Für Zwei-Faktor-Authentifizierung – Speziell abgesichert, um Hardwaremanipulationen zu verhindern

Wer seinen Account vor Angriffen schützen will, sollte sich heutzutage längst nicht mehr nur auf die Qualität seines Passworts verlassen. Angesichts von immer ausgeklügelter werdenden Phishing-Attacken raten Sicherheitsexperten zur Aktivierung von Zwei-Faktor-Authentifizierung. Google zählt dabei zu jenen Unternehmen, die eine solche sichere Form des Logins schon länger anbietet, und künftig will man hierfür auch die passende Hardware liefern.

Ablauf

Unter dem Namen Titan bietet Google ab sofort eigene Sicherheitsschlüssel an. Einmal aktiviert, muss dann beim Login zusätzlich zu einem Passwort auch noch der Schlüssel mit dem jeweiligen Rechner oder Smartphone verbunden werden. Dies kann via USB-Verbindung oder auch NFC und Bluetooth erfolgen. Google liefert dabei zwei Schlüssel in einem Paket, um zu verhindern, dass sich die Nutzer bei einem Verlust selbst aussperren.

Die Schlüssel wurden ursprünglich für die interne Nutzung entwickelt, wie Google betont. Auf Nachfrage von Cloud-Kunden, habe man sich aber dazu entschlossen, sie auch darüber hinaus verfügbar zu machen. Im Vergleich zu anderen Keys verspricht man nicht zuletzt eine weiter verbesserte Sicherheit. So sei die Firmware in einem sicheren Element am Stick permanent versiegelt. Dies soll Hardwaremanipulationen am Lieferweg unmöglich machen. Die Keys folgen dem FIDO-Standard, sie sind also nicht auf Google-Services beschränkt, sondern können auch für andere Seiten genutzt werden.

Vorteile

Zwei-Faktor-Authentifizierung via solcher Sicherheitsschlüssel hat einen entscheidenden Vorteil gegenüber anderen Verfahren: Die Autorisierungscodes werden hier erst geliefert, nachdem zuvor geprüft wurde, ob es sich auch um die richtige Seite handelt. Bei anderen 2FA-Formen obliegt es den Nutzern diese Prüfung zu übernehmen. Theoretisch könnte also eine Phishing-Seite den Code abgreifen und umgehend für einen Angriff bei der richtigen Seite nutzen.

Google bietet passend dazu noch ein "Advanced Protection"-Programm für Google-Accounts an, die speziellen Sicherheitsauflagen unterliegen und die Nutzung solcher Sicherheitsschlüssel voraussetzen. Dieses Angebot ist vor allem für Journalisten und Aktivisten gedacht, die besonders oft zum Ziel von Angriffen werden.

Die Titan Security Keys sind ab sofort in den USA via Google Store für 50 Dollar erhältlich. Die Verfügbarkeit soll aber "bald" auf weitere Regionen ausgedehnt werden. (apo, 30.8.2018)