Google führt 2-Faktor-Authentifizierung ein
In den nächsten Tagen sollen alle Google-Nutzer die Möglichkeit erhalten, auf ein sicheres Login-Konzept umzusteigen.
Passwörter sind eine kritische Schwachstelle Web-basierter Dienste. Mit einem optionalen 2-Faktor-Login hebt Google das Sicherheitsniveau seiner Plattform auf ein neues Niveau. Google will das Verfahren innerhalb der nächsten Tage allen Google-Nutzern anbieten.
(Bild: Google)
In einem Blog-Beitrag kündigen die Google-Techniker ein neues, optionales Login-Verfahren an, das neben dem Passwort auch noch die Eingabe eines Prüfcodes erfordert. Diesen erzeugt entweder eine Smartphone-App, oder Google schickt ihn via SMS an eine hinterlegte Nummer. Damit sind zwei unabhängige Faktoren für den Login erforderlich: Man muss nicht nur das Passwort wissen, sondern auch noch Zugang zum vorher definierten Handy haben.
Dass sich mit Passwörtern allein eigentlich kein ausreichendes Sicherheitsniveau realisieren lässt, ist seit Längerem bekannt. Knacksichere Passwörter kann man sich nicht merken – jedenfalls nicht in ausreichender Zahl. Und selbst ein 20-stelliges Passwort aus zufälligen Zeichen schützt nicht mehr, wenn man sich auf dem PC einen Trojaner eingefangen hat, der es bei der Eingabe einfach mitliest. Deshalb muss ein zusätzliches Überprüfungsverfahren her, das unabhängig funktioniert.
Bereits vor vier Jahren unternahm eBay einen Vorstoß, gemeinsam mit Tochterunternehmen Paypal zur sicheren Authentifizierung Einmal-Passwörter großflächig einzuführen. Das scheiterte damals vor allem daran, dass man dazu erst mal ein spezielles Token kaufen und dann immer mit sich führen musste. Mit der Verbreitung von Smartphones lassen sich Passcode-Generatoren als Apps realisieren, und die Einstiegshürde wird deutlich niedriger.
Google schätzt den einmaligen Aufwand für die Einrichtung des 2-Faktor-Logins auf etwa 15 Minuten. Hinzu kommt der zusätzliche Aufwand bei jedem einzelnen Login. Den bereits verfügbaren Screenshots ist zu entnehmen, dass Google hier Kompromisse eingehen will und es erlaubt, einen Computer so zu aktivieren, dass man den Prüfcode nur alle 30 Tage eingeben muss. Auch wenn man an der Umsetzung im Laufe der Zeit noch Anpassungen vornehmen muss, signalisiert Google mit diesem Schritt sehr deutlich, dass man das Passwort-Problem jetzt wirklich in Angriff nehmen will. (ju)
