Google hat die passwortlose Anmeldung für alle Google-Konto-Nutzer weltweit freigeschaltet. Das auf dem Sicherheitsstandard FIDO2 basierende Verfahren bietet nach Angaben des Unternehmens „den stärksten Schutz vor Bedrohungen wie Phishing.“ Die Passkeys können ganz einfach in den Google-Einstellungen aktiviert werden.
Was steckt hinter dem Passkey-Verfahren?
Da Passwörter vergessen oder gehackt werden könne, stellen sie stets eine potenzielle Gefahr dar. Die drei Tech-Giganten Google, Microsoft und Apple arbeiten daher bereits seit langer Zeit an neuen Anmeldeverfahren, die ganz ohne Passwort auskommen. Vor rund einem Jahr gaben die Unternehmen dann bekannt, dass der FIDO2-Standard als neues Anmeldeverfahren zum Einsatz kommen soll. Mit der weltweiten Einführung der Passkeys für Google-Konten, setzt Google die passwortlose Anmeldung jetzt konsequent um. Nutzer könne jedoch auch weiterhin ein Passwort verwenden, um sich in ihren Account einzuloggen.
Wer kann das Verfahren nutzen?
Die Voraussetzung, um Passkeys nutzen zu können ist ein Laptop/PC mit Windows 10 oder höher, macOS Ventura oder Chrome OS 109. Bei Smartphones können Passkeys auf Geräten mit iOS 16 oder Android 9 genutzt werden. Darüber hinaus muss der Hardware Sicherheitsschlüssel das FIDO2-Protokoll unterstützen. Wer Passkeys auf einem Mobilgerät oder PC verwenden möchte, benötigt hierfür einen mindestens den Browser Chrome 109, Safari 16 oder Edge 109.
Wie funktioniert die passwortfreie Anmeldung?
Hinter dem Anmeldeverfahren steckt eine Public-Key-Kryptografie mit zwei Schlüsselpaaren. Bei dem einen Schlüssel handelt es sich um den privaten Schlüssel, welcher vom jeweiligen User des Google-Kontos gespeichert wird. Der andere Schlüssel ist der öffentliche, der beim Anbieter, in diesem Fall also bei Google liegt. Hinter dem kryptografischen Schlüssel steckt ein einzigartiger Code, der die Anmeldung ermöglicht. Der Nutzer muss beispielsweise sein Smartphone, das als Passkey verwendet werden soll, einmalig als „vertrauenswürdiges“ Gerät einrichten. Der User kann frei wählen, ob er sich über seinen Fingerabdruck, einen Gesichtsscan oder eine PIN ausweisen will. Ist das entsprechende Smartphone mit dem Google-Konto verbunden, kann sich der User jetzt über sein Smartphone ausweisen. Wer sich zum Beispiel das erste Mal auf einem PC anmelden will, dem wird ein QR-Code angezeigt, der mit dem Smartphone gescannt werden muss. Dies ist jedoch nur bei der ersten Anmeldung notwendig. Wenn es sich bei dem PC um ein Gerät handelt, das ebenfalls vom Nutzer selbst verwaltet wird, kann auch auf diesem Gerät ein Passkey erstellt werden. Die Verwendung von Passkeys für das Google-Konto haben zudem den Vorteil, dass sich der Nutzer auch bei zahlreichen Diensten von Drittanbietern passwortlos anmelden kann. Denn die Anmeldung über das Google-Konto ist bei vielen Anbietern mittlerweile verfügbar. Auch hier ist es dann nicht mehr notwendig, ein Passwort einzugeben.
Warum bieten Passkeys ein hohes Maß an Sicherheit?
Die Verwendung von PIN, Fingerabdruck oder Gesichtsscan ist sehr sicher. Laut Studien liegt die Trefferquote solcher biometrischen Systeme bei deutlich mehr als 99 Prozent. Während ein Passwort sehr leicht geknackt werden kann, ist die Überlistung eines Fingerabdrucksensors oder eines Gesichtsscans demnach äußerst aufwendig. Darüber hinaus bieten Passkeys den entscheidenden Vorteil, dass sie nicht missbraucht oder gestohlen werden können. Denn das passwortlose Einloggen ist stets an das physische „vertrauenswürdige“ Gerät gebunden. Das bedeutet, dass auch ein physischer Zugriff auf das Smartphone oder ein anderes Gerät notwendig wäre, um an den Passkey zu gelangen. Dennoch weist Google auf seiner Website darauf hin, dass Passkeys immer nur auf privaten Geräten erstellt werden sollten, die vom Nutzer auch selbst verwaltet werden. Denn wer beispielsweise das Smartphone entsperren kann, kann sich damit auch im Google-Konto anmelden. Sollte eines der als „vertrauenswürdig“ eingerichteten Geräte daher verloren gehen oder gestohlen werden, sollte der Nutzer sich in seinem Google-Konto anmelden und den entsprechenden Passkey entfernen, der mit dem gestohlenen Gerät verknüpft ist.
Hinterlasse jetzt einen Kommentar