Googles 5-Jahresplan zur sicheren Authentifizierung

Google hat in der vergangenen Woche seinen zweiten 5-Jahresplan zur Verbesserung und Absicherung der bisher gängigen Authentifizierungsverfahren vorgelegt. Der Tenor des Papiers: Es wird komplizierter, sich gegenüber neuen Geräten zu authentifizieren, man muss es aber nur noch einmal tun.

Der Plan, den Eric Sachs, Googles Produkt-Manager für Authentifizierung, entworfen hat, sieht vor, dass wir uns in den nächsten Jahren von der ungeliebten Gewohnheit verabschieden dürfen, uns gegenüber unseren Geräten ständig wieder neu identifizieren zu müssen. „Wir werden das Einbuchen in ein Gerät zu einer einmaligen Angelegenheit machen, wobei allerdings der Aufwand für den Anwender steigt“, sagt Sachs, und fährt fort: „Wir scheuen uns nicht, diesen Prozess schwierig zu gestalten, wenn er nur einmal durchgeführt werden muss.“ Auf dem „Internet Identity Workshop“ in Mountain View sagte er, die Härten der Umstellung seien durch die langfristige Erhöhung der Sicherheit gerechtfertigt und man sei nicht gewillt, dieses Ziel den Bedenken der Nutzer zu opfern.

Weiterhin kündigte er an, dass demnächst in einem ersten Schritt Google die Zwei-Faktor-Authentifizierung, die bisher noch optional ist, als Standard einführen werde.

Der Konzern wird in den nächsten fünf Jahren verschiedene Techniken erforschen, um die Identifizierung des Nutzers sicherer zu machen. Dazu gehören unter anderem Biometrik und Nahfeld-Kommunikation (NFC). Im April ist der Suchmaschinen-Riese der „Fast Identity Online“- Allianz (FIDO) beigetreten, um zusammen mit der Firma Yubico ein neues starkes Authentifizierungsprotokoll namens „Universal Second Factor“ (U2F) zu entwickeln. Google kalkuliert bei seinen Plänen stark mit zunehmend intelligenterer Hardware.

Per Nahfeld-Kommunikation wäre es beispielsweise denkbar, dass ein bereits authentifiziertes Gerät ein neues Gerät freigibt, indem es den Authentifizierungscode kryptografisch verschlüsselt darauf überträgt. Angestrebt ist hierbei auch der Weg von Android zu Chrome oder umgekehrt. Weitere Forschung müsse auch zum Verhalten der Nutzer betrieben werden, wenn es um das Erstellen von Accounts und das Einbuchen in Geräte geht.

Ein weiterer Ansatzpunkt, den Google verfolgt, sind Server-Cookies in Verbindung mit einem öffentlichen Schlüssel, wie das in dem Papier der Network Working Group beschrieben ist. Bei dem „ChannelID“ getauften Vorschlag geht es hauptsächlich darum, jenes Cookie auf dem Gerät zu schützen, das den Nutzer identifiziert und den Einsatz sogenannter „Bearer-Tokens“ erschwert. Ein Bearer-Token erlaubt demjenigen, der es derzeit besitzt, ohne weitere Hürden Zugang zum Gerät. Google will darüber hinaus zukünftig mehr „Trusted Platform Modules“ (TPMs) einsetzen sowie verstärkt auf OAuth setzen.

Der erste 5-Jahres-Plan im Jahr 2008 griff deutlich zu kurz, wie man heute weiß. Der Boom der Mobilfunkgeräte war damals völlig unterschätzt worden. Eric Sachs ist guter Dinge, dass der neue Plan der Entwicklung in den nächsten Jahren gerecht werden wird und in völlig neue und wesentlich sicherere Methoden mündet, uns bei unseren Geräten anzumelden.