Google-Managerin: Passwörter sind für uns passé

Heather Adkins ist bei Google für Informationssicherheit verantwortlich. Auf der Konferenz TechCrunch Disrupt rät sie Start-up-Unternehmen dringend, nicht mehr vorrangig auf Sicherheit durch Passwörter zu setzen. Google plädiert für Zwei-Faktor-Authentifizierung und experimentiert mit Hardware-Tokens.

Google-Managerin Heather Adkins hat Start-ups dringend davon abgeraten, sich in Zukunft noch vorrangig auf Passwörter zu verlassen, um die Sicherheit der Nutzer und ihrer Daten zu gewährleisten. Ihre Äußerung fiel auf der Konferenz TechCrunch Disrupt bei einer Veranstaltung mit dem leicht ironischen Motto „Spione wie wir„. Kategorisch erklärte sie: „Passwörter sind tot.“

(Bild: James Martin/CNET)

Adkins ist bei Google für Informationssicherheit verantwortlich und erklärte auch für die Zukunft im eigenen Unternehmen Passwörter für passé. „Unsere Beziehung zu Passwörtern ist vorbei“, sagte sie. „Mit Passwörtern haben wir bei Google abgeschlossen.“

Sie erwähnte Googles Nutzung von Zwei-Faktor-Authentifizierung und weitere Versuche, die Sicherheit jenseits der üblichen Passwort-Praktiken zu verbessern. Das Unternehmen experimentiere mit Hardware-Tokens sowie einem von Motorola entwickelten System, das die Nutzer durch etwas identifiziere, dass in ihre Kleidung eingearbeitet oder an ihr angebracht sei. „Ein Hacker kann das nicht von Ihnen stehlen“, sagte sie.

Heather Adkins berichtete von einer überraschenden neuen Masche von Hackern, die Konten von Google-Nutzern übernehmen, die sich noch nicht für eine Zwei-Faktor-Authentifizierung entschieden haben. Nach der Kompromittierung von Konten aktivieren die Angreifer selbst die Zwei-Faktor-Authentifizierung – und sperren damit die Nutzer aus, um ihre Konten dann für den Versand von Spam-Nachrichten zu verwenden. „Sie finden immer neue Methoden, um Geld daraus zu machen“, sagte sie. „Methoden, die wir nicht erwartet hatten.“

Die Google-Managerin argumentierte für Sicherheitsprodukte, die Nutzer schützen, ohne sich „darauf zu verlassen, dass sie nicht hereingelegt werden“. Wenn sich ein Start-up-Unternehmen noch auf die übliche Passwort-Methode verlasse, dann müsse es gleichzeitig eine Abteilung aufbauen, die „sich um kompromittierte Kunden kümmert“. In jedem Fall aber müsse eine neu gegründete Technologiefirma eine Person bestimmen, die sich auf Sicherheit und den Schutz der Privatsphäre konzentriert. Einer der ersten 25 Mitarbeiter solle in Vollzeit für diese Bereiche zuständig sein.

Googles Sicherheitsexperten argumentieren schon länger, dass Passwörter kein sicheres System mehr sind. Im Mai dieses Jahres stellte Google eine mehrjährige Strategie für sichere Authentifizierung vor, bei der Smartphones und „Smart Apps“ eine große Rolle spielen.

Einen Weg jenseits von Passwörtern hat auch Apple mit dem neuen iPhone 5S eingeschlagen. Es verfügt über einen Fingerabdrucksensor, den Apple Touch-ID nennt. Er ist in den Home-Button integriert und kann das Gerät über einen Fingerabdruck entsperren. Touch-ID wird allerdings nur vom iPhone-Hersteller selbst genutzt und steht für unabhängige Entwickler nicht zur Verfügung, wie Apples Marketingchef Phil Schiller gegenüber All Things D bestätigte. Er wollte nicht dazu Stellung nehmen, ob sich das in Zukunft ändern könnte.

[mit Material von Daniel Terdiman, News.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Datenschutz, Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Google-Managerin: Passwörter sind für uns passé

Kommentar hinzufügen
  • Am 12. September 2013 um 9:07 von schulte

    Zitat: „Das Unternehmen experimentiere mit Hardware-Tokens sowie einem von Motorola entwickelten System, das die Nutzer durch etwas identifiziere, dass in ihre Kleidung eingearbeitet oder an ihr angebracht sei.“

    Das mag sein, aber sicher ist das nicht! Zumindest muss man den Kontext in dem die jeweilige „Sicherheit“ Gültigkeit hat, klar definieren.

    Mit dem Erwähnten ist man lediglich ein wenig besser als ein Fingerabdruck, der schon lange nicht einmal mehr (falls je) bei Businessgeräte eine Rolle spielt – außer vielleicht mal den Screen-Saver abzuschalten.

    Habe ich direkten Zugriff auf die Person, dann habe ich auch Zugriff auf seine Daten. Und mit Single-Sign-On auch flächendeckend.

    Es gibt (in Deutschland) keine rechtliche Grundlage sich davor zu schützen. Solange man nicht einer Tat angeklagt ist, und damit ein Zeugnisverweigerungsrecht hat, sondern *nur* als Zeuge vernommen wird, solange kann man sich strafverfolgenden Behörden nicht verweigern. Als *Person im direkten Zugriff* gibt man damit auch Informationen preis, die mit der jeweiligen Sache nichts zu tun haben – nämlich ALLES!

    Der beste Schutz ist immer noch ein möglichst komplizierter und unbequemer! Ich will mich nicht von *technischen Haubentauchern* als *kleinstes gemeinsames Vielfaches* beim Sichern meiner ureigensten Interessen auf ein faktisches Nicht-Schutz-Niveau drücken lassen.

  • Am 12. September 2013 um 12:17 von Urgestein

    Wer sich damit ein wenig auskennt, dem ist bekannt dass alle Token Schwächen haben. Das Problem lässt sich meist darauf reduzieren, dass Datengeheimnisse, sog. Seeds, sowohl am Server wie auch am Token oder Handy gespeichert werden müssen. Wer das angreift kann die Tokenergebnisse nachvollziehen. Wo ist dann die Sicherheit?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *