Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Hardware

Security Key: So will Google eure Accounts sicherer machen

    Security Key: So will Google eure Accounts sicherer machen
Google Security Key. (Foto: Yubico)

Google baut seine Zwei-Faktor-Authentifizierung aus und erlaubt den Einsatz von USB-Tokens. Dann gehören per SMS versendete Codes der Vergangenheit an. Die notwendige Hardware müssen sich Nutzer allerdings selbst kaufen.

Google Security Key: USB-Token für die Zwei-Faktor-Authentifizierung

Um die Accounts seiner Nutzer besser zu schützen, bietet Google seit geraumer Zeit die Zwei-Faktor-Authentifizierung an. Statt nur auf ein Passwort zu setzen, bekommt der Nutzer bei jedem Login-Vorgang einen zusätzlichen Code auf sein Handy übermittelt. Obwohl das Verfahren im Hinblick auf die Sicherheit der eigenen Daten definitiv zu empfehlen ist, erscheint es nicht wenigen Nutzern zu kompliziert. Denen will Google jetzt eine Alternative bieten.

Nutzer können zukünftig einen Fido-U2F-Sicherheitstoken für die Zwei-Faktor-Authentifizierung verwenden. Fido steht für „Fast IDentity Online“, ein Industriekonsortium, das die Sicherheit im Netz vorantreiben möchte. Kompatible USB-Sticks gibt es von verschiedenen Herstellern. Günstige Varianten kosten nur etwa sechs Euro.

Google Security Key: USB-Token soll für mehr Sicherheit sorgen. (Foto: Yubico)
Google Security Key: USB-Token soll für mehr Sicherheit sorgen. (Foto: Yubico)

Google Security Key wird nur unter Chrome und ChromeOS unterstützt

Nutzer von Firefox, Safari, Internet Explorer oder einem anderen Browser müssen auf das Feature allerdings verzichten. Der Einsatz eines Fido-kompatiblen USB-Tokens funktioniert vorläufig nur unter Chrome auf dem Desktop beziehungsweise unter ChromeOS. Daher haben auch Nutzer von Mobilgeräten derzeit keinen Vorteil von der Technik. Wer sich unsicher ist, ob er sich einen solchen USB-Schlüssel besorgen sollte, findet auf der entsprechenden Website von Google eine kleine Entscheidungshilfe.

Die mit gewisser Regelmäßigkeit auftretenden Passwort-Hacks bei verschiedenen Web-Anbietern machen deutlich, dass die Zwei-Faktor-Authentifizierung auf jeden Fall zu empfehlen ist. Ob sich der Einsatz eines Fido-Tokens lohnt, hängt aber letztlich vom eigenen Nutzungsverhalten ab. So oder so ist es begrüßenswert, dass Google eine neue Lösung bietet.

via venturebeat.com

Finde einen Job, den du liebst zum Thema Android

3 Reaktionen
Endlich
Endlich
22.10.2014, 11:26 Uhr

Endlich. Das will ich schon seit Jahren und setzt sich hoffentlich schnell durch.

RFID-Chips und SIM-Karten enthalten auch Crypto-Funktionen. Viele SIM-Karten enthalten wohl auch Mini-Java-Engines.

Bei Microsoft gibts schon ewig Crypto-Karten. Die schieben die Mitarbeiter wohl in die Rechner und ziehen sie raus wenn sie in die Mittagspause gehen. ist vermutlich ein Single-Sign-On aber kann natürlich auch 2faktor sein.
Das sieht man vielleicht schon bei Windows95 in den Netzwerkeinstellungen: " IEEE/ISO/OSI/... 0815-2345...Smartcard-Zertifikat verwenden" oder so ähnlich hiess das glaube ich.

Wichtig: Man muss die Krypto-Keys selber draufmachen können. Sonst werden die Keys ja zentral irgendwo verwaltet und jeder der dort Zugriff kriegt (Mitarbeiter, Hacker, Dienste,...) kann in fremdem Namen Webseiten benutzen, auf Kosten der Kreditkarte einkaufen usw. weil die Konten ja dann wohl mit Google verknüpft werden damit man z.b. bequem per Paypal bezahlen oder bei Amazon bestellen kann.
Die Zentral-Programmierung war ein Problem bei bisherigen Chipkarten-Zertifikaten.
Bei TPM-Chips in Laptops wollen die Firmen ja auch ihre eigenen Keys draufmachen und nicht diejenigen welche der Hersteller reingemacht hat.
Sonst könnte ja jemand so tun als ob er der Laptop vom Chef ist und die Bilanz im Voraus aus dem Firmennetz abrufen. Denn die Chefs rufen per Wifi ja auch weltweit Daten ab wie gestern von der Flugmesse in USA berichtet wurde.

Der Vorteil ist ja, das man es nicht machen muss sondern machen kann. Weil dort die Risiken geringer sind, sollten die Firmen solchen Kunden auch Rabatte geben oder geringere Risiko-Gebühren auf die Preise kalkulieren. Die anderen Kunden können weiter mit schlechten Passworten arbeiten.
Deswegen könnte es sich bei Sicherheitsbewussten schnell durchsetzen.
Und weil viele Handies ja USB können, sollte es kein Problem sein wenn Google eine Micro-USB-OTG-Version rausbringt die man ins Handy schieben kann. Dumm nur das wohl die allermeisten Android-Handies schlecht updatebar sind.

Antworten

Frederik Kunze
Frederik Kunze
22.10.2014, 15:11 Uhr

Das ganze gibt es schon seit Jahren von Yubico mit dem YubiKey hat sich leider nicht großflächig durchgesetzt bisher. Ich habe mir damals zum testen 2 Geräte zukommen lassen ist schon Jahre her. Aufgrund dessen das man diese Sticks selbst beschreiben kann ist damit eine Menge möglich.

Die Sticks die Google anbietet sind auch von Yubico.

Ansich für sicherheitsrelevante Bereiche super. Diese Sticks emulieren eine Tastatur und schieben schicken dann das Passwort auf Berührung am Metallkontakt ab.
Ich habe damals den Stick an der Schule genutzt um mein Laptop und mein Benutzerkonto am Schulnetzwerk zu schützen. Der Key war dabei immer am Schlüsselbund und dieser wurde natürlich nicht einfach liegen gelassen. Das praktische an dem Stick zu den klassischen Karten ist das er nicht eingesteckt bleiben muss. Es gibt auch RFID-Varianten damit liese sich theoretisch auch eine Lösung implementieren mit dem man sich automatisch abmeldet oder der Arbeitsplatz gesperrt wird wenn der Key sich vom PC entfernt.

Antworten

Mark
Mark
23.10.2014, 13:28 Uhr

Das technische Prinzipip ist gut und auch benutzbar.
Es hat leider einen schlimmen Schönheitsfehler und ein Restrisiko.

Schönheitsfehler: was soll ich als Nicht-Googlenutzer damit anfangen? Es lebe Firefox, da wir einen freien Browser brauchen. Und für diesen dann auch 2-Faktor.

Restrisiko: letztens kam heraus, dass USB-Geräte leicht infiltriert erden könnten und dass innerhalb eines Jahres mit entsprechenden Schadprogrammen zu rechnen ist. Diese USB-Tokens werden ja ständig mitgeführt und potenziell in etliche Rechner gesteckt, wodurch sich Risiken einer geplanten oder zufälligen Infektion erhöhen.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen