Passwörter sind ein schweres Thema, denn obwohl sie die grundlegende Sicherheitsschranke für den Zugang zu Daten und Diensten bilden, werden sie von vielen Nutzern als lästig empfunden – und das nicht ganz zu Unrecht. Google arbeitet schon seit langer Zeit daran, die Passwörter in ihrer ursprünglichen Form „abzuschaffen“ und könnte schon in wenigen Wochen die Umsetzung einer Lösung der FIDO-Allianz präsentieren: Automatische Passkeys statt Passwörter.
Passwörter müssen sehr hohe Ansprüche erfüllen, bei denen zwei gegensätzliche Dinge unter ein Dach gebracht werden müssen: Sie müssen sicher sein, aber der Nutzer muss sie sich auch merken können. Und natürlich sollte man sie vor allem bei wichtigen Diensten nicht mehrfach verwenden. Dieses Problem lässt sich seit vielen Jahren durch Passwortmanager lösen und mit der 2FA haben viele große Plattformen längst eine zusätzliche Sicherheitsschranke etabliert. Aber beides könnte in der heute bekannten Form schon bald nicht mehr notwendig sein.
In der FIDO Allianz arbeitet man schon seit langer Zeit an einer Alternative und Google scheint diese nun umgesetzt zu haben. Statt Passwörter kommen Passkeys zum Einsatz, die den Login vollständig ersetzen können. Dabei handelt es sich um kryptographische Schlüssel, die bei der Registrierung zwischen dem Online-Anbieter und dem Passkey-Verwalter (in diesem Fall Google) ausgetauscht werden. Dieser Zugangsschlüssel wird auf dem Gerät sowie in der Cloud des Verwalters gespeichert. Bei Google ist der Google-Account.
Der Austausch dieser Zugangsdaten, die dann nur noch aus dem kryptographischen Schlüssel bestehen, kann automatisch erfolgen. Gelegentlich (vielleicht auch immer) muss man seine Identität gegenüber des Google-Kontos bestätigen. Entweder durch Fingerabdruck, Gesichtserkennung oder vielleicht auch einem festgelegten PIN oder dem Passwort des Google-Kontos. Das soll das einzige Passwort sein, das man sich überhaupt noch merken muss.
During registration with an online service, the user’s client device creates a new key pair. It retains the private key and registers the public key with the online service. Authentication is done by the client device proving possession of the private key to the service by signing a challenge.
Mit dieser Methode möchte man Passwörter endgültig abschaffen und dennoch für ausreichend Sicherheit sorgen. Allerdings legt man dafür auch seine gesamte Identität und alle Schlüssel in die Hände von Google oder des jeweiligen Verwalters. Gut, das tun viele Menschen durch das Smartphone und die Online-Dienste schon heute, aber die Abhängigkeit wird noch einmal ein ganzes Stück größer. Google ist nicht bekannt dafür, Daten zu verlieren – aber was wenn es dann doch mal passiert? Dann verpufft die digitale Identität des Nutzers. Vielleicht habe ich da auch was falsch verstanden, aber das wäre eine reele Gefahr.
In der Google-App findet sich in einem Teardown bereits die Einleitung zu diesem Schritt, den man direkt mit „Hello passkeys, goodbye passwords“ beschreibt. Der Start könnte rund um die Google I/O erfolgen und wir dürfen gespannt sein, wie sehr Google dieses Thema pushen wird. Für die Nutzer ist es in der Anwendung nicht anders als ein Passwortmanager, außer dass eine Backup-Lösung dann nicht mehr ganz so leicht zu realisieren ist…
» Google Websuche: Neue Navigation wird getestet – die Suchtypen wandern wieder in eine Seitenleiste