Neue Login-Methode der Tech-Giganten

Passwort vergessen? Egal

tgab

5.5.2022

Young Asian woman logging in to her laptop and holding smartphone on hand with a security key lock icon on the screen, sitting in the living room at cozy home. Privacy protection, internet and mobile security concept
Die Tech-Branche will mit neuen Log-in-Methoden sicherstellen, dass sensible Daten künftig nicht mehr allein durch ein Passwort geschützt werden. Das hat Vorteile für den Nutzer.
Getty Images

Ein Übel weniger: Apple, Google und Microsoft wollen sichere Anmeldeverfahren erleichtern, die beim Einloggen ohne ein Passwort auskommen.

tgab

5.5.2022

Die Nutzung von Apps, Websites und Geräten ist in letzter Zeit dank der Zwei-Faktor-Authentifizierung zwar sicherer, aber auch nervenaufreibender geworden. Nun soll das Passwort verschwinden und die Anmeldung schneller und einfacher vonstattengehen. Das haben die Tech-Unternehmen Apple, Google und Microsoft am heutigen Welt-Passwort-Tag angekündigt.

Warum soll das Passwort verschwinden?

Die Branche will mit neuen Log-in-Methoden auf Basis des Fido-Standards sicherstellen, dass sensible Daten künftig nicht mehr allein durch ein – häufig allzu einfach gewähltes – Passwort geschützt werden. Experten weisen seit Jahren darauf hin, dass selbst komplexe Passwörter, die aus mehreren Buchstaben, Zahlen und Sonderzeichen bestehen und regelmässig geändert werden, unsicher sind. Darüber hinaus lässt die neue Methode Phishing-Attacken, bei denen die Zugangsdaten geklaut werden, ins Leere laufen.

Wie funktioniert die Anmeldung ohne Passwort?

Die Authentifizierung läuft direkt über das jeweilige Gerät, das die jeweilige Person als autorisierten Nutzer erkennt. Je nach Hardware funktioniert das über den zuvor eingescannten Fingerabdruck, Gesichtserkennung, die Geräte-PIN oder einen USB-Sicherheitsschlüssel. Auch eine Bestätigung über das Smartphone beim Einloggen in den Computer ist möglich. Sobald man sich auf diese Weise als rechtmässiger Besitzer identifiziert hat, generiert das Gerät einen privaten digitalen Schlüssel. Für jede Website und jede App, bei der man sich mit der Methode anmeldet, wird automatisch ein zweiter, öffentlicher Schlüssel erzeugt. Nur wenn beide Schlüssel zusammenpassen, ist ein Log-in möglich.

Worin liegt der Vorteil für die Nutzer*innen?

Kriminellen nutzt es nichts mehr, wenn sie Log-in-Daten von einer Website stehlen. Ohne den privaten Schlüssel der Nutzer*innen sind die öffentlichen Schlüssel wertlos. Der private digitale Schlüssel funktioniert wie ein Passwort – mit dem entscheidenden Unterschied, dass er automatisch gespeichert wird. Das bedeutet: Man muss sich keine kryptische Zahlen-Buchstaben-Sonderzeichen-Kombination mehr merken.

Kann ich mich mit mehreren Geräten anmelden?

Die aktuelle Ankündigung erweitert den Fido-Standard darüber hinaus um zwei neue Funktionen: Zum einen können Benutzer auf mehreren und auch auf neuen Geräten automatisch auf die Zugangsdaten zugreifen – ohne dass sie sich für jeden Account neu anmelden müssen. Dafür wird quasi ein Back-up des privaten Schlüssels in der Cloud abgelegt, damit man von anderen Geräten aus darauf zugreifen kann. Ein solcher Abgleich wird bereits heute schon mit Passwörtern gemacht, die sich in den Browsern von Apple, Google und Microsoft speichern lassen.

Ausserdem können Nutzer die Authentifizierung auf ihrem Mobilgerät verwenden, um sich bei einer App oder Website auf einem ihrer Geräte in der Nähe anzumelden – unabhängig vom verwendeten Betriebssystem oder Browser. Dafür müssen die Geräte per Bluetooth miteinander verbunden sein. Das Smartphone dient dann als Schlüsselträger, bei dem man sich wiederum biometrisch als rechtmässiger Nutzer ausweist.

Ist das auch sicher?

Hardware-Voraussetzung für die passwortlose Anmeldung ist ein Sicherheitschip, der die Schlüssel erst freigibt, wenn sich der Nutzer identifiziert hat. Die Methode ist zusätzlich mit dem Betriebssystem verzahnt. Sie ist zwar nicht unknackbar, aber mindestens so sicher wie ein gut geschützter Passwortmanager.

Ab wann kann ich die Methode nutzen?

Google, Microsoft und Apple wollen die neue Methode im Lauf eines Jahres in ihre Betriebssysteme einbauen.