Google bietet schon seit vielen Jahren die Möglichkeit der Bestätigung in zwei Schritten an, mit der es eine zusätzliche Hürde zum Passwort gibt, die für einen potenziellen Angreifer überwunden werden müsste. Doch auch diese Methode hat ihre Schwächen und die größte Sicherheit ist aktuell mit Sicherheitsschlüsseln in Hardwareform gegeben. Jetzt hat Google angekündigt, das ab sofort jedes aktuelle Android-Smartphone als ein solcher Schlüssel verwendet werden kann.
Unzählige Passwortleaks sollten die Nutzer eigentlich darauf sensibilisieren, zusätzliche Schutzmöglichkeiten für ihre wichtigsten Onlinekonten in Betracht zu ziehen – wobei das bei Google und vielen anderen großen Anbietern die Bestätigung in zwei Schritten ist. Für diese wird ein Smartphone mit dem selben Google-Konto benötigt, auf dem jeder Login-Versuch erst einmal abgenickt werden muss, bevor er durchgeführt werden kann.
Im vergangenen Jahr hat Google die hauseigenen Titan Security Keys vorgestellt, mit denen der Login als 2FA in Hardwareform abgesichert werden kann. Da aber wohl nur die wenigsten Nutzer davon überzeugt werden konnten, sich einen solchen Schlüssel zu kaufen, geht man nun einen deutlich bequemeren Weg: Jedes Android-Smartphone ab Android Nougat lässt sich nun als Sicherheitsschlüssel anlegen und verwenden.
Voraussetzung ist neben Android Nougat oder höher ein Computer/Laptop mit Bluetooth sowie eine aktuelle Version des Chrome-Browsers ab Version 72. Wie bei der 2FA über den Google Prompt erscheint nach dem Loginversuch auf dem Smartphone eine Abfrage, ob man sich gerade einloggen möchte. Dies muss bestätigt werden und erst dann geht es auf dem Computer weiter mit dem Zugriff auf das Google-Konto.
Der Ablauf und auch die Oberfläche ist dem Google Prompt-System sehr ähnlich, aber es gibt einen entscheidenden Unterschied: Das Smartphone muss sich in der Nähe des Computers befinden. Mit der Prompt-Methode erfolgt die Abfrage über das Web, sodass das Smartphone sich theoretisch auch auf einem anderen Kontinent befinden könnte. Die neue Methode erfordert nun dessen Anwesenheit.
Aktuell funktioniert diese Methode nur im Chrome-Browser, nur mit Android-Smartphones und auch nur mit dem Login in ein Google-Konto. Das Unternehmen ist aber derzeit dabei, das Verfahren zu standardisieren und möchte es schon sehr bald auf viele andere Plattformen und Online-Services ausweiten.
» Ankündigung im Google-Blog
» Einrichtung im Google Sicherheitscenter
» Bestätigung in zwei Schritten aktivieren: Zusätzlicher Sicherheit für das Google-Konto mit der 2FA