War das A vorne nun groß oder klein? Und der Bindestrich ganz am Ende? Kam da noch was? Will man wirklich alle Vorgaben zu einem sicheren Passwort erfüllen, wird es fast unmöglich, sich die Zugangsdaten zu sämtlichen Online-Diensten zu merken. Geht es nach Apple, Google und Microsoft ist das bald auch nicht mehr nötig: Die Tech-Giganten arbeiten gemeinsam am Ende des Passworts.
Natürlich ist die Alternative keine Welt, in der jeder Zugang zu allem hat. Stattdessen kündigen die drei Konzerne in einem Blopost an, gemeinsam daran zu arbeiten, einen neuen, nun passwortlosen Weg der Authentifizierung implementieren zu wollen.
Kontrolle ja, Passwort nein
Gelingen soll das über vertrauenswürdige Geräte. Das Smartphone wird damit zum Schlüssel zu allen Geräten, erklärt Google in einem weiteren Blogpost. Entsperrt man sein Telefon – etwa mit einem Pin-Code oder biometrischen Methoden wie einer Gesichtserkennung -, wird damit auch ein sogenannter Passkey aktiviert. Dieses auf dem Smartphone gespeicherte, speziell verschlüsselte Token kann dann genutzt werden, um sich bei anderen Diensten einzuloggen – ohne dort je ein Passwort eingeben zu müssen.
Die Idee dahinter ist einleuchtend: Nutzer können sich sicher einloggen, ohne sich die oft viel zu komplexen Passwörter merken zu müssen. Und verzichten dann auch auf gängige, aber eben auch sehr unsichere Praktiken wie die Wiederverwertung von Passwörtern. Gleichzeitig werden Fremdzugriffe schwerer: Hacker können nun nicht mehr einfach Passwörter abfischen und sich dann auf anderen Geräten einloggen. Stattdessen benötigen sie plötzlich Zugriff zu einem physischen Schlüssel – dem Smartphone.
Verliert der Nutzer wiederum sein Gerät, ist das nicht das Ende seiner Log-Ins. Über eine Cloud-Synchronisation soll man beim Einrichten eines neuen Gerätes mit den eigenen Apps und Daten auch die Tokens übertragen.
Hohe Erfolgsaussichten
Der Ansatz erinnert an Methoden, die jetzt schon bei der Zwei-Faktor-Authentifizierung gang und gäbe sind. Loggt man sich auf einem neuen Gerät oder einer Webseite ein, muss man das auf vertrauenswürdigen Geräten erlauben. Der von den drei genutzte Standard FIDO wird schon jetzt von vielen Apps unterstützt, muss dort aber bislang aktiviert werden. Mit dem nun geplanten Ansatz fällt dieser Schritt weg. Das Smartphone bietet dann bereits beim ersten Besuchen einer Seite an, sich passwortlos anzumelden. Und verzichtet ab dann auch bei jedem weiteren Besuch darauf.
Die Chancen, dass der neue Ansatz sich durchsetzt, sind gut. Mit iOS, Android und Windows sowie den Browsern Chrome, Safari und Edge stellen die drei Unternehmen sowohl die wichtigsten Betriebssysteme als auch die wichtigsten auf ihnen genutzten Browser. Stellt ein Nutzer auf das neue System um, sind die Chancen also sehr groß, dass es auf allen seinen genutzten Geräten und den dort genutzten Internetdiensten funktionieren wird. “Man kann sich dann etwa mit einem iOS-Gerät in den Chrome-Browser auf einem Windows-Computer einloggen”, erklärt Microsofts Vize-Präsident Vasu Jakkal den Vorteil der Zusammenarbeit.
Noch müssen die Nutzer aber ein bisschen Geduld haben. Apple, Amazon und Google haben angekündigt, die Funktion bis Ende nächsten Jahres langsam auszurollen. Die Tage des Passworts dürften aber langsam gezählt sein.