Getty Images
Google erleichtert Benutzern das Sperren ihrer Konten mit einer starken Multifaktor-Authentifizierung, indem es die Option hinzufügt, sichere kryptografische Schlüssel in Form von Passkeys statt auf physischen Token-Geräten zu speichern.
Das 2017 eingeführte Advanced Protection Program von Google erfordert die stärkste Form der Multifaktor-Authentifizierung (MFA). Während viele Formen der MFA auf einmaligen Passwörtern basieren, die per SMS oder E-Mail gesendet oder von Authentifizierungs-Apps generiert werden, erfordern Konten, die für den erweiterten Schutz registriert sind, MFA auf der Grundlage kryptografischer Schlüssel, die auf einem sicheren physischen Gerät gespeichert sind. Im Gegensatz zu einmaligen Passwörtern sind auf physischen Geräten gespeicherte Sicherheitsschlüssel immun gegen Anmeldedaten-Phishing und können nicht kopiert oder ausspioniert werden.
Demokratisierung der APP
APP, kurz für Advanced Protection Program, erfordert, dass dem Schlüssel ein Passwort beigefügt wird, wenn sich ein Benutzer auf einem neuen Gerät bei einem Konto anmeldet. Der Schutz verhindert Kontoübernahmen, die es vom Kreml unterstützten Hackern im Jahr 2016 ermöglichten, auf die Gmail-Konten demokratischer Beamter zuzugreifen und anschließend gestohlene E-Mails durchsickern zu lassen, um die Präsidentschaftswahlen in diesem Jahr zu stören.
Bisher verlangte Google, dass Benutzer über zwei physische Sicherheitsschlüssel verfügen, um sich bei APP anzumelden. Jetzt erlaubt das Unternehmen den Benutzern, stattdessen zwei Passkeys oder einen Passkey und einen physischen Token zu verwenden. Wer mehr Sicherheit wünscht, kann sich mit beliebig vielen Schlüsseln anmelden.
„Wir erweitern die Möglichkeiten, damit die Leute mehr Auswahl haben, wie sie sich für dieses Programm anmelden“, sagte Shuvo Chatterjee, Projektleiter für APP, gegenüber Ars. Er sagte, der Schritt sei eine Reaktion auf Kommentare, die Google von einigen Nutzern erhalten habe, die sich entweder den Kauf der physischen Schlüssel nicht leisten könnten oder in Regionen lebten oder arbeiteten, in denen sie nicht verfügbar seien.
Wie immer müssen Benutzer weiterhin über zwei Schlüssel verfügen, um sich zu registrieren, um zu verhindern, dass ihre Konten gesperrt werden, wenn einer davon verloren geht oder kaputt geht. Während Sperrungen immer ein Problem darstellen, können sie für APP-Benutzer viel schlimmer sein, da der Wiederherstellungsprozess viel strenger ist und viel länger dauert als bei Konten, die nicht im Programm registriert sind.
Passkeys sind die Gründung der FIDO Alliance, einer branchenübergreifenden Gruppe bestehend aus Hunderten von Unternehmen. Sie werden lokal auf einem Gerät gespeichert und können auch in derselben Art von Hardware-Token gespeichert werden, auf dem MFA-Schlüssel gespeichert sind. Passschlüssel können nicht vom Gerät extrahiert werden und erfordern entweder eine PIN oder einen Scan eines Fingerabdrucks oder Gesichts. Sie bieten zwei Authentifizierungsfaktoren: etwas, das der Benutzer weiß – das zugrunde liegende Passwort, das bei der ersten Generierung des Passkeys verwendet wurde – und etwas, das der Benutzer hat – in Form des Geräts, auf dem der Passkey gespeichert ist.
Natürlich gehen die gelockerten Anforderungen nur so weit, dass Nutzer weiterhin über zwei Geräte verfügen müssen. Aber durch die Erweiterung der benötigten Gerätetypen wird APP zugänglicher, da viele Menschen bereits über ein Telefon und einen Computer verfügen, sagte Chatterjee.
„Wenn Sie sich an einem Ort befinden, an dem Sie keine Sicherheitsschlüssel bekommen, ist das bequemer“, erklärte er. „Dies ist ein Schritt zur Demokratisierung des Zugriffs (Benutzer) auf diese höchste Sicherheitsstufe, die Google bietet.“
Trotz der zunehmenden Prüfung, die mit dem Wiederherstellungsprozess für APP-Konten verbunden ist, erneuert Google seine Empfehlung, dass Nutzer eine Telefonnummer und eine E-Mail-Adresse als Backup angeben.
„Am sichersten ist es, mehrere Dinge gespeichert zu haben. Wenn Sie also den Sicherheitsschlüssel verlieren oder der Schlüssel explodiert, haben Sie eine Möglichkeit, wieder auf Ihr Konto zuzugreifen“, sagte Chatterjee. Er liefert keine „geheimen“ Details darüber, wie der Prozess funktioniert, sagte aber, dass es „unzählige Signale gibt, die wir betrachten, um herauszufinden, was wirklich passiert.“
„Selbst wenn Sie über ein Wiederherstellungstelefon verfügen, erhalten Sie mit einem Wiederherstellungstelefon allein keinen Zugriff auf Ihr Konto“, sagte er. „Wenn Sie also die SIM-Karte austauschen lassen, bedeutet das nicht, dass jemand Zugriff auf Ihr Konto erhält. Es ist eine Kombination verschiedener Faktoren. Es ist die Summe davon, die Ihnen auf Ihrem Weg zur Genesung helfen wird.“
Google-Nutzer können sich über diesen Link für die APP anmelden.
