Google Glasses, Google-Schuhe, vielleicht auch bald ein goldener Ring von Google? Der Suchmaschinenkonzern will zwar nicht wirklich ins Mode- und Juweliergeschäft einsteigen, arbeitet aber an einer interessanten Variante um Passwörter durch eine sichere Alternative zu ersetzen, die über herkömmliche Security-Token hinausgehen soll.
Hacks ohne Ende
Gerade derzeit mag man ja das Gefühl haben, dass die Sicherheit im Internet leidet – kaum eine Woche vergeht ohne dass irgendwelche Unternehmen oder Twitter-Accounts gehackt werden. Vorerst jüngste Opfer sind Promis und Politiker wie Ashton Kutcher, Beyoncé, Joe Biden und Michelle Obama, deren Privatadressen, Telefonnummern und Kreditkartenhistorie gestern veröffentlicht worden sind.
Wahrscheinlich wird es solche Fälle auch noch in der Zukunft geben, doch ungeachtet dessen hat Google das Thema Passwortsicherheit für sich entdeckt. Zwar hat man schon letztes Jahr bei Gmail ein Zweistufen-Verfahren eingeführt, bei dem man bei jedem Login einen zweiten Code aufs Handy geschickt bekommt, doch vielen Usern ist das zu aufwändig. Daher soll man sich künftig mittels einem Ring am Finger authentifizieren, der im Prinzip eine Art kleiner und erweiterter USB-Stick ist.
Kryptografischer Schlüssel ersetzt statisches Passwort
Grundsätzlich sollen auf dem Stick keine statischen Passwörter gespeichert werden, sondern einen kryptografischen Schlüssel, der über einen mathematischen Algorithmus den Träger identifiziert. Die Passwortabfrage soll im Browser passieren, sodass keine Installation von Drittsoftware nötig ist. Momentan betrifft so etwas ja weitestgehend sämtliche Web-Dienste vom Twitter-Account bis hin zu Online-Banking, doch Googles Vorstellungen zufolge sollen sämtliche Webseiten und Entwickler auf die sichere Variante setzen.
Für Singles und Geschiedene soll als Alternative zum Ehering die Technologie auch im Smartphone eingesetzt werden, wobei sich mir die Frage stellt, warum man dann nicht gleich auf das Handy, einen Schlüsselanhänger oder Ähnliches setzt. Etwa wie yubico – ein Unternehmen, das mit dem YubiKey NEO bereits seit Ende letztes Jahres eine Sicherheitslösung anbietet, die den Google-Vorstellungen ansonsten erstaunlich ähnlich ist. Preis: 50 Dollar.
Was machen, wenn der Ring verloren geht?
Das Google-Projekt ist hingegen noch in einem sehr frühen Stadium. Aber die Idee alle Passwörter durch ein Master-Passwort oder –gerät zu ersetzen, ist ja erst einmal weder neu noch falsch. Wäre da nicht unverändert das Master-Problem – Hacker brauchen nur noch ein Passwort oder Gerät, um sich Zugang zu sämtlichen geschützten Daten zu verschaffen.
Wer zu viele Gangster-Filme geschaut hat oder sonst über eine blühende Phantasie verfügt, dürfte sich auch vorstellen, dass Geschäftsmänner in Zukunft deutlich gefährlicher leben und hin und wieder den ein oder anderen Ringfinger verlieren. Aber gut, zurück ins Reich der Realität.
Auch wenn Google nicht ins Detail geht, wie einem eventuellen Missbrauch vorgebeugt werden kann, sehe ich noch sehr viele Hindernisse auf dem Weg zur passwortfreien, aber sicheren Ring-Zukunft. Nicht nur müssen Szenarien entworfen werden, wie ein Verlust oder Diebstahl des Rings gehandhabt wird, auch muss natürlich eine kritische Masse an Webseiten, Software-Entwicklern und nicht zuletzt Usern auf die Alternative umschwenken.
Wieso keinen Fingerabdruck-Scan?
Hinzu kommt natürlich, dass gerade in Hochsicherheitsbereichen auf Alternativen wie biometrische Scans gesetzt wird – von der Iris über die Stimmfrequenz bis hin zum obligatorischen Fingerabdruck. Weshalb sich der nicht im Privatbereich durchgesetzt hat ist mir allerdings schleierhaft. Zusammen mit einer Wärmeerkennung oder einer Art Pulserkennung am Daumen müsste man doch auch Gangster-Phantasien á la Hollywood zuvorkommen können?
Das wäre mir jedenfalls deutlich lieber als ein Ring. Denn meinen Daumen verliere ich eher selten.
