Wie unter anderem heise Security berichtet, experimentiert Google derzeit an einer Technologie, welche die Verwendung von Passwörtern beim Login auf Webseiten, beispielsweise bei der Nutzung von Gmail, vollständig ersetzen soll.
Statt mit Passwörtern soll eine Authentifizierung künftig über physikalische Kleingeräte wie einem speziellen Fingerring oder Token mit NFC-Technologie erfolgen.
Der Inhalt im Überblick
Sichere Alternative zum Passwort?
Die Frage ist, ob die von Google untersuchte Lösung eine echte Alternative zum Passwort sein kann. In jedem Fall bietet sie mehr Sicherheit als ein fehlendes, ein zu einfaches oder ein solches Passwort, das als Merkhilfe auf einem Post-it am Bildschirm oder unter der Tastatur klebt.
Der vollständige Ersatz eines Passwortes durch die ausschließlich hardwaregebundene Authentifizierung erscheint jedoch mit Blick auf einen möglichen Verlust der benötigten Hardware fragwürdig. Völlig ungeklärt ist unter anderem auch, wie der berechtigte Zugang zu Webdiensten durch den User im Fall des Diebstahls oder Verlierens z.B. des Rings oder Tokens gesichert ist.
Wissen oder Besitz?
Die Kombination macht’s. Bereits von Google und zahlreichen anderen Diensten verwendet wird ein Verfahren, das verschiedene Methoden (Wissen, Besitz oder Biometrie) zum Nachweis der Identität kombiniert – die sog. Zwei-Faktor-Authentifizierung. Hierbei muss der Benutzer in Besitz eines Tokens oder ähnlichem Mediums sein und zusätzlich über ein sicheres Passwort verfügen, um sich dem Rechner, Netzwerkdienst etc. gegenüber ausweisen zu können. Dies hat gegenüber einem Verfahren mit ausschließlicher Verwendung eines physikalischen Gerätes den Vorteil, dass bei dessen Verlust zumindest kein unmittelbarer Zugang zum Dienst möglich ist.
Größte Schwachstelle bei der Zwei-Faktor-Authentifizierung dürfte allerdings wieder die Passwortsicherheit sein. Denn das Bewusstsein für sichere Passwörter ist längst nicht tief genug bei den Usern verankert. Daher hatten wir bereits eine kleine Anleitung zur Bekämpfung der Passwort-Demenz zusammengestellt.
Fazit
Ob Google die Gegenargumente zur hardwarebasierten Authentifizierung entkräften kann, bleibt bis Ende dieses Monats abzuwarten. Denn dann wird es im IEEE Security & Privacy Magazine einen Fachartikel zum aktuellen Stand des Projektes geben. Bleibt nur zu hoffen, dass es nicht am Ende heißt:
„Ein Ring, sie zu knechten, sie alle zu finden,
ins Dunkel zu treiben und ewig zu binden“ (J.R.R. Tolkien)