von Malte Mansholt Passwörter nerven und werden in den falschen Händen zur Gefahr. Geht es nach den großen Tech-Konzernen, ist das bald vorbei.

War das A vorne nun groß oder klein? Und der Bindestrich ganz am Ende? Kam da noch was? Will man wirklich alle Vorgaben zu einem sicheren Passwort erfüllen, wird es fast unmöglich, sich die Zugangsdaten zu sämtlichen Online-Diensten zu merken. Geht es nach Apple, Google und Microsoft ist das bald auch nicht mehr nötig: Die Tech-Giganten arbeiten gemeinsam am Ende des Passworts.

Natürlich ist die Alternative keine Welt, in der jeder Zugang zu allem hat. Stattdessen kündigen die drei Konzerne in einem Blopost an, gemeinsam daran zu arbeiten, einen neuen, nun passwortlosen Weg der Authentifizierung implementieren zu wollen.

Sicherheit Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein 1 von 7 Zurück Weiter Zurück Weiter Für meine Passwörter interessiert sich doch niemand

Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft. Mehr

Kontrolle ja, Passwort nein

Gelingen soll das über vertrauenswürdige Geräte. Das Smartphone wird damit zum Schlüssel zu allen Geräten, erklärt Google in einem weiteren Blogpost. Entsperrt man sein Telefon - etwa mit einem Pin-Code oder biometrischen Methoden wie einer Gesichtserkennung -, wird damit auch ein sogenannter Passkey aktiviert. Dieses auf dem Smartphone gespeicherte, speziell verschlüsselte Token kann dann genutzt werden, um sich bei anderen Diensten einzuloggen - ohne dort je ein Passwort eingeben zu müssen.

Die Idee dahinter ist einleuchtend: Nutzer können sich sicher einloggen, ohne sich die oft viel zu komplexen Passwörter merken zu müssen. Und verzichten dann auch auf gängige, aber eben auch sehr unsichere Praktiken wie die Wiederverwertung von Passwörtern. Gleichzeitig werden Fremdzugriffe schwerer: Hacker können nun nicht mehr einfach Passwörter abfischen und sich dann auf anderen Geräten einloggen. Stattdessen benötigen sie plötzlich Zugriff zu einem physischen Schlüssel - dem Smartphone.

Verliert der Nutzer wiederum sein Gerät, ist das nicht das Ende seiner Log-Ins. Über eine Cloud-Synchronisation soll man beim Einrichten eines neuen Gerätes mit den eigenen Apps und Daten auch die Tokens übertragen.

Hohe Erfolgsaussichten

Der Ansatz erinnert an Methoden, die jetzt schon bei der Zwei-Faktor-Authentifizierung gang und gäbe sind. Loggt man sich auf einem neuen Gerät oder einer Webseite ein, muss man das auf vertrauenswürdigen Geräten erlauben. Der von den drei genutzte Standard FIDO wird schon jetzt von vielen Apps unterstützt, muss dort aber bislang aktiviert werden. Mit dem nun geplanten Ansatz fällt dieser Schritt weg. Das Smartphone bietet dann bereits beim ersten Besuchen einer Seite an, sich passwortlos anzumelden. Und verzichtet ab dann auch bei jedem weiteren Besuch darauf.

Die Chancen, dass der neue Ansatz sich durchsetzt, sind gut. Mit iOS, Android und Windows sowie den Browsern Chrome, Safari und Edge stellen die drei Unternehmen sowohl die wichtigsten Betriebssysteme als auch die wichtigsten auf ihnen genutzten Browser. Stellt ein Nutzer auf das neue System um, sind die Chancen also sehr groß, dass es auf allen seinen genutzten Geräten und den dort genutzten Internetdiensten funktionieren wird. "Man kann sich dann etwa mit einem iOS-Gerät in den Chrome-Browser auf einem Windows-Computer einloggen", erklärt Microsofts Vize-Präsident Vasu Jakkal den Vorteil der Zusammenarbeit.

Noch müssen die Nutzer aber ein bisschen Geduld haben. Apple, Amazon und Google haben angekündigt, die Funktion bis Ende nächsten Jahres langsam auszurollen. Die Tage des Passworts dürften aber langsam gezählt sein.

Quelle: Blogpost