comment 5 Kommentare zum Thema "Smartphone als Sicherheits-Schlüssel: Google testet Login ohne Passwort"

  • Wat?

    „…das Smartphone, das aber noch sehr viel einfacher zugänglich ist und damit keine ganz so große Sicherheit mehr darstellt.“

    „einfacher kann man es einem Dieb dann schon gar nicht mehr machen“

    Sicherheitskonzepte sind nicht Euer Ding, oder?

    Es geht um „Wissen“ und „Besitz“. Bei Mehrfaktorauthentifikation (MFA) wird beides benutzt. Das ist hier natürlich nicht der Fall. Was Google hier macht, ist eine Änderung von „Wissen“ hin zu „Besitz“ als Faktor.

    Jetzt geht mal ehrlich in Euch – oder recherchiert ein wenig, falls die Info in Euch nicht vorhanden ist – und sagt mir: Wie oft werden Accounts gehacked, weil das Passwort erratbar/knackbar ist oder durch Phishing einfach gradaus erfragt wurde? Und jetzt vergleicht das mit der Zahl von Handy Diebstählen. Ihr kommt sicher schnell drauf, dass es wesentlich mehr erfolgreiche Account Hacks gibt als Handy Diebstähle. Und jetzt ratet mal, wie viele dieser Handydiebstähle den Zweck haben, die Hardware zu resetten und für gutes Geld weiterzuverkaufen, und wie viele den Zweck haben, einen Dateneinbruch zu starten. Und ratet mal, wie viele Hacker normalerweise im selben Gebäude sind wie der Angegriffene, und wie viele eher auf einem ganz anderen Kontinent. Klingelts ganz leise?

    Dann überlegt mal weiter: Wenn jemand Euer Passwort klaut, aber nicht verändert, und fortwährend auf all Eure Daten zugreift, Euch ausspioniert und überwacht: Wie schnell bemerkt ihr das? Eine Woche? Zwei Wochen? 3 Monate? Niemals? Und wie lange braucht ihr, um zu merken, dass Euer Smartphone weg ist?

    Ja, die bessere Sicherheit wäre MFA. Google hat aber wohl erkannt, dass wenn ich aufgrund Sicherheit die Bedienbarkeit einschränke, verliere ich einfach beides, weil es von den Benutzern nicht akzeptiert wird.

    Richtig: Eine Authentifikation nur durch ein Smartphone erlaubt die von Euch genannten Angriffsvektoren, aber diese benötigen einen physischen Angriff. Das als „unsicherer als Passwort“ zu bezeichnen wäre, als würdet ihr behaupten, dass Passwort Tastaturen an der Haustür sicherer seien als ein mechanischer Schlüssel in der Hosentasche des Eigentümers. Oh mein Gott, mein Hausschlüssel ist ja nicht mal zusätzlich durch Pin oder Muster geschützt wie die meisten Smartphones…

    Sorry, ich erwarte nicht, dass jeder Redakteur mit Sicherheitskonzepten vertraut ist, aber wenn ihr über sowas schreibt und tatsächlich niemanden an der Hand habt, den ihr vorher mal fragen könnt, wie wärs, wenn ihr einfach mal googlet?

    • Du sprichst mir aus der Seele. Natürlich wird es etwas einfacher eine Person gezielt zu hacken, jedoch wird der massenhack erschwert.

  • Ich sehe das wie Daniel – dadurch, dass der physische Besitz des Smartphones vorausgesetzt wird, werden zwei ganz wichtige Faktoren aktiviert:
    1) Die bereits erwähnte „physische“ Attacke. Der Dieb muss DEIN – exakt dein Smartphone haben und (noch viel wichtiger):
    2) Die ANZAHL möglicher Eindringlinge in deinen Account wird von mehreren hundert Millionen auf EINS reduziert. Ein einziger Angreifer.
    Und diesen einen kennst Du oder zumindest weißt Du, WANN er dein Smartphone erlangt hat (bei einem Überfall in der UBahn (das wünsch ich niemandem) oder ein kleiner Frechdachs am Arbeitsplatz, whatever)…

    Was jetzt noch fehlt, ist, ähnlich wie für Kreditkarten, eine 24/7 Hotline wo man seinen „Schlüssel“ direkt Sperren kann, um Missbrauch zu unterbinden/verhindern falls dieses Szenario tatsächlich eintritt.

    Banken mit ihren SMS TANs arbeiten ja auch so – auch hier wird der Besitz vorausgesetzt – wer dein Smartphone hat, kann einen TAN abrufen.

    Ich denke, das Bewusstsein, dass das Handy mehr ist als ein „Telefon mit dem man auch spielen kann“ wird immer mehr gefördert und es werden sich immer mehr Menschen dessen bewusst. Seine Kreditkarte lässt auch niemand offen liegen und geht weg.

  • Sicherer ist das allemal – so wie sich es liest will Google nur Smartphones unterstützen die einen Fingerprint-Sensor haben und wird vermutlich diesen auch eingschaltet voraussetzen… Ein Dieb müsste also das Smartphone klauen, raten welchen Finger ihr zum entsperren verwendet und diesen abhacken.

    Ich glaube nicht, dass eine solche Aktion unerkannt bleibt.
    Natürlich ist es sicherer nach der Authentifizierung durch das Smartphone auch noch auf den Besitz eines YubiKeys angewiesen zu sein, aber Google versucht hier Ersatz in einem Gerät zu finden, welches jeder User sowieso irgendwann hat.

    • Ich hab mein pixel über ein one plus two eingerichtet. Kollegin ein nexus 4 auf ein nexus 5 über tragen. Keines der devices hat einen fingerprintsensor bzw. Beim OnePlus two nutzt ich den nicht. Ein Fingerabdruck dient für mich nicht zur Authentifizierung.

Kommentare sind geschlossen.