Google-Login: Smartphone soll Passwörter komplett ersetzen

Der Suchmaschinenkonzern Google hat mit dem Test eines neuen Login-Verfahrens begonnen, bei dem der Nutzer letztendlich überhaupt kein Passwort mehr benötigen soll. Stattdessen gibt eine Rückfrage über das Mobiltelefon den Zugang zum jeweiligen ... mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
so will ich das sehen, in Sachen Internet ist Google immer am forschen, und es kommt uns zu gute.
 
@neuernickzumflamen: Naja, blos haben Sie bei der Sache wohl zu kurz geforscht, denn wer will ernsthaft jedes mal sein Smartphone zücken, um sich anzumelden, zumal man erst nochmal sein Smartphone entsperren muss, da geht der Sinn schon fliegen. Da finde ich die Lösung von Microsoft mit Windows Hello wesentlich optimaler gelöst, denn da braucht man sich nur von den Rechner setzten, und die Cam indentifiziert dich.
 
@TobiasH: Ich will das. Muss ich ja heute schon mit 2-Faktor, wer bei wichtigen Accounts nur auf Passwörter setzt dem ist nicht zu helfen.
 
Das führt doch nur zu einem. Das Smartphone rückt in das Zentrum aller Angriffe, was bei der OS-Fragmentierung und dem Update-Unwillen einiger Hersteller, meiner Meinung nach, absolut keine gute Idee ist.

Damit muss jetzt "nur" noch über eine Sicherheitslücke ans Smartphone gekommen werden und schon braucht man nichtmal mehr irgend ein Passwort, sondern kann sich überall anmelden. (Vorausgesetzt Googles Idee setzt sich überall durch).

Das ist doch genauso schlimm wie "Ein Passwort für alles"...und hebelt die, prinzipiell sinnvolle, Zwei-Wege Authentifizierung komplett aus.

Dabei gibt es ganz einfache Möglichkeiten Brute Force oder Dictionary Angriffe auszuhebeln. Wieso funktioniert eine 4 stellige PIN bei einer EC-Karte? Weil nach 3 Versuchen Schluss ist und sich das Teil nur telefonisch wieder aktivieren lässt.

Bei "normalen" Passwörtern mit ausreichender Länge ist so ein krasses Verfahren gar nicht nötig, aber eine Sperrung für eine Minute nach 3 Fehlversuchen macht jeden Brute Force Angriff unwirksam.

Alternativ Systeme wie der "Steam-Guard", der über eine "Maschinen-ID" (wie auch immer man die generiert) feststellt ob ein Login von einer neuen Maschine aus erfolgt und dann erstmal eine E-Mail Validierung der Maschine durchführt. Auch da ist ein Passwort nicht mehr so leicht auszuhebeln.
 
Nun die Frage...
Was ist wenn jemand mein Handy klaut... Ich es fernwipe... Und dann? Hab ich trotzdem noch ein Kennwort mit dem ich mich einloggen muss um das Handy zu trennen und ein neues zu hinterlegen?
Dann wäre ein "Wörterbuch-Angriff" immernoch möglich.
Und damit könnte dann der Angreifer ja auch mal eben ein fremdes Telefon verknüpfen.

Oder wie ist das da?!
 
@hempelchen: Andere Newsquellen sind da etwas informativer... der normale Passwortzugang bliebe weiterhin bestehen, die Authentifizierung mit Hilfe des Smartphones ist lediglich eine Alternative. Nur kann der Anwender dann halt ein schwerer zu merkendes, sicheres und anderswo nicht genutztes Passwort vergeben, dass er sich dann an sicherem (und ggf. halt für die Alltagsnutzung etwas umständlich zu nutzenden) Ort hinterlegt - im Alltag tut's dann die einfache Authentifizierung per Smartphone. Bei Bedarf (z.B. wenn der Akku leer ist ;)) kann der Anwender sich wie bisher auch per Passwort anmelden.
 
Müssten es nicht auch ein Fallback zur Passwort-Authentifizierung geben? Es macht für mich keinen Sinn das Smartphone als einziges Authentifizierungs-Werkzeug zu verwenden, was ist wenn der Akku mal leer ist, das Handy vergessen, im Ausland Roaming Gebühren?
 
@ghashange: Bei einer vernünftigen Verschlüsselung wie bei zB Truecrypt hast Du auch nur dein PW als Schlüssel und keine Hintertür. Es wäre reichlich Sinnlos das Passwort als Zugang zu ersetzen und dann als Fallback doch wieder ein PW zu nutzen. Entweder ich will es wirklich Sicher, oder ich bin zu blöd meinen "Schlüssel" zu schützen und nutze was unsicheres wie ein PW.
 
@Butterbrot: Genau auf diesen Punkt wollte ich hinaus, dass Google nicht erwarten kann, dass alle seine Benutzer 7/24 ihr Smartphone dabei haben werden und es auch 7/24 Akku hat. Ein Fallback haben die immer gehabt.
 
@ghashange: Eben, oder noch besser, wenn es wirklich ans Gerät gebunden ist, was passiert wenn das gute Stück runterfällt und kaputt ist. Dann kann man sich nur noch den google Support üder google-mail erreichen. Wait a minute....
 
@ghashange: Andere Nachrichtenquellen sind informativer... die Smartphone-Authentifizierung wäre nur eine neue, zusätzliche Login-Möglichkeit, der Login per Passwort bliebe unverändert nutzbar (dank des einfachen Smartphone-Logins kann der Anwender hier nun aber ein sicheres und ggf. schlecht zu merkendes Passwort wählen, das er dann an sicherem Ort aufbewahrt - im Alltag würde jenes dank des hier nun verwendeten Smartphone-Logins nicht mehr benötigt).
 
Diese Methode würde ich nur verantworten, wenn die Daten in einem separaten Secure Chip auf dem Smartphone mit End-To-End Verschlüsselung hinterlegt werden.
 
@AlexKeller: Ich glaube eher, dass Google Dir irgendeinen generierten "Login-Code" an das Smartphone schickt, den Du dann anstelle eines festen Passwortes zum Login nutzt. Also quasi "Anmeldung bei Google als AlexKeller, genutzte Methode Smartphone-Login" -> Google schickt Dir einen für kurze Zeit gültigen Login-Code an das für AlexKeller registrierte Smartphone -> Du gibst den Code ein und bist angemeldet. Was genau würdest Du da auf einem "Secure Chip" hinterlegen wollen...?
 
@FenFire: ja so könnte es auch gehen
 
Diese "Passwortkrise" halte ich für absolut inszeniert. Es geht nur darum Abhängigkeiten zu großen Konzernen zu schaffen, in erster Linie Google, Microsoft und Apple.
 
Wo genau siehst Du bei Umsetzung von Googles Idee eine gestiegene Abhängigkeit von Google?
 
@FenFire: "Nachdem man die entsprechenden Konfigurationen im Google-Account vorgenommen hat" - Im Google Account.
 
@Thermostat: Wie wird man von Google abhängiger, wenn man in seinem Google-Account eine Einstellung vornimmt, die ein neues Loginverfahren aktiviert?
 
Das wird zumindest bei mir genauso ein Rohrkrepierer wie yapital. Gerade Android SPMS sind so anfällig für angriffe das ich diesen Service bestimmt nie nutzen werde, desweiteren wie schon erwähnt ist auch das nächste Problem das gerade bei den Großen herstellern ein Update so gehandhabt wird kauf ein neues SPhone.
 
Diese ständigen Diskussionen um einen Passwort-Ersatz gehen mir echt auf den Sack - und das nur, weil der Normal-Nutzer zu blöd ist, sich ein vernünftiges Passwort auszudenken und auch noch zu behalten. Von der Verwaltung mehrer Passwörter in einer entsprechenden App reden wir gar nicht erst. Sehe das ständig im Freundeskreis und die die Leute sind eigentlich alles andere als blöd, eben nur, wenn es um Computer und insbesondere um Sicherheit geht...
 
@doubledown: Nur weil Du mit der Nutzung vieler sicherer Passwörter / dem Gebrauch eines Passwortmanagers zurecht kommst kannst Du nicht automatisch erwarten, andere könnten das auch. Das Ziel ist es, Technik so einfach wie möglich von einem so großen Personenkreis wie möglich nutzbar zu machen - und hier zählt eine Vereinfachung von Loginverfahren bei gleichzeitig möglichst guter Sicherheit dazu.
 
