Google macht es Nutzern einfacher, ihre Konten mit einer starken Multi-Faktor-Authentifizierung zu sichern, indem es die Option hinzufügt, sichere Verschlüsselungsschlüssel in Form von Passkeys statt in physischen Token-Geräten zu speichern.
Erweitertes Google-Schutzprogramm, Fuß Im Jahr 2017 ist die stärkste Form der Multi-Faktor-Authentifizierung (MFA) erforderlich. Während viele Formen der Multi-Faktor-Authentifizierung auf einmaligen Passcodes basieren, die per SMS oder E-Mail gesendet oder von Authentifizierungs-Apps generiert werden, erfordern Konten, die für Advanced Protection registriert sind, eine Multi-Faktor-Authentifizierung auf der Grundlage von Verschlüsselungsschlüsseln, die auf einem sicheren physischen Gerät gespeichert sind. Im Gegensatz zu Einmalpasswörtern sind auf physischen Geräten gespeicherte Sicherheitsschlüssel immun gegen Anmeldedaten-Phishing und können nicht kopiert oder ausgespioniert werden.
Demokratischer Antrag
Advanced Protection Program (APP), kurz für Advanced Protection Program, erfordert, dass dem Schlüssel ein Passwort beigefügt wird, wenn sich ein Benutzer auf einem neuen Gerät bei einem Konto anmeldet. Die Schutzmaßnahmen verhindern Kontoübernahmen, die es vom Kreml unterstützten Hackern im Jahr 2016 ermöglichten, auf die Gmail-Konten demokratischer Beamter zuzugreifen und dann gestohlene E-Mails durchsickern zu lassen, um sich in die Präsidentschaftswahlen dieses Jahres einzumischen.
Bisher verlangte Google, dass Benutzer über zwei physische Sicherheitsschlüssel verfügen, um sich für die App zu registrieren. Jetzt erlaubt das Unternehmen den Benutzern, zwei Passkeys oder einen Passkey und einen physischen Code zu verwenden. Wer mehr Sicherheit wünscht, kann sich mit beliebig vielen Schlüsseln anmelden.
„Wir arbeiten daran, den Slot zu erweitern, damit die Leute mehr Auswahl haben, wie sie sich für dieses Programm anmelden“, sagte APP-Projektleiter Shuvo Chatterjee gegenüber Ars. Er sagte, dieser Schritt sei eine Reaktion auf das Feedback, das Google von einigen Nutzern erhalten habe, die keine physischen Schlüssel kaufen konnten oder in Gegenden lebten oder arbeiteten, in denen keine Schlüssel verfügbar waren.
Wie immer müssen Benutzer weiterhin über zwei Registrierungsschlüssel verfügen, um zu verhindern, dass ihr Konto gesperrt wird, wenn einer der Schlüssel verloren geht oder beschädigt wird. Obwohl Sperren immer ein Problem darstellen, können sie für App-Benutzer viel schlimmer sein, da der Wiederherstellungsprozess strenger ist und viel länger dauert als bei Konten, die nicht beim Programm registriert sind.
Passkeys ist die Gründung der FIDO Alliance, einer branchenübergreifenden Gruppe, die aus Hunderten von Unternehmen besteht. Sie werden lokal auf einem Gerät gespeichert und können auch in demselben Geräte-Token-Typ gespeichert werden, in dem auch MFA-Schlüssel gespeichert sind. Passschlüssel können nicht vom Gerät extrahiert werden und erfordern entweder eine PIN oder einen Fingerabdruck- oder Gesichtsscan. Passkeys bieten zwei Faktoren für die Authentifizierung: etwas, das der Benutzer weiß – das Basispasswort, das beim ersten Erstellen des Passkeys verwendet wird – und etwas, das der Benutzer hat – in Form des Geräts, das den Passkey speichert.
Darüber hinaus gehen die gelockerten Anforderungen natürlich nicht, da Nutzer weiterhin über zwei Geräte verfügen müssen. Durch die Erweiterung der erforderlichen Gerätetypen seien Apps jedoch zugänglicher geworden, da laut Chatterjee viele Menschen bereits ein Telefon und einen Computer besitzen.
„Wenn Sie sich an einem Ort befinden, an dem Sie keine Sicherheitsschlüssel erhalten, ist das bequemer“, erklärte er. „Dies ist ein Schritt in Richtung Demokratisierung des Umfangs des Zugangs zu Informationen.“ [users] Nutzen Sie die höchste Sicherheitsstufe, die Google zu bieten hat.
Trotz der zunehmenden Kontrolle bei der Wiederherstellung von APP-Konten erneuert Google seine Empfehlung an Nutzer, eine Telefonnummer und E-Mail-Adresse als Backup anzugeben.
„Das Beste, was Sie tun können, ist, mehrere Dinge zu speichern. Wenn Sie also Ihren Sicherheitsschlüssel verlieren oder der Schlüssel kaputt geht, haben Sie eine Möglichkeit, wieder auf Ihr Konto zuzugreifen“, sagte Chatterjee. Er gab keine „geheimen“ Details über die Funktionsweise des Prozesses bekannt, sagte aber, dass es sich dabei um „unzählige Signale handelt, die wir betrachten, um herauszufinden, was wirklich vor sich geht“.
„Selbst wenn Sie ein Wiederherstellungstelefon haben, erhalten Sie über das Wiederherstellungstelefon selbst keinen Zugriff auf Ihr Konto“, sagte er. „Wenn also Ihre SIM-Karte ausgetauscht wird, bedeutet das nicht, dass jemand auf Ihr Konto zugreifen kann. Es ist eine Kombination verschiedener Faktoren. Es ist die Summe dieser Faktoren, die Ihnen auf dem Weg zur Wiederherstellung helfen wird.“
Google-Nutzer können sich für die App registrieren, indem sie auf klicken dieser Link.