Android-Webbenutzer können sich mit Fingerabdrücken authentifizieren, wenn Google-Konten Biometrie zulassen
Inhaber eines Google-Kontos können in Kürze ihre Fingerabdrücke verwenden, um ihre Konten zu authentifizieren und sich bei ihren mit dem Internet verbundenen Android-Apps anzumelden. Der Android OS-Hersteller hat jetzt damit begonnen, ein vereinfachte Authentifizierungstechnik zu immer mehr Diensten, die einst einen Benutzernamen und ein Passwort für den sicheren Zugriff erforderten. Der Vorstoß zur Authentifizierung per Fingerabdruck kommt, nachdem es mehrere Fälle erfolgreicher Hacks aufgrund einer schlechten Wahl von Passwörtern gegeben hat.
Bei dem Versuch, alternative Sicherheitsauthentifizierungsmethoden zu entwickeln, scheinen sich Unternehmen und Onlinedienstanbieter für eine biometrische oder speziell für die Authentifizierung per Fingerabdruck entschieden zu haben. PIN, Fingerabdruck und sogar Face ID sind immer häufigere Methoden, mit denen Smartphone-Nutzer Zugang zu ihren Geräten erhalten. Jetzt ermöglichen auch Web-Apps und andere Online-Plattformen ähnliche Authentifizierungstechniken für Fingerabdrücke. Neben der Vereinfachung und Beschleunigung des Logins soll die neu akzeptierte Methodik auch Sicherheit erhöhen aufgrund der Einzigartigkeit des biometrischen Authentifizierungssystems, das nicht leicht gehackt oder dupliziert werden kann.
World Wide Web Consortium (W3C) genehmigt WebAuthn-API:
Das World Wide Web Consortium (W3C) und Fast Identity Online oder FIDO Alliance hatten gemeinsam versucht, Wege zur Erhöhung der Online-Sicherheit auszuarbeiten. Die Gruppe, die aus mehreren Technologieunternehmen besteht, war zu Recht besorgt über die extrem schlechte Passworthygiene, die Internetnutzer befolgen. Häufige Fehler wie die Verwendung derselben Passwörter auf mehreren Plattformen, die Verwendung einfacher Passwörter, das Nicht-Ändern von Passwörtern, die Nichtverwendung der Zwei-Faktor-Authentifizierung und andere schlechte Angewohnheiten haben es Hackern ermöglicht, in die Sicherheit mehrerer Online-Plattformen einzudringen.
Um der zunehmenden Bedrohung durch das Knacken von Passwörtern entgegenzuwirken, wurde die WebAuthn-API erstellt. Unternehmen wie Amazon, Apple, Alibaba, Mozilla, PayPal, Yubico und Google haben WebAuthn unterstützt, das Teil der FIDO2-Authentifizierungsspezifikation ist. Die API ermöglicht im Wesentlichen passwortfreie Anmeldungen bei mobilen Webdiensten. Um dies zu verwirklichen, wird ein Benutzer, der sich auf seinem Telefon bei einer bestimmten Website anmeldet, aufgefordert, sein Gerät bei dieser Website zu registrieren. Nach erfolgreicher Registrierung kann der Benutzer eine zuvor konfigurierte lokale Authentifizierungsmethode verwenden, z. B. einen PIN-Code für die Bildschirmsperre oder einen biometrischen Mechanismus, um Zugang zu erhalten.
Die WebAuthn-API soll Online-Konten schließlich sicherer machen, indem sie die Identität des Benutzers mit möglichst wenigen Hürden bestätigt. Darüber hinaus müssen Benutzer, die sich für diese bequeme und sichere Methode entscheiden, ihre biometrischen Zugangsdaten nur einmal bei einer bestimmten Plattform registrieren. Native Apps und Webanwendungen akzeptieren dann einfach die neue Anmeldemethode.
Google hat übrigens bereits damit begonnen, das auf der WebAuthn API basierende passwortfreie Authentifizierungssystem für einige seiner Dienste auszurollen. Nutzer haben über Passwords.Google.Com Zugriff auf alle ihre gespeicherten Passwörter, ohne ihre Google-Anmeldedaten eingeben zu müssen. Obwohl dies die einzige funktionierende Instanz der neuen passwortfreien Methode ist, sollte Google diese in Kürze auf andere Dienste ausweiten. Einfach ausgedrückt: Bald können sich Nutzer von Google-Android-Smartphones, die ihre Zugangsdaten auf den verschiedenen Google-Plattformen gespeichert haben, nur noch mit ihrem biometrischen oder Fingerabdruck einloggen.
Erhalten Google oder andere Dienste tatsächliche Fingerabdrücke?
Mit der zunehmenden Verwendung der WebAuthn-API und der biometrischen Authentifizierung sind Benutzer zu Recht besorgt, ob andere Plattformen auf ihre Biometrie zugreifen und diese online speichern würden. Um genau diese Bedenken auszuräumen, hat Google dafür gesorgt, dass die biometrische Authentifizierung niemals das Smartphone verlässt, auf dem sie verwendet werden. Mit anderen Worten, weder Google noch andere Unternehmen erhalten eine Kopie der Fingerabdrücke der Nutzer. Alles wird lokal ausgeführt und nur ein „Beweis“ verschickt. „Nur ein kryptografischer Nachweis, dass Sie ihn korrekt gescannt haben, wird an die Server von Google gesendet. Dies ist ein grundlegender Teil des FIDO2-Designs“, bemerkte Google.
Google Android-Smartphones mit Android Nougat 7.0 und höher sollten Benutzern bald die Möglichkeit bieten, sich ohne Anmeldedaten anzumelden. Es ist unnötig, dass die Nutzer sich auf dem Gerät in ihrem persönlichen Google-Konto anmelden und einen Code für die Bildschirmsperre einrichten. Mit anderen Worten, ungesicherte Android-Smartphones werden nicht fähig. Darüber hinaus schränkt Google den Zugriff auf Webplattformen mit Biometrie nur über seinen Chrome-Browser ein. Es ist sehr wahrscheinlich, dass der Suchriese bald weitere Apps einbinden wird.
WebAuthn-API und FIDO2-Login werden bald zum Standard?
Google hatte schon vor langer Zeit die Zwei-Faktor-Authentifizierung eingeführt. Das Unternehmen fordert die Benutzer weiterhin auf, die Funktion zu aktivieren, um die Sicherheit weiter zu erhöhen. Es gibt mehrere Sicherheitsvorkehrungen, um regelmäßig verwendete Geräte zu erkennen und Benutzer per E-Mail und SMS vor dem Zugriff von unbekannten Geräten zu warnen. Obwohl es andere Login-Methoden gibt, ist die biometrische Authentifizierung bei weitem die einfachste, am häufigsten verwendete und schnellste. Daher sollte auch die Einführung am schnellsten erfolgen, da die meisten Android-Smartphone-Benutzer bereits dasselbe verwenden, um auf ihre Geräte zuzugreifen.
Interessanterweise verfügen viele Laptops und andere tragbare Geräte über einen Fingerabdruckscanner. Daher ist die Hardwareanforderung bereits vorhanden. Mit dem Vorstoß von Google sollten viele andere Unternehmen schnell damit beginnen, den Fingerabdruck der Nutzer als Login zu übernehmen und zu akzeptieren.