Ob das wirklich sicherer ist? Google testet Login ohne Passwort
News folgenGoogle will Nutzern die Sorgen um sichere Logins auf Internetseiten abnehmen. Das soll gelingen, indem Passwörter abgeschafft und Smartphones zum sicheren Schlüssel für Login-Seiten im Internet werden. Google testet das derzeit mit ausgewählten Nutzern. Doch die Methode hat einen gewaltigen Haken.
Wer sich auf einer Internetseite einloggt, der gibt bisher seinen Benutzernamen oder seine E-Mail-Adresse ein und dann ein Passwort. Dieses sollte schwer zu erraten sein. Der Name des Haustiers ist ebenso ungeeignet wie das eigene Geburtsdatum oder die Straße in der man wohnt nebst Hausnummer.
Möglichst komplizierte und viele separate Passwörter
Es wird daher zu einer zufälligen Folge aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und mindestens einer Passwortlänge von acht, besser zehn Stellen geraten. Selbstverständlich ist es ratsam, für jede Internetseite, jeden Login ein separates Passwort zu verwenden.
Das wird schnell mühselig, denn diese ganzen Passwörter muss sich ein Nutzer merken oder irgendwo sicher aufbewahren. Google will diese Mühsal beenden und Passwörter durch einen anderen Zugangsschlüssel ersetzen: Das Smartphone. Google testet das Verfahren derzeit mit ausgewählten Nutzern, die über ein Android-Gerät mit Fingerabdruck-Sensor oder ein iPhone verfügen müssen.
Smartphone als Universalschlüssel
Der Test wird mit dem Google-Nutzerkonto durchgeführt. Der Nutzer klickt auf den Link "Anmelden" und gibt dann zunächst wie gewohnt seinen Nutzernamen ein, bei Google also seine Gmail-Adresse. Im nächsten Schritt muss er sein Smartphone hervor holen.
Darauf erscheint die Frage, ob er sich einloggen will. Diese beantwortet er mit "Ja". Dann werden ihm auf dem Smartphone-Display drei zweistellige Ziffern angeboten und er muss diejenige antippen, die ihm auf der Google-Login-Seite angezeigt wird. Dann ist der Nutzer angemeldet.
Google löst das Passwort-Problem nicht, sondern verlagert es
Sicher, der Vorteil ist nicht nur, dass kein knackbares Passwort mehr verwendet wird. Das nur der sich einloggen kann, der das Smartphone in seinen Händen hält, ist ein zusätzlicher Sicherheitsaspekt. Aber Google löst das Passwort-Problem für den Login im Internet gar nicht.
Das Problem wird einfach nur verlagert: Von der Login-Seite auf das Smartphone des Nutzers. Google geht einfach davon aus, dass der Nutzer sein Smartphone durch ein Login-Verfahren abgesichert hat. Also, ob das Smartphone auch wieder per PIN oder Passwort, das bei Android-Geräten beliebte Wischmuster oder durch einen Fingerabdruck-Sensor entsperrt wird.
Smartphone-Schutz garantiert keine Sicherheit
Google verlässt sich mit seiner neuen Methode einfach auf diese Absicherung und verlagert damit den Zugangsschutz nur auf das Smartphone. Das Dilemma mit der Sicherheit von Passwörtern ist damit nicht gelöst. Die Eingabe von PINS und Passworten oder die Wischgesten bei Android-Geräten können aber ausgespäht werden.
Außerdem: Manche Nutzer schalten die Sperrfunktion für ihr Smartphone auch einfach ab, weil sie sich PIN oder Passwort nicht merken wollen, die Nutzung nur durch sie selbst für sicher halten oder das Gerät aus Bequemlichkeit "schutzlos" verwenden. Zudem soll es ja auch Nutzer geben, die kein Smartphone haben, sondern vielleicht noch ein normales Handy. Für die wird wohl an einer SMS-Lösung gearbeitet.
Fazit:
Google zeigt mit seinem aktuellen Test, wie die Absicherung eines Internet-Login von der Internetseite auf ein externes Gerät – das Smartphone ausgelagert werden kann. Das kommt einer Zweifaktor-Autorisierung einer Banküberweisung beispielsweise per mTAN gleich. Grundsätzlich keine schlechte Idee. Passwörter werden damit aber nicht wirklich abgeschafft oder überflüssig. Das Sicherheitsrisiko wird von unsicheren Passwörtern auf das Smartphone und dessen Schutz verlagert.