Bild: Flickr / MShades (CC BY-ND 2.0)
gibt schon genug anbieter die so eine Lösung im (einer Art) Stick anbieten.
PS: achtet jemand bei euch überhaupt auf die Kommentarrichtlinien?
Ja, tun wir. Meinst du was bestimmtes? 🙂
Weshalb sich Fingerabdrücke nicht im Privatbereich durchsetzen? Weil ein günstiger (und wir reden hier von zB zweistelligen Kosten statt 4stellig aufwärts) Fingerabdruckscanner leicht auszutricksen ist.
Selbiges gilt für biometrische Bilder: eine Webcam kann oft schon mittels eines vorgehaltenen Fotos getäuscht werden.
Wenn der Ring verloren geht? Nun ja, genauso deaktivieren wie man es mit allen anderen digitalen Tokens, Authentificator-Apps und Chip-Schlüsseln tun muss!
Ach so… JETZT verstehe ich endlich, wie das gemeint war… also von wegen:
„Ein Ring sie alle zu FINDEN!“ Wie passend… 😉
Da hat wohl jemand bei Google seinen Tolkien gelesen. :o)
Und das mit dem „alle Knechten“, das bekommt Google dann auch noch hin. 😉
Wahnsinn, wirklich beachtlich wie Google das Internet der Dinge für sich erkennt.
Die Idee mit dem Passwort-Ring ist ja mal wirklich genial
Die Idee dahinter ist sicherlich nicht schlecht. Nur wird es noch eine Menge Arbeit sein bis dies Praxisreif wird
Es besteht nicht nur die Gefahr um den Verlust Verlust oder Diebstahl des Rings, sondern noch schlimmer dessen Auslesen oder Dublikat herstellen, so das der Besitzer ahnungslos bleibt.
Der Trend zu Masterpassworten ist vermutlich sogar noch Gefährlicher, denn es gibt keine grundsätzliche Passwort oder Kryptografische Sicherheit, allenfalls auf Zeit.
Es wenn dieses einmal offen Akzeptiert wird statt nur immer weiter digital „Aufzurüsten“ können grundsätzliche Lösungen gefunden werden, in wie weit wir unser gesamtes Leben oder Sicherheit dem Computer anvertrauen sollten.
Wasn Schrott. Ich ziehe mir auch gerade so einen Ring an. Am besten noch wo dick und fett google draufsteht.
Ist der Arbeitstitel bei Google „Gollum“?
Hallo,
und heute lese ich:
Das Unternehmen Google hat angekündigt, zum 1. Juli 2013 die inzwischen nur noch stiefmütterlich geführte Suchmaschine gleichen Namens abzuschalten. Im Zuge des jährlichen Frühjahrsputzes („spring cleaning“) kündigte der Konzern in einem offiziellen Blog-Beitrag an, sich künftig auf wichtigere Produkte wie nerdige Brillen, selbstlenkende Autos, ein kaum genutztes soziales Netzwerk und sprechende Schuhe konzentrieren zu wollen.
LG
Olena Seregina
Kann sich noch jemand an das entfernte Auge im DaVinci-Code erinnern 🙂
Biometrie? Im Privatbereich?
Biometrische Merkmale können unbemerkt ausgelesen werden. Schließlich tragen wir sie immer mit uns rum und offenbaren sie bei jeder Gelegenheit (Wann hast Du das letzte mal ein Glas in einer Bar angefasst? Die Türklinke? Hmm?)
Genau so können von den prüfenden Systemen die Gegen-Parts verloren gehen. Mit solchen kopierten Daten könnten Clone erstellt werden. Eben daher werden diese Identifikationsmethoden nur im Hochsicherheitsbereich eingesetzt, in denen man auch den Authentisierungs-Server entsprechend gesichert hat – und nicht auf Mobiltelefonen, die eben mal geklaut und in Ruhe ausgelesen werden können. (Okay, die Vorsicht ändert sich gerade in der Öffentlichkeit).
Lebend-Erkennung ist bisher immer noch schwach oder sehr teuer. Käse-Scheibletten und Bleistifte vor Fotos um Blinzeln zu simulieren zeigen, dass die Gefahr groß ist, dass der große Entwicklungsaufwand mit kleinen Tricks umgangen werden können.
Der Fingerabdruck von Minister Schäuble ist inzwischen public. Wenn mal die biometrischen Daten geleakt sind und Clone hergestellt werden können, dann wird es eben sehr schwer, das Erkennungsmerkmal zu ändern.
Denn Deinen Daumen wechselst Du eher selten…