbeitet daran, das Passwort weniger wichtig zu machen, vielleicht sogar überflüssig. Wie Wired berichtet, hat die Firma eine Methode entwickelt, bei der Menschen mithilfe eines Hardware-Tokens sofortigen Zugang zu ihren Google-Konten erhalten – inklusive Gmail, Google Apps und andere Dienste. Das System funktioniert mit einer kleinen Smartcard, die ein einmaliges Passwort für die Authentifizierung generiert.

Passwort-Sicherheit ist schon seit Jahrzehnten ein Problem und viele andere Firmen haben ebenfalls versucht, es zu lösen. Doch noch niemand hat einen guten Ersatz für Passwörter gefunden. Allerdings hat auch noch keine Firma, die das versucht hat, die Reichweite und den Einfluss von Google gehabt. Die Chance, dass diese neue Idee also eine breite Öffentlichkeit erreicht, ist recht groß. Doch das bedeutet nicht, dass Passwörter in naher Zukunft verschwinden werden.

„Google will Passwörter noch nicht durch eine andere Form der Authentifizierung ersetzen; einige Mitarbeiter des Unternehmens wollten einfach nur sehen, wie sicher andere Authentifizierungssysteme sein können, und USB-Token waren eines der getesteten Systeme. Es ist eher eine Forschungsarbeit, obwohl noch nicht richtig klar ist, wie brauchbar das System für Googles eigene Services sein wird. Solche Token, wie sie hier genutzt werden, sind in vielen Firmennetzwerken im Einsatz, doch sie zum Schutz kostenloser Online-Mail-Konten einzusetzen, ist etwas übertrieben. Es ist nicht die praktischste Lösung für Anwender, denn sie beschneidet ihre Möglichkeit, Mails auf jedem Gerät lesen zu können, etwa auf dem PC eines Freundes oder in einem Internet-Café. Und davon abgesehen, gibt es andere sehr gute Methoden, die Sicherheit zu erhöhen, etwa die Zwei-Faktoren-Authentifizierung mit SMS-Nachrichten, die Gmail ja auch bereits einsetzt“, so Alex Gostev, Chief Malware Expert bei Kaspersky Lab.

Ein breiter Einsatz der Methode, die Google vorschlägt, wird also noch einige Zeit dauern, doch es ist ermutigend, dass Forscher versuchen, Lösungen für die drängenden Sicherheitsprobleme der Anwender zu finden.

Tipps