Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Googles Kampf gegen das Passwort geht weiter

von Timo Brücken
Nie wieder pizza123! Google will Passwörter abschaffen und durch sogenannte Trust Scores ersetzen. Auf Android-Geräten soll es bis Ende des Jahres möglich sein, sich nicht mehr mit Zeichenfolgen zu identifizieren, sondern mit einer Reihe von Sensordaten.

„Fast alle Passwörter, die mir unterkommen, sind so sicher wie eine offen stehende Wohnungstür“, schrieb WIRED-Kolumnist und Systemadministrator Armin Hempel schon vor einem Jahr. Ein Problem, an dem sich kaum etwas geändert haben dürfte, gerade erst wurden die meistgenutzten Passwörter aus dem LinkedIn-Hack veröffentlicht: 123456, linkedin und password.

Angesichts so großer Einfallslosigkeit denkt Google darüber nach, das klassische Passwort einfach abzuschaffen. Nutzer von Android-Geräten sollen sich nicht mehr über mehr oder weniger komplexe Zeichenfolgen identifizieren, sondern über eine Reihe von Datenpunkten, die zusammen einen sogenannten Trust Score ergeben. Details zum System hat Google gerade auf seiner Entwicklerkonferenz I/O vorgestellt.

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++

Der Trust Score funktioniert so: Sensoren im Smartphone liefern verschiedene Daten über den Nutzer, die Frontkamera nimmt etwa das Gesicht auf, das GPS bestimmt die aktuelle Position und der Screen erfasst die spezifische Art zu tippen. Daraus wird errechnet, wie wahrscheinlich das Gerät gerade vom rechtmäßigen Besitzer bedient wird. Nur wenn dieser Wert hoch genug ist, kann man sich einloggen. Unterschiedliche Anwendungen können dabei unterschiedlich hohe Trust Scores verlangen, die Online-Banking-App beispielsweise mehr als Instagram.

„Ein Smartphone hat all diese Sensoren in sich. Warum kann es nicht einfach wissen, wer ich bin, sodass ich kein Passwort mehr brauche?“, fragte Dan Kaufman von Googles Advanced Technology And Projects Group (ATAP) auf der I/O-Konferenz.

Ja, warum eigentlich nicht? Weil die sogenannte Trust API dazu die ganze Zeit im Hintergrund laufen und die Daten sämtlicher Sensoren überwachen und zentral sammeln muss, dürften Datenschützer einwenden. Sein Datenkrake-Image ist Google nach wie vor nicht losgeworden, wie die Diskussion um den Messenger Allo gerade wieder zeigt.

Andererseits könnte der Trust Score der nächste Schritt weg vom ungeliebten Passwort sein – das selbst zusammen mit sogenannter Two-Factor Authentification (man gibt sein Passwort ein und danach einen Sicherheitscode, der aufs Smartphone geschickt wurde) als immer noch zu unsicher gilt.

Googles Versuch, Passwörter abzuschaffen, begann vor einem Jahr unter dem Namen Project Abacus, daraus entstand die Idee für die Trust API. In den kommenden Wochen würden „mehrere sehr große“ Banken Tests mit dem System beginnen, so Kaufman. „Und angenommen, alles läuft gut, sollte es Android-Entwicklern auf der ganzen Welt Ende des Jahres zur Verfügung stehen.“ 

GQ Empfiehlt