Google startet Unterstützung für Beta-Zugriffsschlüssel für Chrome und Android

Big Tech will das Passwort abschaffen und „Access Keys“ ist der heiße neue Standard für den Ersatz von Blockpasswörtern. Zugriffsschlüssel werden von Google, Apple, Microsoft und der FIDO Alliance unterstützt, Sie können also damit rechnen, sie bald überall zu sehen. iOS hat den Standard in Version 16 übernommen und jetzt führt Google Passwort-Betaversionen für Chrome und Android ein.

Das Passwortargument ist, dass die Passwörter alt und schwach sind. Computer-Passwörter waren ursprünglich als leicht zu merkendes Geheimnis konzipiert, das Menschen in ein Textfeld eingeben konnten. Da der Bedarf an mehr Sicherheit stieg, kamen Passwort-Manager auf den Markt, die das Speichern und Wiederherstellen Ihrer Passwörter erleichtern. Anstelle einer eingängigen Phrase besteht die ideale Möglichkeit, ein Passwort zu verwenden, darin, den Computer eine wilde Zeichenfolge generieren zu lassen und das Passwort nirgendwo anders zu verwenden. Die Revolution des Passwort-Managers ist jedoch ein Hack, der auf dem ursprünglichen Textfeld aufbaut. Eigentlich brauchen wir das Textfeld nicht mehr, und hier kommt der Passwortstandard ins Spiel.

Eine seltsame Entscheidung, die Big Tech bei Passkeys getroffen hat, ist, dass Ihr Telefon den Schlüssel zur Website weitergibt und nicht der Passwort-Manager auf dem Gerät, das Sie gerade verwenden. Auch diese Kommunikation zwischen dem Telefon und dem Client erfolgt nicht wie die Zwei-Faktor-Authentifizierung über das Internet – das von Ihnen verwendete Gerät muss über Bluetooth verfügen, damit Ihr Telefon lokal mit ihm kommunizieren kann. Die lokale Kommunikation stellt sicher, dass sich zufällige Personen im Internet nicht bei Ihren Konten anmelden können, blockiert aber auch einige Desktops.

Laut Google haben die Passwortbemühungen heute einen „großen Meilenstein“ erreicht. Wenn Sie sich für die Play Services-Beta anmelden, können Sie jetzt Passkeys auf Android-Geräten erstellen und verwenden, und Chrome Canary unterstützt jetzt Website-Passkeys. Google sagt, dass stabile Implementierungen für Chrome und Android noch in diesem Jahr verfügbar sein werden, möchte aber, dass die Entwickler jetzt mit der Entwicklung beginnen.

Google hat auch einige Details dazu mitgeteilt, wie dies funktionieren wird. Bei der Lösung von Google werden Ihre Passwörter im Google Passwort-Manager gespeichert. Ein Pop-up auf Ihrem Telefon fordert Sie zunächst auf, ein Konto auszuwählen und sich dann mit einer biometrischen Methode zu authentifizieren, z. B. durch Entsperren per Fingerabdruck. Das Telefon kommuniziert über Bluetooth mit dem Kunden, der Browser empfängt Ihr Passwort und sendet es an die Website. (Wenn der Client Ihr Telefon ist, wird es viel einfacher.)

Aus irgendeinem Grund beginnt im Beispiel von Google der gesamte Prozess mit einem QR-Code. Ich vermute, dass dies nur ein kurzer Hack für die Beta ist, aber damit das Passkey-Popup zuerst auf Ihrem Telefon angezeigt wird, zeigt Google dem Computer einen QR-Code an und das Telefon scannt ihn dann. Wie bei der Google-Eingabeaufforderung oder anderen Formen von 2FA hoffen wir, dass das anfängliche Passwort-Popup in Zukunft automatisch über das Web geöffnet wird.

Neben den stabilen Versionen für Android und Chrome gibt es für Google als nächstes eine API für native Android-Apps und eine Android-API für Passwortmanager von Drittanbietern, die daran angeschlossen werden können. Google räumt gerade auf, aber in Zukunft soll dies in verschiedenen Ökosystemen funktionieren, sodass ein iPhone einen Passkey an Chrome und ein Android-Telefon einen Passkey an Safari senden kann.