Die Zwei-Faktor-Authentifizierung bzw. die Bestätigung in zwei Schritten wird von vielen großen Plattformen angeboten, um die Sicherheit für Nutzerkonten zu erhöhen. Mit der kommenden Version des Chrome-Browsers möchte Google die Nutzung der per SMS versendeten Passwörter bzw. PINs noch bequemer gestalten und diese automatisch abrufen. Im besten Fall bekommt der Nutzer das OTP gar nicht zu Gesicht.
Die Zwei-Faktor-Authentifzierung kann die Sicherheit im Web deutlich erhöhen, denn statt nur auf die Kombination von Nutzernamen und Passwort zu setzen, das ja bekanntlich nicht mehr ganz so sicher ist, führt man eine zweite Stufe ein, die das Smartphone mit einbezieht. Ein Angreifer müsste also sowohl das Konto des Nutzers als auch dessen Smartphone knacken bzw. sogar physischen Zugriff darauf haben. Das ist nicht ausgeschlossen, aber ein sehr viel unwahrscheinlicheres Szenario für einen Angriff.
Doch wie so oft siegt die Bequemlichkeit über die Sicherheit, sodass viele Nutzer vielleicht auch aus diesem Grund darauf verzichten. Googles Chrome-Entwickler selbst schreiben, dass das Ganze bisher viele Schritte brauchte: Passwort anfordern, Smartphone zur Hand nehmen, SMS-App öffnen, Code merken, Code im Browser eintippen und dann absenden. Das geht schnell von der Hand, ist aber dennoch eine Hürde. Genau diese möchte man mit WebOTP abbauen, ohne die Sicherheit zu gefährden.
Mit der neuen API, die ab Chrome 93 unterstützt werden soll, kann der Desktop-Browser den per SMS empfangenen Code vom Smartphone abrufen und automatisch eintragen. Das Ganze läuft über die Chrome-Infrastruktur und ist in der folgenden Animation zu sehen. Viel einfacher kann man das kaum noch machen.
Die empfangene SMS wird von Chrome für Android registriert und dann über die Chrome-Infrastruktur an den Desktopbrowser gesendet, der diese wiederum in das Formular einträgt und dieses absendet. Damit das funktioniert, muss auf beiden Geräten Google Chrome verwendet werden, die Play Services müssen aktuell sein, die Webseite muss den WebOTP-Standard beachten und natürlich muss auf beiden Geräten dasselbe Nutzerkonto verwendet werden. Alles Voraussetzungen, die auf Nutzerseite einfach zu erfüllen sind.
Mit dieser Methode erhöht Google den Komfort der SMS-Variante soweit, dass es ebenfalls als Prompt-Variante durchgehen kann, wie sie Google bei der eigenen Bestätigung in zwei Schritten anwendet. Ein Button drücken und schon wird der Login fortgesetzt. In den vergangenen zwei Jahren hat man immer wieder damit experimentiert, die OTPs (One Time Password) mit der Messages-App zu erkennen, den Nutzern zum Kopieren anzubieten oder diese nach Empfang und Nutzung zu löschen.
Die neue Funktion soll ab Google Chrome 93 für alle Nutzer ausgerollt werden.
„“