Passwörter sind eine einfache Methode, den Zugang zu einem Online-Dienst für eine Person zu ermöglichen. Doch die teils großangelegten Hacks der vergangenen Jahre haben deutlich gemacht, dass dieses System heute nicht mehr sicher genug ist. Davon ist man jedenfalls bei Google überzeugt. Das Unternehmen arbeitet neuen Methoden, wie sich Nutzer in Zukunft bei Online-Diensten anmelden können, berichtet Wired.

Authentifizierung per Hardware

In einer Arbeit, die im Jänner im Magazin IEEE Security & Privacy erscheinen wird, zeigen Googles Vice President of Security Eric Grosse und Entwickler Mayank Upadhyay verschiedene Möglichkeiten der Authentifizierung. Nutzer sollen in Zukunft ein Zugangsgerät wie eine Art Schlüssel zu ihren Web-Mail-, Social-Network- und anderen Online-Accounts nutzen.

Die primäre Art der Authentifizierung soll über das Gerät erfolgen. In mehreren Unternehmen ist das bereits der Fall, für die Privatnutzung haben sich solche Tokens aber noch nicht durchgesetzt. Für eine breite Akzeptanz unter den Nutzern, ist es nötig, dass sich Website- und Dienste-Anbieter Googles Initiaitve anschließen.

USB-Sticks oder Login-Ringe

Als Beispiel nennen die Forscher etwa kleine USB-Sticks, Smartphones oder eine Art Login-Ring mit integrierter Smartcard, den man nur kurz an den Computer halten muss. Ganz ohne Passwörter wird es auch dann nicht gehen. Aber es soll nicht mehr die Notwendigkeit bestehen, besonders komplexe Passwörter für mehr Sicherheit zu kreieren.

Google hat bereits ein Protokoll für eine Geräte-basierte Authentifizierung entwickelt. Das noch namenlose Protokoll sei unabhängig von Googles Dienste und Software. Voraussetzung sei nur ein Browser, der es unterstützt. Damit sollen auch Phishing-Angriffe abgewehrt werden können, bei denen Angreife bekannte, seriöse Seiten nachbauen, um an die Logindaten der Nutzer zu gelangen.

Zwei-Wege-Authentifizierung

Bis der Nachfolger des Passworts gefunden ist, wird Nutzern geraten eine Zwei-Wege-Authentifizierung zu nutzen, wie sie Google oder auch Facebook anbieten. Dabei erhalten Nutzer bei jedem Login-Versuch von einen neuen Computer oder Smartphone aus einen einmaligen Code per SMS, den sie zusätzlich zum normalen Login eintippen müssen.

Abschreckendes Beispiel

Diese Art der Account-Sicherung sei laut Grosse für Gmail besonders stark in Anspruch genommen worden, nachdem Wired-Autor Mat Honan geschildert hatte, wie sein komplettes digitales Dasein durch eine Hacker-Attacke ausradiert worden war. Hacker hatten seinen Gmail-Account geknackt, sein iPhone, iPad und Computer per Fernzugriff gelöscht und seinen Twitter-Account übernommen.

Mit der Zwei-Wege-Authentifizierung oder einer noch sichereren Login-Methode wäre das in diesem Umfang nicht passiert, ist man bei Google sicher. Allerdings hatten die Angreifer unfreiwillige "Hilfe" durch einen Support-Mitarbeiter bei Apple. Bei menschlichen Fehler oder Unachtsamkeiten dürften auch in Zukunft die sichersten Zugangsmethoden keinen 100-prozentigen Schutz bieten. (red, derStandard.at, 20.1.2013)