Google führt Passkeys und mehr Sicherheitsfunktionen ein
von caschy | 7 Kommentare
Die Initiative rund um die passwortlosen Login-Möglichkeiten über Passkeys hatten wir schon einige Male beleuchtet. Unter anderem ist da auch Google mit am Start, ebenso Apple, Microsoft und weitere Unternehmen.
Was sind Passkeys?
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites und sind einfach zu verwenden.
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
Im Einklang mit dieser passwortlosen Vision der FIDO-Allianz kündigte Google heute an, dass es Passkeys für Chrome und Android einführen wird, sodass Benutzer Passkeys erstellen und verwenden können, um sich bei Android-Geräten anzumelden.
Die Nutzer können Passkeys auf ihren Smartphones und Computern speichern und sich damit passwortfrei anmelden. Erst einmal haben Entwickler unter Android und Chrome Zugriff auf die Funktionen und können diese in Apps und Diensten verwenden. Die allgemeine Verfügbarkeit für alle Nutzer von Android 9 und höher wird später im November folgen. Dies sei ein entscheidender Schritt für die breite Akzeptanz von Passkeys, die mit dem Google Password Manager zusammenarbeiten, um die Anmeldung auf Geräten, Websites und in Anwendungen weiter zu vereinfachen – unabhängig von der jeweiligen Plattform, so Google.
Auch die Zwei-Faktor-Authentisierung wird vereinfacht, so das Unternehmen:
2SV-Anmeldung mit dem Google Assistant: Fragen Sie einfach: „Hey Google, wie richte ich die 2-Schritt-Verifizierung ein?“ Wenn Sie noch nicht angemeldet sind, erinnert der Assistant Sie sogar daran, sich anzumelden, wenn Sie Fragen zum Datenschutz und zur Sicherheit stellen, z. B. „Hey Google, wie werden meine Daten geschützt?“ Wir erleichtern auch die Anwendung von Software-Updates – ein wichtiger Schritt zur Sicherung Ihrer Geräte – indem wir automatische Updates über Google Home aktivieren.
Sicherheitsstatus: Um die Sicherheit Ihres Kontos weiter zu erhöhen, machen wir den Sicherheitsstatus Ihres Google-Kontos in den Apps, die Sie täglich nutzen, als Teil Ihres Profilbildes leicht sichtbar. Wenn etwas in Ihrem Konto sicherheitsrelevant ist, erfahren Sie das sofort. Ein einfacher gelber oder roter Alarm weist Sie auf Maßnahmen hin, die Sie ergreifen sollten, um Ihr Konto zu schützen, sodass Sie nie wieder befürchten müssen, ein wichtiges Sicherheitsupdate zu verpassen.
Sicherheitseinblicke: Wir führen eine Funktion in der Google-App für iOS ein, die Ihnen standortspezifische Sicherheitsinformationen liefert – einschließlich einer Beschreibung der von der Website verwendeten Cookies, Warnungen für unsichere Websites und bald auch Erinnerungen für Passwörter, die möglicherweise kompromittiert wurden. Sie können auch auf das Tool „Ergebnisse über Sie“ zugreifen, mit dem Sie die Entfernung von Suchergebnissen beantragen können, die Ihre persönlichen Kontaktinformationen enthalten (z. B. Telefonnummern).
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wie funktioniert das Ganze bei Multidevices?
Beispiel: Ich registriere einen Account auf dem Mac und nutze Passkey. Der Schlüssel wird auf dem Mac gespeichert. Ich nehme an, über die Schlüsselbundverwaltung wird er mit anderen Enderäten im Apple-Ökosystem geteilt, sodass ich den auch auf dem iPad und dem iPhone und meinetwegen auf einem zweiten Mac (MacBook) nutzen kann (wobei das bei mir nicht immer funktioniert. Oft genug will ich mich auf dem iPhone irgendwo einloggen und dann ist im Schlüsselbund kein Passwort gespeichert, auf dem Mac aber doch).
Angenommen ich will mich dann mit meinem Account über ein Windows Gerät oder Android Phone einloggen. Wie kommen diese Geräte dann an den Passkey? Oder kann man den einfach kopieren?
Die Passkeys können zwischen Geräten ausgetauscht werden. Es gibt auch die Möglichkeit sich z.B. auf einem PC im Browser anzumelden und dafür den Passkey auf dem Mobiltelefon zu benutzen. Dafür scannt man einen QR-Code vom Bildschirm, der Rückkanal ist Bluetooth, der Passkey bleibt dabei immer auf dem Mobilgerät.
Mehr Info:
https://developers.google.com/identity/passkeys#demo
https://developer.apple.com/videos/play/wwdc2022/10092/
Mich würde interessieren, ob man vorhandene Accounts auf dieses System umstellen kann!
Davon gehe ich aus. Google macht gerade massive Anstrengungen die Logins der Kunden besser abzusichern. Ich bekomme gerade massiv Mails von diversen Google Accounts, dass jetzt für jeden alle Zugriffe zwangsweise auf 2F-Authentifizierung umgestellt werden. Also alle eventuellen Nutzer, die es noch nicht erledigt haben, werden jetzt dazu gezwungen.
Sobald Passkey stärker etabliert ist und stabil funktioniert, wird das ganz sicher für alle ausgerollt.
Das Ende der sicheren Passwortweitergabe innerhalb der Familie, z. B. für die hochbetagten Eltern. Und wehe, der Fingerabdruck oder die Gesichtserkennung schlägt fehl…
Klingt erst mal interessant; Ihr werdet uns ja jeweils rechtzeitig über Fortschritte informieren … 😉
Bei HBO Max gibt’s die gleiche Story nächstes Jahr noch mal, dann mit Elisabeth Olsen in der Hauptrolle:
https://en.wikipedia.org/wiki/Love_and_Death_(miniseries)