FIDO: Google führt Logins ohne Passwort ein

Der Umgang mit Passwörtern ist für viele Nutzer zu kompliziert. Google führt stattdessen nun die Möglichkeit ein, sich auf einem Android-Smartphone bei einigen seiner Dienste mit Hilfe biometrischer Entsperrmöglichkeiten einzuloggen. Dabei werden FIDO2, W3C Webauthn und FIDO CTAP genutzt.

Artikel veröffentlicht am , /
Google erlaubt jetzt auch bei seinen Internetdiensten, sich unter anderem mit dem Fingerabdruck einzuloggen.
Google erlaubt jetzt auch bei seinen Internetdiensten, sich unter anderem mit dem Fingerabdruck einzuloggen. (Bild: Screenshot: Golem.de)

Google hat eine neue Möglichkeit vorgestellt, sich für seine Dienste auf einem Android-Smartphone zu identifizieren. Künftig können Nutzer, anstatt ein Passwort einzugeben, einfach ihren Fingerabdrucksensor oder die Entsperrgeste des Sperrbildschirms verwenden, um sich zu legitimieren.

Stellenmarkt
  1. Junior BI Data Scientist (m/f/d)
    DMG MORI Management GmbH, Bielefeld
  2. Specialist Business Intelligence & Reporting (m/w/d)
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim an der Ruhr
Detailsuche

Dies war bisher bereits möglich, wenn Nutzer beispielsweise in den Einstellungen der Chrome-App auf ihre gespeicherten Passwörter zugreifen wollten. Wurde allerdings stattdessen die Passwortseite von Google im Internet aufgerufen, musste weiterhin das Passwort eingegeben werden. Dies ist jetzt nicht mehr notwendig, da auch hier beispielsweise ein Fingerabdruck zum Einloggen verwendet werden kann.

Die neue Funktion basiert auf den Standards FIDO2, W3C Webauthn und FIDO CTAP. Da anstelle der nativen Fingerabdruck-APIs von Google FIDO2 verwendet wird, kann die Entsperrmethode nun auch für Internetdienste verwendet werden - gleichzeitig aber auch für entsprechende Apps. Der Fingerabdruck muss nur einmalig mit den Einlogdaten verknüpft werden.

Fingerabdruck wird nur auf Smartphone gespeichert

Webauthn nutzt Public-Key-Kryptografie. Dabei werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn, mit der er beweist, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob der Einloggende auch wirklich im Besitz des privaten Schlüssels ist.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Der private Schlüssel kann dabei durch biometrische Merkmale wie Fingerabdrücke gesichert werden. Die Verwendung eines Passworts wird so unnötig. Der Fingerabdruck bleibt weiterhin nur auf dem Android-Smartphone gespeichert und wird natürlich nicht an Google geschickt.

Aktuell können Nutzer von Pixel-Smartphones den neuen Login ohne Passwort bereits verwenden. Wir konnten uns beispielsweise auf einem Pixel 3a XL auf der Passwortseite von Google mit Hilfe unseres Fingerabdrucks einloggen, den wir zuvor registriert haben. Auf einem P30 Pro von Huawei ging das allerdings noch nicht; die Verfügbarkeit des Dienstes soll allerdings in den nächsten Tagen ausgebaut werden.

Die aktuelle Version des Firefox-Browsers für Android unterstützt zwar den Webauthn-Standard. In einem kurzen Test mit dem Dienst von Google konnten wir den Browser von Mozilla jedoch noch nicht für das passwortlose Anmelden verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 15. Aug 2019

aber enthält das auch die abdrücke und so? die würde ich normalerweise nicht ins backup...

Der mit dem Blubb 15. Aug 2019

Auf der PayPal-Webseite kann man seinen Fingerabdruck jetzt verknüpfen.

Gole-mAndI 14. Aug 2019

Das klingt ganz ehrlich nicht danach als solltest du da selbst was dran machen...

Wechselgänger 13. Aug 2019

technically correct: the best kind of correct :)



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Schlecht getarnte Tarnorganisation praktisch enttarnt

Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
Von Friedhelm Greis

Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
Artikel
  1. Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
    Digitalisierung
    500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

    Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /