Google experimentiert an neuen Login-Mechanismen

19. Januar 2013 Kategorie: Google, Hardware, Internet, geschrieben von: Patrick Meyhöfer

Google entwickelt intern mal wieder an der Verbesserung der Sicherheit von unseren Benutzerkonten. Nachdem man vor knapp 2 Jahren die 2-Faktor Authentifizierung einführte, bestehend aus Passwort und einem zeitlich begrenzten PIN,  experimentiert man nun mit einem physikalischen Gerät, welches das normale Passwort ersetzten soll.

USB Yubico

In einem Forschungsbericht, der Wired vorliegt, beschreiben zwei Google Mitarbeiter die Risiken der bisherigen Login-Verfahren. Passwörter und einfache Cookies seien in der heutigen Zeit nicht mehr ausreichend, um eine Kompromittierung des Accounts sicher zu verhindern.

Damit haben sie meiner Meinung nach vollkommen recht. Die Schwächen mit Benutzername/Passwort sieht man immer häufiger, wenn Millionen an Benutzerdaten gestohlen worden, weil die Passwörter zum einen relativ schwach waren, aber auch die viel leistungsfähigere Hardware plus mietbare Cloud-Ressourcen  größeren Erfolg bei einem Brute-Force-Angriff versprechen.

Daher hat man sich für die Entwicklung eines verschlüsselten Chips entschieden, der beispielsweise in einem USB-Stick untergebracht werden kann. Auf diesem ist dann der geheime Schlüssel abgespeichert, der die Logindaten des Accounts enthält. Sobald man den Stick in den PC einsteckt, wird man über den Chrome Browser in seinem Google-Account angemeldet.

Hierfür arbeitet man mit der Firma Yubico zusammen, die ein solches Verfahren bereits mit Google Apps Accounts umsetzen.

Yubico-saml-login2

In einem nächsten Schritt kann man sich auch drahtlose Techniken vorstellen. So erwähnt man beispielsweise das Smartphone oder einen Ring am Finger, der die Logindaten an den PC überträgt. Man werde zwar nicht gänzlich ohne Passwörter auskommen, jedoch soll die Zeit der schwer zu merkenden Passwörter beendet werden.

Man erhofft sich allerdings nicht alleine mit dem Versuch dazustehen, sondern will ein, bisher ohne konkreten Namen, offenes Protokoll veröffentlichen, damit jeder das neue Verfahren implementieren kann. Dies wird dann allerdings von einem Browser abhängig sein, der dieses Protokoll auch unterstützt.

Ich bin nicht gänzlich überzeugt von dem Konzept. Zwar ist ein Angriff, z.B. Phishing, von außen geschützt. Die Gefahr des Diebstahls oder Verlust des Schlüssels ist allerdings dennoch möglich. Die 2-Faktor-Authentifizierung finde ich aktuell attraktiver, allerdings dürfte sich Google einige Gedanken darüber gemacht haben und man sollte das fertige Produkt abwarten. [via, Quelle]

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Patrick Meyhöfer

#Linux, #Ubuntu, #OpenSource #Android sind meine Themen. Du findest mich auch auf Twitter und Google+. Zudem schreibe ich Beiträge für freiesMagazin und auf meinem Blog Softwareperlen .

Patrick hat bereits 404 Artikel geschrieben.