Da gefaellt mir die 2 wege abfrage bei Microsoft richtig gut. email, passwort und dann noch die bestaetigung in der app auf dem Smartphone.
 
@Calippo: Jo, TOTPs haben den spektatulären Vorteil daß sie auch auf mehreren Geräten erzeugt werden können und keine Kommunikation, welche abgefangen werden könnte, benötigen.
 
Soweit ich weiss, hat man so etwas ähnliches schon beim mTAN-Verfahren versucht und war der Meinung das wäre sicherer als per Brief zugeschickte TAN-Listen. Kurz darauf haben die ersten Hacker per mTAN-Verfahren Geld von fremden Konten abgebucht, weil sie sich mit ihrem eigenen Handy im Netz des Providers einfach als das Mobiltelefon des eigentlichen Kontoinhabers ausgegeben haben und so an die per SMS zugeschickten Transaktionsnummern kamen.

http://www.zeit.de/digital/datenschutz/2013-10/online-banking-mtan-unsicher

Da der normale Passwortzugang bei Google bestehen bleibt wird die Sache erstmal überhauptnicht sicherer. Im Gegenteil. Es kommt ein zweites Authentifizierungsverfahren dazu. Wenn es also nicht so recht klappt mit dem Platzieren von Keyloggern auf den Geräten des Opfers und BruteForce-Angriffe auf das Passwort über Tage zu keinem Ergbnis führen, hat man dann als Hacker auch noch die Mobiltelefon-Authentifizierung, die man angreifen kann.

Überhaupt ist die ganze Sicherheitsdiskussion eine Luftnummer, denn die Endgeräte beim Kunden und auch die Server von Google sind nicht sicher, da sie Sicherheitslücken/Backdoors im System oder der darauf installierten Software haben. Ein möglicherweise sichereres Login-Verfahren würde die Sicherheit daher nicht erhöhen, wie auch ein Eimer mit tausend Löchern das Wasser nicht wirklich besser hält wenn man zwei Hand voll davon verschliesst.

Allerdings hat Google ein Problem richtig erkannt: Die Sicherheit der Passworte bei den Nutzern nimmt seit einigen Jahren immer weiter ab (und war vorher schon bei der Masse der Nutzer nicht besonders hoch).
Selbst jene meiner Bekannten, die sich jahrelang am PC harte Passwörter merken konnten, haben heute irgendwelche kurzen Passwörter, die oft ohne Sonderzeichen und sogar ohne Zahlen auskommen. Der Grund dafür sind heute massenhaft verkaufte, fehlkonstruierten Geräte, die zur Texteingabe unvollständige und nicht ertastbare Bildschirmtastaturen verwenden. Jeder der einmal versucht hat auf einem Touch-SmartPhone oder einem Touch-Tablet ein über 8 Zeichen langes Passwort mit sich darin abwechselnden Buchstaben, Zahlen und Sonderzeichen zu tippen weiß, dass er das nicht bei einem täglich mehrmals benutzten Account tun möchte, weil es einfach schon wegen des Flipperns durch mehrere Tastaturebenen ewig dauert. Noch dazu funktioniert 10-Finger-Blind-Schreiben auf den Displaytastaturen nicht, weil man die Tasten nicht erfühlen kann.

Ich habe mich über das Tablet eines Bekannten mal in meinen SFTP-Server einloggen müssen, der mit einem ziemlich "harten" Passwort gesichert ist. Ich habe gedacht ich erlebe es nicht mehr, dass ich mit dem über 20-stelligen Passwort aus kleinen und grossen Buchstaben, Zahlen und Sonderzeichen fertig werde. Wenn ich das auf einer PC-Tastatur tippe ist der Zeitaufwand dafür kaum der Rede wert. Ich würde mir daher nie ein reines Touch-Gerät kaufen.

Aber da muss sich Google eigentlich an seine eigene Nase fassen. Die bauen doch selber textbasierte Geräte auf denen man Text nur sehr umständlich eingeben kann und fabrizieren mit Android auch noch ein Betriebssystem für diese selbst zur Eingabe eines Passwortes ungeeigneten Fehlkonstruktionen. Schon lustig erst sowas als ganz tolle Innovation zu propagieren und dann mit den Sicherheitsproblemen die daraus erwachsen zu hadern und Krücken wie einen Login per SmartPhone erdenken.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.