Abschaffung der Passwörter: Google will FIDO-Indentität Ende-zu-Ende sichern

Überraschend bekennt sich jetzt auch Google zur Ende-zu-Ende-Verschlüsselung im FIDO-Konzept zur Passwort-Nachfolge. Zwei von drei – bleibt noch …

Zukünftig soll es möglich sein, sich von all seinen Geräten aus sicher und ohne Passwort bei Online-Diensten anzumelden, verspricht die Allianz für Fast IDentity Online (FIDO). Bei der Synchronisierung der FIDO-Identitäten über die Cloud zeichnet sich jetzt ein Paradigmenwechsel ab: Die könnte nämlich Ende-zu-Ende-verschlüsselt erfolgen – also, ohne dass die Cloud-Betreiber Zugriff darauf erhalten. Dazu hat sich nach Apple überraschend jetzt auch Google committet.

Die FIDO hat ein technisch ausgefeiltes Konzept zur Anmeldung bei Internet-Diensten auf Basis von asymmetrischer Kryptografie und Challenge-Response-Verfahren entworfen, das deutlich sicherer als Passwörter und noch dazu komfortabel ist. Um tatsächlich Passwörter ablösen zu können, will man, dass der Anwender zukünftig seine FIDO-Identität auf all seinen Geräten nutzen kann – auf dem Smartphone genauso wie auf dem PC. Dazu muss ein geheimer Schlüssel auf all diese Geräte verteilt werden, was gemäß FIDO über die Infrastruktur der großen Plattform-Provider – also primär Google, Apple und Microsoft geschehen soll. Alle drei haben sich auch bereits dazu bekannt, das umzusetzen.

Eine entscheidende Frage dabei ist, ob das auf eine Art und Weise passiert, bei der die Konzerne Zugriff auf diese Geheimnisse bekommen. Immerhin sollen diese FIDO-Keys zukünftig die Identität der Benutzer definieren und Zugriff auf all deren Konten gewähren. Die FIDO macht da keine Vorgaben, sondern überlässt das komplett den Plattformanbietern. “Zurzeit haben wir keine spezielle Kennzeichnung dafür geplant, wie Geräte- und Cloud-Plattformen Passkey implementieren” erklärte Andrew Shikiar, Executive Director der FIDO Alliance auf unsere Frage, ob das denn für Anwender erkennbar sein werde.

Und zumindest Microsoft und Google speicherten Passwörter bislang bevorzugt so, dass sie selbst diese ebenfalls im Zugriff hatten. Sie argumentierten sogar, das sei im Interesse ihrer Kunden. Lediglich Apple wählte einen anderen Weg, der sicherstellte, dass tatsächlich nur die Anwender selbst Zugriff auf die eigenen Passwörter haben.

-> Weiterlesen auf heise.de <-