Google verabschiedet sich von Passwörtern und Zwei-Faktor-Authentifizierung

Google hat im eigenen Security Blog angekündigt, dass Google-Accounts ab sofort über Passkeys gesichert werden können, statt über Passwörter. Über die Account-Seite können Passkeys in wenigen Sekunden aktiviert werden. Anschließend können Login-Vorgänge über authentifizierte Geräte freigegeben werden, statt über Passwörter.

Passkeys sind mit allen Apple iPhones ab iOS 16 und mit Android-Smartphones ab Android 9 kompatibel. Nach der Einrichtung können Passkeys zwischen den eigenen Geräten synchronisiert werden, im Apple-Ökosystem direkt über die iCloud, ansonsten aber auch über Plattformen wie 1Password und Dashlane. Nachdem Passkeys im eigenen Account aktiviert wurden, können Login-Vorgänge einfach über den Fingerabdrucksensor oder die Gesichtserkennung des eigenen Smartphones freigegeben werden, statt durch ein Passwort.

Das erhöht die Sicherheit, weil es kein Passwort mehr gibt, das in Datenlecks durchsickern, durch Phishing-Angriffe gestohlen oder durch eine künstliche Intelligenz geknackt werden kann. Will ein Angreifer auf einen Account zugreifen, muss stattdessen ein authentifiziertes Gerät gestohlen und das Geräte-Passwort in Erfahrung gebracht werden. Während Zwei-Faktor-Authentifizierung bei Passwort-Logins eine weitaus höhere Sicherheit bieten konnte, war dieses System weniger komfortabel als Passkeys, und ebenfalls nicht vollständig vor Phishing-Angriffen gefeit.

Soll ein Login auf einem nicht authentifizierten Gerät durchgeführt werden, ist dies möglich, indem ein QR-Code mit einem authetifizierten Smartphone gescannt wird, das den Login durch den gespeicherten Passkey freigibt. Zumindest vorerst sind Passkeys nur eine zusätzliche Login-Option, Nutzer können ihr Passwort weiterhin verwenden. Laut Google wäre diese Option derzeit wichtig, da Passkeys noch nicht auf allen Geräten unterstützt werden. Mit der Zeit sollen Passwort-Logins weiter eingeschränkt und letztendlich ausgemustert werden.