Google Chrome: Der Browser fängt Einmal-Passwörter ab – Chrome 93 erleichtert Zwei-Faktor-Login (Video)

chrome 

Die Zwei-Faktor-Authentifizierung bzw. die Bestätigung in zwei Schritten wird von vielen großen Plattformen angeboten, um die Sicherheit für Nutzerkonten zu erhöhen. Mit der kommenden Version des Chrome-Browsers möchte Google die Nutzung der per SMS versendeten Passwörter bzw. PINs noch bequemer gestalten und diese automatisch abrufen. Im besten Fall bekommt der Nutzer das OTP gar nicht zu Gesicht.


google security logo

Die Zwei-Faktor-Authentifzierung kann die Sicherheit im Web deutlich erhöhen, denn statt nur auf die Kombination von Nutzernamen und Passwort zu setzen, das ja bekanntlich nicht mehr ganz so sicher ist, führt man eine zweite Stufe ein, die das Smartphone mit einbezieht. Ein Angreifer müsste also sowohl das Konto des Nutzers als auch dessen Smartphone knacken bzw. sogar physischen Zugriff darauf haben. Das ist nicht ausgeschlossen, aber ein sehr viel unwahrscheinlicheres Szenario für einen Angriff.

Doch wie so oft siegt die Bequemlichkeit über die Sicherheit, sodass viele Nutzer vielleicht auch aus diesem Grund darauf verzichten. Googles Chrome-Entwickler selbst schreiben, dass das Ganze bisher viele Schritte brauchte: Passwort anfordern, Smartphone zur Hand nehmen, SMS-App öffnen, Code merken, Code im Browser eintippen und dann absenden. Das geht schnell von der Hand, ist aber dennoch eine Hürde. Genau diese möchte man mit WebOTP abbauen, ohne die Sicherheit zu gefährden.

Mit der neuen API, die ab Chrome 93 unterstützt werden soll, kann der Desktop-Browser den per SMS empfangenen Code vom Smartphone abrufen und automatisch eintragen. Das Ganze läuft über die Chrome-Infrastruktur und ist in der folgenden Animation zu sehen. Viel einfacher kann man das kaum noch machen.




Die empfangene SMS wird von Chrome für Android registriert und dann über die Chrome-Infrastruktur an den Desktopbrowser gesendet, der diese wiederum in das Formular einträgt und dieses absendet. Damit das funktioniert, muss auf beiden Geräten Google Chrome verwendet werden, die Play Services müssen aktuell sein, die Webseite muss den WebOTP-Standard beachten und natürlich muss auf beiden Geräten dasselbe Nutzerkonto verwendet werden. Alles Voraussetzungen, die auf Nutzerseite einfach zu erfüllen sind.

Mit dieser Methode erhöht Google den Komfort der SMS-Variante soweit, dass es ebenfalls als Prompt-Variante durchgehen kann, wie sie Google bei der eigenen Bestätigung in zwei Schritten anwendet. Ein Button drücken und schon wird der Login fortgesetzt. In den vergangenen zwei Jahren hat man immer wieder damit experimentiert, die OTPs (One Time Password) mit der Messages-App zu erkennen, den Nutzern zum Kopieren anzubieten oder diese nach Empfang und Nutzung zu löschen.

Die neue Funktion soll ab Google Chrome 93 für alle Nutzer ausgerollt werden.

» Google Reader? Der Chrome-Browser kann jetzt RSS-Feeds abonnieren – so könnt ihr den neuen Bereich nutzen

» Ohne Internet zu Olympia: Der populäre Chrome-Dino hat nun einen Olympia-Modus – so könnt ihr ihn spielen


“”

Google Chrome OS: Der neue Phone Hub ist jetzt für die ersten Nutzer verfügbar – Brücke zu Android (Screenshots)

[Chrome-Blog]


Keine Google-News mehr verpassen: Abonniere den GoogleWatchBlog-Newsletter
GoogleWatchBlog Newsletter abonnieren


Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 2 Kommentare zum Thema "Google Chrome: Der Browser fängt Einmal-Passwörter ab – Chrome 93 erleichtert Zwei-Faktor-Login (Video)"

  • Zwei-Faktor-Authentifizierung (2FA) hat einen guten Ruf, in den meisten Fällen zu Unrecht.
    Fast alle Verfahren lassen sich automatisiert hacken, weil systemische Fehler vorliegen.
    Mit Muraena und NecroBrowser wurden Tools veröffentlicht, die 2FA umgehen und Phishing automatisieren.
    Nur U2F und FIDO2 erweisen sich derzeit als gefeit, weil sie den Server kryptografisch authentifizieren.
    iX 10/2019 – http://www.heise.de/select/ix/2019/10/1916911165814422074

  • Tja, das wird mit einem Iphone oder meinem PC bestimmt schwer.

    Andere Sache ist, dass zwar mein Android wegen Playstore angemeldet ist, der Desktop und Mobile Chrome aber nicht – ich habe einen browserübergreifend funktionierenden Passwortmanager, der in *allen* von mir benutzten Desktopbrowsern, und der App auf dem Phone dazu, läuft.

    Die OTP SMS wird also auf die Uhr gebeamt, oder landet (wenn Händie nicht am Mann) im Browserfenster mit Messages for Web. Diese Einsperrversuche von Google gehen mir nur noch auf den Senkel.

Kommentare sind geschlossen.