Google kennt sich aus mit Sicherheit.

Foto: Virginia Mayo / AP

Den jährlich am 6. Mai begangenen World Password Day nimmt der Softwarehersteller Google zum Anlass, um zu verkünden, wie man künftig die Konten der eigenen Nutzer noch besser schützen will – und dabei auch gleich Tipps zu geben, was in Fragen Passwörter sinnvoll ist und was eher nicht.

Zweiter Faktor

Schon jetzt ist Google einer der Vorreiter in Fragen Zwei-Faktor-Authentifizierung (2FA). So gibt es bereits seit Jahren zahlreiche Möglichkeiten, über die Google-Nutzer ihre Konten zusätzlich absichern können. Die Palette reicht dabei von der zusätzlichen Abfrage eines per SMS verschickten Codes über die Nutzung eines eigenen Hardwareschlüssels in USB-Form bis zum "Advanced Protection"-Programm, bei dem das Konto weiteren Beschränkungen unterliegt. Nun geht das Unternehmen aber noch einen weiteren Schritt.

Automatismus

Google will künftig unter gewissen Voraussetzungen die Zwei-Faktor-Authentifizierung für seine Nutzer automatisch aktivieren. Welche Faktoren hier ausschlaggebend sein werden, konnte Andreas Türk vom in München angesiedelten Google Safety Engineering Center zwar auf Nachfrage des STANDARD noch nicht sagen, da dieses Feature erst in den kommenden Monaten freigegeben werden soll und man noch an den Details arbeite. Klar sei aber, dass dies nur passieren wird, wenn es eine Back-up-Option gibt, also etwa bei Nutzern, die mehrere Geräte mit einem Google-Konto verbunden haben. Prädestiniert wären dafür also etwa Nutzer manch aktueller Android-Smartphones, in denen bereits ein eigener Hardware-Sicherheitsschlüssel verbaut ist – unter anderem Googles eigene Pixel-Reihe.

Die Ankündigung stellt dabei eine logische Weiterentwicklung der bisherigen Sicherheitsstrategie von Google dar. Schon jetzt verlangt Google bei vielen Konten eine Art von zweitem Faktor, wenn man sich frisch auf einem neuen Gerät oder gar aus einem anderen Land einloggt. Damit will man Kontoübernahmen durch gestohlene Passwörter einen Riegel vorschieben.

Abgang von der SMS

Keinen Hehl macht Türk hingegen daraus, dass nicht alle Formen der Zwei-Faktor-Authentifizierung gleich sicher sind. So will das Unternehmen langfristig von der Verwendung von SMS für diesen Zweck wegkommen. Das hat auch einen durchaus guten Grund: Diese Form bringt recht wenig gegen Phishing-Attacken. Angreifer haben sich auf diese neue Situation nämlich längst eingestellt. Statt bisher nur das Passwort abzugreifen, lässt man schlicht von den Nutzern auch den zugehörigen Autorisierungscode auf gefälschten Websites eintippen. Automatisiert loggen sich die Angreifer dann im Hintergrund in das echte Konto ein und übernehmen es. Ein Problem, das es bei Hardware-Keys nicht gibt, da diese die Autorisierung nur an die echte Website des betreffenden Services weitergeben.

Eine Welt ohne Passwörter

Langfristig will Google unter anderem mit solchen Hardwareschlüsseln komplett von Passwörtern wegkommen. Gleichzeitig ist dem Unternehmen natürlich bewusst, dass dies zurzeit noch keine realistische Option darstellt. Also muss man sich weiter mit Passwörtern herumschlagen. Und auch für diese Realität hat das Unternehmen passend zum World Password Day einige einfache Tipps parat.

Am wichtigsten sei es, für jeden Service ein eigenes Passwort zu kreieren, gerade die Wiederverwendung von Passwörtern habe sich in den vergangenen Jahren als massives Problem herausgestellt. Führt dies doch dazu, dass Angreifer nach einem erfolgreichen Einbruch auf einer Seite gleich auch andere Konten übernehmen könnten. Gleichzeitig müssen diese Passwörter schwer zu erraten sein – wobei die Länge mathematisch gesehen wichtiger ist als die Komplexität. Acht Zeichen seien in dieser Hinsicht heutzutage das absolute Minimum, besser wären aber zwölf bis 16 Zeichen. Und natürlich sollen darin auch keinerlei persönliche Details, die über eine Internetrecherche gefunden werden können, enthalten sein. Wer den Namen der eigenen Katze mit dem Geburtsdatum des Kindes kombiniert, macht sich selbst also keinen Gefallen.

Passwort-Manager

Da diese Regeln rein mit der Kraft des eigenen Gedächtnisses kaum zu bewältigen sind, rät Google – wie viele andere auch – zur Nutzung eines Passwort-Managers. Einen solchen bietet das Unternehmen selbst für die eigenen User sowohl in Chrome als auch bei Android an, natürlich gebe es aber auch viele andere gute Optionen, betont Türk. Für diesen erwähnten Google-Passwortmanager hat man übrigens ebenfalls eine aktuelle Änderung parat. Es gibt jetzt nämlich eine Import-Funktion, mit der man die Passwörter aus anderen Quellen oder auch einem zweiten Google-Konto übernehmen kann. Eine Export-Funktion gab es ohnehin schon länger.

Schlechte Ideen

Am Rande betonte Türk noch, dass er wenig von der verbreiteten Praxis des erzwungenen, regelmäßigen Passwortwechsels hält, die sich in vielen Unternehmen hartnäckig hält. Dies habe sich längst als kontraproduktiv herausgestellt. Anstatt die Sicherheit zu erhöhen, habe sich also das Gegenteil gezeigt, da die Nutzer einfach zu leichter zu merkenden Passwörtern greifen, die sie dann jedes Mal nur minimal verändern. Ein wirklich gutes Passwort könnte man hingegen ruhigen Gewissens auch länger unverändert lassen. (Andreas Proschofsky, 6.5.2021)