Android: Google will Passwörter abschaffen und durch Passkeys ersetzen – Start von FIDO schon sehr bald

Veröffentlicht am von Jens
google 

Passwörter sind ein schweres Thema, denn obwohl sie die grundlegende Sicherheitsschranke für den Zugang zu Daten und Diensten bilden, werden sie von vielen Nutzern als lästig empfunden – und das nicht ganz zu Unrecht. Google arbeitet schon seit langer Zeit daran, die Passwörter in ihrer ursprünglichen Form „abzuschaffen“ und könnte schon in wenigen Wochen die Umsetzung einer Lösung der FIDO-Allianz präsentieren: Automatische Passkeys statt Passwörter.


android google passwort passkey fido

Passwörter müssen sehr hohe Ansprüche erfüllen, bei denen zwei gegensätzliche Dinge unter ein Dach gebracht werden müssen: Sie müssen sicher sein, aber der Nutzer muss sie sich auch merken können. Und natürlich sollte man sie vor allem bei wichtigen Diensten nicht mehrfach verwenden. Dieses Problem lässt sich seit vielen Jahren durch Passwortmanager lösen und mit der 2FA haben viele große Plattformen längst eine zusätzliche Sicherheitsschranke etabliert. Aber beides könnte in der heute bekannten Form schon bald nicht mehr notwendig sein.

In der FIDO Allianz arbeitet man schon seit langer Zeit an einer Alternative und Google scheint diese nun umgesetzt zu haben. Statt Passwörter kommen Passkeys zum Einsatz, die den Login vollständig ersetzen können. Dabei handelt es sich um kryptographische Schlüssel, die bei der Registrierung zwischen dem Online-Anbieter und dem Passkey-Verwalter (in diesem Fall Google) ausgetauscht werden. Dieser Zugangsschlüssel wird auf dem Gerät sowie in der Cloud des Verwalters gespeichert. Bei Google ist der Google-Account.

Der Austausch dieser Zugangsdaten, die dann nur noch aus dem kryptographischen Schlüssel bestehen, kann automatisch erfolgen. Gelegentlich (vielleicht auch immer) muss man seine Identität gegenüber des Google-Kontos bestätigen. Entweder durch Fingerabdruck, Gesichtserkennung oder vielleicht auch einem festgelegten PIN oder dem Passwort des Google-Kontos. Das soll das einzige Passwort sein, das man sich überhaupt noch merken muss.




passwort

During registration with an online service, the user’s client device creates a new key pair. It retains the private key and registers the public key with the online service. Authentication is done by the client device proving possession of the private key to the service by signing a challenge.

Mit dieser Methode möchte man Passwörter endgültig abschaffen und dennoch für ausreichend Sicherheit sorgen. Allerdings legt man dafür auch seine gesamte Identität und alle Schlüssel in die Hände von Google oder des jeweiligen Verwalters. Gut, das tun viele Menschen durch das Smartphone und die Online-Dienste schon heute, aber die Abhängigkeit wird noch einmal ein ganzes Stück größer. Google ist nicht bekannt dafür, Daten zu verlieren – aber was wenn es dann doch mal passiert? Dann verpufft die digitale Identität des Nutzers. Vielleicht habe ich da auch was falsch verstanden, aber das wäre eine reele Gefahr.

In der Google-App findet sich in einem Teardown bereits die Einleitung zu diesem Schritt, den man direkt mit „Hello passkeys, goodbye passwords“ beschreibt. Der Start könnte rund um die Google I/O erfolgen und wir dürfen gespannt sein, wie sehr Google dieses Thema pushen wird. Für die Nutzer ist es in der Anwendung nicht anders als ein Passwortmanager, außer dass eine Backup-Lösung dann nicht mehr ganz so leicht zu realisieren ist…

» Smartphones: Nutzer kehren zurück zu Samsung und Apple – chinesische Hersteller im Sinkflug (Q1 2022)

» Pixel 6: Wie erfolgreich sind die Smartphones? Google könnte schon zehn Millionen Geräte verkauft haben

» Google Websuche: Neue Navigation wird getestet – die Suchtypen wandern wieder in eine Seitenleiste

[9to5Google]


Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 4 Kommentare zum Thema "Android: Google will Passwörter abschaffen und durch Passkeys ersetzen – Start von FIDO schon sehr bald"

  • Ob das letztendlich so sinnig ist, wenn man sich nur sein Google Passwort merken muss um ansonsten überall rein zu kommen🤔
    Kann mir darunter leider nichts vorstellen, aber mal schauen was die Zukunft bringt.

  • Das sieht eher nach einem Rohrkrepierer aus. Was passiert wenn Google mal ausfällt, oder es wird in einem Land geblockt wird? Und dann ist die Frage wo werden die Schlüssel gespeichert? Falls in den USA. Sind die dann sicher vor dem Zugriff der dortigen Behörden wie FBI usw.

    • Bevor ich so etwas akzeptiere, müsste Google unter Androhung von Schadenersatz über Höhe x garantieren, dass sie niemals meinen Account sperren. Auch nicht, wenn ich illegale Dinge gemacht habe (ich gehe hier bewusst den Schritt weiter von vermeintlich illegal).
      Vorher setze ich lieber auf unsichere Passwörter.

    • Hi, leider stimmt die Aussage im Artikel nicht.

      Man muss den Text, der hier englisch zitiert wird, genau lesen:

      During registration with an online service, the user’s ***client device*** creates a new key pair. It retains the private key and registers the public key with the online service.

      Der private Schlüssel wird also auf dem Gerät gespeichert. Nicht im Google Account.
      Google bekommt nur den öffentlichen Schlüssel, und mit diesem kann ein Angreifer nichts anfangen. Es müsste der private Schlüssel vom Gerät gestohlen werden, und dagegen haben wir heutzutage sehr effektive Schutzmaßnahmen.

Kommentare sind geschlossen.