Heute ist der berühmt-berüchtigte Welt-Passwort-Tag. Der Tag, an dem wir an jeder Ecke des Internets daran erinnert werden, immer schön unser Passwort zu ändern. Doch davon abgesehen, dass die Sinnhaftigkeit dieser Methode schon seit Jahren in Frage gestellt wird, haben wir in Zeiten von Passwort-Managern und 2-Faktor-Authentifizierung ohnehin viel bessere Möglichkeiten, unsere Accounts zu schützen. Aber was wäre, wenn es in Zukunft überhaupt kein Passwort mehr geben würde?
Dieses Ziel verfolgt zumindest die FIDO-Allianz, bestehend aus einigen milliardenschweren Internetkonzernen wie Google, Microsoft und Apple. Ihrer Vision nach werden die guten alten Passwörter in naher Zukunft durch digitale Sicherheitsschlüssel ersetzt. Das soll die Sicherheit um ein Vielfaches erhöhen.
Account-Diebstahl erschweren
Die Idee dahinter lautet wie folgt: jeder Nutzer bekommt einen kryptografischen Hauptschlüssel verliehen. Dieser wird beispielsweise in einem besonders abgesicherten Bereich des Speichers abgelegt, kann aber auch physisch in Form eines separaten USB-Dongles verstaut werden.
Bei jeder Registrierung auf einer Webseite wird nun ein weiterer Schlüssel erzeugt. Und nur wenn beide Schlüssel zusammenpassen, also sowohl der private als auch der öffentlich generierte der jeweiligen Webseite, erhält man Zugriff auf das entsprechende Konto. Angreifern nützt es also nichts, wenn sie den öffentlichen Schlüssel der Webseite stehlen können. Denn ohne den Hauptschlüssel ist dieser nutzlos.
Dieses System ist schon seit einigen Jahren im Einsatz, wird allerdings nur sehr sporadisch genutzt. Das soll sich nun ändern. Apple, Microsoft & Google wollen es in den kommenden Monaten flächendeckend implementieren und in einer vereinfachten Form an die Nutzer verteilen. Der Hauptschlüssel wird dann auf dem Smartphone, beziehungsweise als Backup in der Cloud gespeichert.
“Um euch auf eurem Computer auf einer Website anzumelden, müsst ihr nur euer Telefon griffbereit haben. Denn dann werdet ihr aufgefordert, das Telefon für den Zugriff zu entsperren. Sobald ihr das getan habt, braucht ihr das Telefon nicht mehr und könnt euch anmelden, indem ihr einfach euren Computer entsperrt. Selbst wenn ihr euer Telefon verliert, werden eure Passkeys aus der Cloud-Sicherung sicher mit eurem neuen Telefon synchronisiert, sodass ihr genau dort weitermachen könnt, wo euer altes Gerät aufgehört hat”, heißt es dazu in einem offiziellen Blogbeitrag von Google. Passwörter werden wir dann keine mehr eingeben müssen.
Quelle: Google
Größter bullshit. Ich bin froh, wenn ich nach der Arbeit, mein Handy nicht mehr sehen muss. Meine Passwörter sind auch so “gut” gesichert.
Auf keinen Fall gibt es von mir Daten vom Telefon um am Computer zu Arbeiten.