Geht es um die Absicherung der eigenen Online-Accounts, ist von Experten immer wieder der selbe Ratschlag zu hören. Neben einem guten und vor allem ausreichend langen Passwort sollte man überall, wo es möglich ist, Zwei-Faktor-Authentifizierung (2FA) einsetzen. Diese sorgt dafür, dass bei jedem neuen Login noch ein zweiter Faktor wie eine SMS oder auch ein eigener USB-Sicherheitsschlüssel verlangt wird.

Grundlegende Probleme

Doch nicht alle 2FA-Methoden sind gleich ratsam. So stellen sich etwa bei der Nutzung von SMS gleich mehrere Probleme. Einerseits zeigen aktuelle Phishing-Attacken sehr gut, dass Angreifer darauf mittlerweile recht gut vorbereitet sind, und bereits im großen Stil auch solche Codes abfangen und dann zur Übernahme eines Accounts nutzen. Zudem liefert man damit aber dem jeweiligen Plattformanbieter auch weitere Daten. So ist etwa von Facebook bekannt, dass die eigentlich für Zwei-Faktor-Authentifizierung hinterlegten Daten auch für andere Zwecke genutzt wurden.

Ratsamer ist da die Wahl von physischen Sicherheitskeys, die etwa über den USB-Port oder auch via Bluetooth oder NFC mit Computer oder Smartphone verbunden werden können. Doch einerseits muss man diese zusätzlich käuflich erwerben, andererseits dann auch mit sich herumtragen. Nun will Google ein System bieten, das eine vergleichbare Sicherheit bietet, aber erheblich einfacher zugänglich ist.

Android als Schlüssel

Ab sofort ist es möglich, alle Android-Smartphones ab der Version 7.0 des Betriebssystems als Sicherheitsschlüssel zu verwenden. Wird ein Login auf den eigenen Account versucht, bekommt man dann also am Smartphone ein Nachricht, die man annehmen oder ablehnen kann. Ähnliches war bisher schon über ein System namens Google Prompt möglich, ein entscheidender Unterschied hier ist aber, dass eine physische Nähe zwischen beiden Geräten notwendig ist. Zu diesem Zweck muss bei beiden auch Bluetooth aktiviert sein.

Android

Google ist von der Sicherheit des neuen Ansatzes jedenfalls überzeugt, und empfiehlt ihn sogar jenen Nutzern, die am "Advanced Protection Program" teilnehmen. Dabei handelt es sich um eine optionalen Service, mit dem der Google-Account verschärften Sicherheitsbedingungen unterlegt wird, und der vor allem für besonders gefährdete Personengruppen wie Aktivisten, Politiker oder Journalisten gedacht ist. In diesem Rahmen war es bisher nur möglich klassische Sicherheits-Keys zu verwenden.

FIDO

Zum Start ist diese Methode nur für den Google-Account verfügbar, und auch noch auf den Chrome-Browser beschränkt. Da sie aber – wie andere Sicherheitsschlüssel auch – den FIDO Authentifizierungsstandard implementiert, könnte die Methode künftig auch von anderen Browsern und Webseiten genutzt werden. Derzeit sei man aber noch im Prozess einer offiziellen Zertifizierung, wie Google gegenüber The Verge betont.

Viele Details

Was die Plattformunterstützung anbelangt gibt es noch das eine oder andere Detail anzumerken: Am besten funktioniert diese Login-Method nämlich mit Googles eigenem Pixel 3, da hier ein eigener Sicherheitschip namens Titan M zum Einsatz kommt. In diesem Fall reicht dann ein Druck auf den Lautststärkeknopf, um einen Login zu autorisieren. Möglich wird dies, da der Chip garantieren kann, dass ein Knopfdruck wirklich physisch erfolgt ist, und nicht nur simuliert wurde. Der Chrome-Support ist wiederum mit Einschränkungen verbunden, Linux und ältere Windows-Versionen finden sich nämlich nicht in der Liste. Konkret werden aktuelle Ausgaben von Chrome OS, mac OS und Windows 10 als Minimum angegeben. (Andreas Proschofsky, 11.4.2019)