Infografik: Alles rund ums Passwort
Zuerst ein Nutzer des Portals Reddit von dem neuen Verfahren. Dieser war von Google zu einem entsprechenden Testlauf eingeladen worden. Von Seiten des Unternehmens gab es hierzu noch keine offizielle Mitteilung, doch bestätigte man auf Anfragen, dass man aktuell mit einer kleineren Zahl von Nutzern eine solche Methode ausprobieren will.
Und so funktioniert das Ganze: Nachdem man die entsprechenden Konfigurationen im Google-Account vorgenommen hat, genügt es, auf der Webseite des Suchmaschinenkonzerns die passende E-Mail-Adresse einzugeben. Hier würde dann normalerweise auch das Passwort abgefragt. Im Zuge des neuen Verfahrens taucht dann aber eine Anfrage auf dem Mobiltelefon des Nutzers auf, ob der Zugang freigegeben werden solle. Bestätigt man diese, gibt Google den Zugriff frei.
Es handelt sich hier also um eine etwas optimierte Form der Zwei-Wege-Authentifizierung. Diese hat den Vorteil, dass ein Angreifer die Kommunikation schwerer abfangen kann, da das Login an ein bestimmtes Gerät gebunden ist und sowohl der Einsatz von Keyloggern als auch das Mitlesen einer SMS mit dem Zusatzcode keinen Erfolg bringt.
Wenig hilfreich ist dieser Schutz natürlich, wenn jemand das Mobiltelefon eines Nutzers stiehlt und auch noch Zugang zu dem Gerät bekommt. Wer aber sein Smartphone mit einem einigermaßen wirkungsvollen Zugangsschutz versieht, sollte hier einem wesentlich geringeren Risiko ausgesetzt sein, dass der Google-Account gekapert wird, als bisher.
Das Verfahren ist ein weiterer Versuch des Unternehmens, endlich von Passwörtern als Authentifizierungsmaßnahme wegzukommen. Auf diesem Weg könnte man vor allem den häufigsten aller Angriffe verhindern: Wenn Kriminelle großflächig versuchen, Nutzerkonten zu übernehmen, indem sie die am häufigsten verwendeten Passwörter im Rahmen eines Wörterbuchangriffs gegen zahlreiche E-Mail-Adressen laufen lassen.
