Google tötet Ihre Passwörter und Sicherheitsexperten sind (größtenteils) zufrieden

Eskere Guru

Aufforderung zum Google-Konto mit Erläuterung der Hauptschlüssel.

Google kommt der Abschaffung von Passwörtern immer näher. Die Lösung heißt „Passkeys“, eine einzigartige Form von Passwörtern, die lokal auf Ihrem Telefon oder PC gespeichert werden, genau wie ein physischer Sicherheitsschlüssel. Die Passkeys sind hinter einer Authentifizierungsebene geschützt, bei der es sich um Ihren Fingerabdruck oder Gesichtsscan handeln kann – oder einfach um ein Muster oder eine PIN auf dem Bildschirm.

Passkeys sind schneller, plattformübergreifend verknüpft und ersparen Ihnen die Mühe, sich Passwörter für Websites oder Dienste zu merken, die Sie abonniert haben. Das Risiko menschlicher Fehler ist geringer und das Risiko des Abfangens von 2-Faktor-Authentifizierungscodes ist ebenfalls geringer.

Google wurde in Zusammenarbeit mit Microsoft und Apple entwickelt und unternimmt nun die nächsten Schritte, um Passkeys zum Mainstream zu machen, indem es sie zur Standard-Anmeldeoption macht . Sie werden nicht gezwungen, Ihre üblichen Anmeldemethoden aufzugeben, aber wenn Sie Passkeys nicht bereits aktiviert haben , werden Sie dazu aufgefordert, wenn Ihr Google-Konto das nächste Mal für eine Anmeldeanfrage verwendet wird.

Warum Passkeys besser sind als Passwörter

Aufforderung zur Erstellung eines Passkeys für ein Google-Konto.

Passkeys verwenden einen sogenannten digitalen Handshake, bei dem mithilfe kryptografischer Methoden ein Paar Passwörter erstellt werden. Einer wird in der App oder im Webdienst gespeichert, während der andere beim Benutzer verbleibt und durch ein Passwort auf dem Gerät oder eine biometrische Authentifizierung geschützt ist. Es ist kein Zwei-Faktor-Code erforderlich und Sie müssen lediglich auf eine Eingabeaufforderung auf Ihrem Gerät tippen, um die Identitätsüberprüfung zu ermöglichen.

Trevor Hilligoss, der zuvor als Sicherheitsexperte beim FBI gearbeitet hat und derzeit die Sicherheitsforschung bei SpyCloud leitet, erklärt Digital Trends, dass Passkeys „von Natur aus stark sind und deshalb viele Sicherheitsteams diese Art der Verteidigung bevorzugen“. Der größte Vorteil besteht darin, dass sie bei Datenschutzverletzungen nicht wie ein durchschnittliches alphanumerisches Passwort verloren gehen. Das ist aus mehreren Gründen ein Problem, da eine alarmierend große Zahl digitaler Bürger dasselbe Passwort oder eine vorhersehbar veränderte Form davon für verschiedene Dienste wiederverwendet.

Passkeys sind schneller (laut Google bis zu 40 %), sicherer und bequemer. Aber Hilligoss warnt davor, dass sie nicht gerade ein Allheilmittel für die digitale Sicherheit sind. „Cyberkriminelle passen sich schnell an diese Technologie an, indem sie ihren Fokus vom Stehlen von Kontoanmeldeinformationen auf Methoden zur Kontowiederherstellung verlagern, Taktiken zum Stehlen von Hauptschlüsseln entwickeln und Angriffe wie Session-Hijacking starten.“

Passkeys sind gut, aber nicht perfekt

Sicherheitsexperte Trevor Hilligoss.
Sicherheitsexperte Trevor Hilligoss SpyCloud

Hilligoss weist auf eine Technik namens Session Hijacking – auch Cookie-Hijacking genannt – hin, bei der ein Hacker versucht, die Kontrolle über Ihre Online-Browsersitzung zu übernehmen, um sensible Daten zu stehlen. Im Wesentlichen täuschen die Kriminellen einer Website vor, dass es sich um einen legitimen Benutzer handelt. Wenn eine Person eine Website besucht, wird eine Sitzungs-ID erstellt, die oft tagelang aktiv bleibt.

Diese Sitzungsdaten werden in Form von Zahlen und Buchstaben in temporären Sitzungscookies gespeichert und verbleiben im Browser, bis der Benutzer abgemeldet wird. Hacker können Sitzungs-IDs stehlen, indem sie Skripte in Webseiten einschleusen, den Netzwerkverkehr abfangen, heimlich Malware auf dem Gerät des Opfers installieren oder einfach Mustervorhersagen verwenden.

„Sobald der Angreifer eine Websitzung gekapert hat, kann er alles tun, was der ursprüngliche Benutzer tun kann, einschließlich des Kaufs von Artikeln, des Diebstahls vertraulicher persönlicher Daten oder des Zugriffs auf Bankkonten“, fügt Hilligoss hinzu. Bei solchen Angriffen spielt es keine Rolle, ob die Anmeldung mit einem herkömmlichen Passwort oder Passkeys erlaubt wurde.

Was das alles für Sie bedeutet

Anmelden bei einem Google-Konto mit Passkeys auf einem iPhone.

Passkeys sind an den Google Password Manager gebunden, während Apple den iCloud-Schlüsselbund ins Spiel bringt, was bedeutet, dass Passkeys auch geräteübergreifend synchronisiert werden. Standardmäßig erstellt Google auch automatisch einen Passkey für frisch aktivierte Android-Geräte. Da wir jedoch Passwörter hinterlassen, greifen Hacker auch auf ausgefeiltere Techniken zurück.

Passkeys blockieren auch nicht andere Formen von Cyberangriffen, wie die Bereitstellung von Malware in verschiedenen Formen, einen Betrüger, der sich bei einem Telefonanruf als Bankangestellter ausgibt (Hallo, generative KI-Hölle), Social-Engineering-Angriffe und mehr. Passkeys beheben nur eine Seite der Sicherheitslücke, sind aber kein Allheilmittel.

Digitale Kompetenz wird auch in den kommenden Jahren von größter Bedeutung sein, da Drittanbieter-Dienste langsam Passkeys übernehmen. Hilligoss schlägt vor, die App-basierte 2-Faktor-Authentifizierung zu bevorzugen, Passwörter in regelmäßigen Abständen zu ändern, die URLs und Links, die sie erhalten, noch einmal zu überprüfen und bei Anrufen von unbekannten Nummern wachsam zu bleiben.

„Eine angemessene Cyber-Hygiene und die Gewährleistung der Transparenz Ihrer Online-Konten tragen wesentlich dazu bei, Cyberkriminellen einen Schritt voraus zu sein“, schließt er.