Hardware-Schlüssel als Passwortersatz

Google forscht an der Zukunft von Passwörtern. Anstatt weiter Passwörter zu tippen und diese in Passwort-Safes zu verwahren, arbeitet Google derzeit an Hardware-Schlüsseln zur Passworteingabe. In Form von USB-Sticks und Dongles gibt es das schon lange, doch zwei Google-Mitarbeiter haben eine andere Idee.

Während Google bereits seit fast zwei Jahren alternativ zum normalen Anmelden per Passworteingabe eine Zwei-Faktor-Authentifizierung zur Erhöhung der Sicherheit bei der Anmeldung seiner Dienste anbietet, bei der an ein mobiles Gerät eine SMS mit einem eigens generierten Zugangscode geschickt wird, haben es sich die beiden Google-Mitarbeiter Eric Grosse und Mayank Upadhyay zur Aufgabe gemacht, neue, sicherere Wege zu finden, wie sich Nutzer zukünftig auf Webseiten authentifizieren.

Ein Weg, den sie verfolgen, sind kleine Token wie zum Beispiel die Yubiko-Crypto-Keys, die per Mausklick die Authenzifizierung komplettieren, wenn man sie nach dem Login in einen USB-Port steckt. Nach einigen Änderungen am Browser Chrome funktioniert dies angeblich bereits zufriedenstellend.

In der Zukunft stellen sich die Forscher die Authentifizierung gegenüber Webseiten und deren Diensten allerdings noch leichter zu nutzen und netter verpackt vor. So kamen sie auf die Idee, Schmuck wie etwa Ringe oder Anhänger als Passwort-Safe zu verwenden und diese per Nahbereichsfunk NFC auszulesen. Sie haben dazu ein derzeit noch namenloses Protokoll entwickelt, das unabhängig von Google und ohne weitere Software mit unterstützten Browsern zusammenarbeitet.

Der Artikel zu den Ergebnissen der beiden Google-Mitarbeiter und dem entwickelten Protokoll soll am 28. Januar im IT-Sicherheitsmagazin IEEE Security & Privacy in voller Länge erscheinen.