Google-Experten halten Passwörter für unsicher

AuthentifizierungSicherheit

Der für Sicherheit zuständige Vizepräsident und ein Google-Entwickler sprechen sich gegen Zwei-Faktor-Authentifizierung mit Passwort und Einmal-PIN aus. Stattdessen empfehlen sie die Nutzung von Smartcards. Die könnten ihnen zufolge auch in Smartphones oder einen Ring integriert sein.

Die Google-Mitarbeiter Eric Grosse und Mayank Upadhyay haben sich gegen die Verwendung von Passwörtern für den Zugang zu IT-Systemen und -Diensten ausgesprochen. In IEEE Security & Privacy: “Es ist Zeit, auf ausgefeilte Regeln für Passwörter zu verzichten und etwas Besseres zu suchen.” Als Alternative schlagen sie ein Hardware-Token vor. Das könnte zum Beispiel ein Ring sein. Der Artikel wird ab 28. Januar auch online bereitstehen, wie IEEE Security & Privacy mitteilt.

Die offene Kritik an der Authentifizierung mittels Passwörtern könnte ein Hinweis darauf sein, dass Google bereits Prototypen für andere Methoden vorbereitet (Bild: shutterstock).
Die offene Kritik an der Authentifizierung mittels Passwörtern könnte ein Hinweis darauf sein, dass Google bereits Prototypen für andere Methoden vorbereitet (Bild: shutterstock).

Grosse ist Googles Vizepräsident für Security, Upadhyay ein Entwickler. Ihrer Ansicht nach sind Google-Nutzer durch die bisher übliche Authentifizierung mit Namen und Passwort zu wenig geschützt. Als Alternative schlagen sie beispielsweise ein “USB-Token” vor, das in den Rechner gesteckt wird, um sich auszuweisen und auf Nutzerkonten zuzugreifen. Ein Passwort wäre dann nicht mehr nötig oder nur ergänzend erforderlich.

Google versucht Nutzer schon länger zur Zwei-Faktor-Authentifizierung zu überreden. Dabei wird ein Passwort mit Einmal-Code kombiniert, der ans Smartphone geschickt wird. Dem Aufsatz zufolge nutzen bereits “Millionen” Google-Nutzer dieses Prinzip. Man sei somit heute einer der größten Anbieter dieser Methode weltweit.

Doch auch diese Zwei-Faktor-Authentifizierung geht Grosse und Upadhyay nicht weit genug. Ein von ihnen als Authentifizierungsmethode vorgeschlagener Ring – oder ein anderer Gegenstand, der immer mitgeführt wird – könnte sich über Bluetooth oder NFC mit einem Rechner verbinden. “Zu den vielleicht ansprechenderen Formaten zählen eine Integration ins Smartphone oder in Schmuck, den Nutzer ohnehin tragen. Wenn es nach uns geht, könnten Sie einen neuen Rechner authentifizieren, indem sie das Smartphone oder einen mit einer Smartcard versehenen Ring darauflegen, auch wenn keine Mobilverbindung besteht.”

[mit Material von Casey Newton, News.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.