Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
21 mal geteilt 16 Kommentare

Project Abacus und Trust API: Will Google wirklich das Passwort abschaffen?

Benutzername. Passwort. Und um ganz sicher zu gehen, noch ein einmaliger Code, der zweite Faktor, der via SMS oder Authenticator-App gesendet wird. Alles nicht ganz simpel und wenig intuitiv. Google will nun mit Project Abacus und einer neuen Trust API diesen Prozess einfacher gestalten. Project Abacus heißt Googles Antwort und soll noch in diesem Jahr für Android verfügbar sein.

Project Abacus hatte auf der Google I/O 2016 nur einen kurzen Auftritt - doch die Auswirkungen könnten riesig sein: Denn Google könnte daran arbeiten, Passwörter abzuschaffen. Allerdings sind die Äußerungen von Google so knapp ausgefallen, dass diese Schlussfolgerung vielleicht zu weit geht. Aber der Reihe nach:

Project Abacus basierte auf der Vision eines Google-Entwicklers. Dan Kaufmann, Chef der zuständigen Google-Entwicklungsabteilung ATAP, skizziert diese so: "Wir haben ein Smartphone und darin sind so viele Sensoren enthalten. Warum kann es nicht wissen, wer ich bin, so dass ich kein Passwort mehr benötige. Ich will einfach arbeiten können." Also doch: Passwort abschaffen. Doch Dan Kaufmann spricht weiter. Er erklärt, dass ATAP zusammen mit Kollegen aus der Maschinenlern-Abteilung an dem Thema gearbeitet habe und aus diesen Ideen heraus die Trust API entwickelt habe. Trust API ist also der konkrete Name des Produkts, das aus der Abacus-Idee herausgekommen ist. Und er fährt fort:

Was wir damit machen, ist, die Umständlichkeit der Zwei-Faktor-Autorisierung abzuschaffen.

Mit dem Wort "damit" bezeichnet Kaufmann die Trust API, er spricht von der Zwei-Faktor-Authentifizierung, im Gegensatz zu dem davor von ihm benannten Passwort. Hat Google mit diesen Worten also das Ende der Passwörter verkündet? Leider bleiben die konkreten Einzelheiten zur Trust API skizzenhaft. Eines steht daher fest: Richtig viel bekannt ist über die Trust API nicht.

So soll die Trust API funktionieren

Googles Herangehensweise ist simpel: In Smartphones stecken viele Sensoren und in der Interaktion mit dem Handy entstehen viele weitere Daten, zum Beispiel Tippmuster. Könnte es nicht sein, dass aus diesen Daten für jeden Nutzer ein ganz individuelles Muster erstellt werden kann? Googles Antwort auf diese Frage lautet "Ja". Und so soll das ganze funktionieren:

Google errechnet aus mehreren Datenquellen einen kombinierten Trust-Score. Darin können zum Beispiel der aktuelle Aufenthaltsort, Tippmuster, Sprachmuster, Gesichtserkennung und andere Daten enthalten sein. Project Abacus sammelt all diese Daten im Hintergrund und wertet die Verhaltensmuster aus. Der Trust Score gibt an, wie sicher sich das Smartphone ist, dass der Nutzer ist, wer er zu sein behauptet. Entwickler können diesen Score mittels der Trust API abfragen.

Steht das Ende des Passworts nun unmittelbar bevor?

In seinen kurzen Ausführungen zur Trust API geht Dan Kaufmann nicht auf die Frage von Benutzername und Passwort ein. Das erscheint eigentlich merkwürdig, denn das Ende des Passworts hätte doch wohl einen hohen Nachrichtenwert, zumal in einer Veranstaltung, in der visionäre Konzepte aus dem Ideenlabor von Google präsentiert werden. Würde die Trust API tatsächlich den User erkennen können, so wäre es tatsächlich vorstellbar, dass ein Passwort nicht benötigt würde. Selbst Googles ursprüngliche Präsentation von Project Abacus (hier zu sehen), bleibt unspezifisch zur Frage, wie sich Nutzer künftig Accounts anlegen und diese schützen können (darum geht es ja beim Passwort).

Möglich wäre aber auch, dass Google gar nicht das Ende von Passwörtern im Sinn hat, sondern lediglich den zweiten Autorisierungsschritt abschaffen möchte - möglicherweise auch in dem Sinn, dass eine ständige Identitätskontrolle erfolgt. Das wäre insofern vernünftig, denn ganz ohne die Eingabe von Benutzername und Passwort kann ein Login eigentlich ja gar nicht funktionieren. Man denke an den ersten Start der Datensammlung: An diesem Punkt weiß die API ja noch nicht genug über den Nutzer.

Nun spricht Kaufmann ja von dem Zwei-Faktor-Prozess, denn er mit der Trust API vereinfachen wolle. Das klingt jedenfalls plausibel: Den zweiten Faktor beim Login-Prozess könnte eine App nach Eingabe der üblichen Zugangsdaten verlangen. Statt den Code aus einer SMS oder App einzugeben, erkennt das Smartphone nun selbst, ob der User am Touchscreen ist oder nicht. Damit würde die Trust API lediglich einen bereits erfolgten Login absichern.

Nun könnte zum Beispiel ein Spiel einen niedrigeren Trust-Score verlangen als eine Banking-App. Erkennen könnte Abacus den Nutzer zum Beispiel über die Selfie-Cam, über das Tippmuster, während er Benutzername und Passwort eingibt oder anhand anderer Faktoren. Möglicherweise könnte eine App auch einen besonders sicheren Modus verlangen - zum Beispiel einen Fingerabdruck oder gar ein Passwort.

Welchen Weg Google mit der Trust API auch geht: Noch im Sommer will Google das Verfahren mit Banken testen und, soweit die Testphase erfolgreich verläuft, die Trust API Ende des Jahres für alle Android-Entwickler verfügbar machen.

Weitere Anwendungszwecke

Google geht aber über die schlichte Zwei-Faktor-Authentifizierung hinaus. Denn Dan Kaufmann sagt explizit, dass er gespannt sei, was die Entwickler mit dieser Technologie machen. Die Trust API läuft ständig im Hintergrund, so dass eine App ständig eine Abfrage starten kann. Nur eine Idee: Der Boss Browser. Ihr surft an Eurem Smartphone und wenn Ihr das Handy aus der Hand gebt, dann erscheint sofort eine andere Webseite. Oder bei rundenbasierten Spielen könnte das Spiel erkennen, wenn ein anderer Nutzer das Handy in die Hand nimmt. Und Notizen-Apps könnten ganz einfach herausfinden, ob eine vertrauliche Notiz angezeigt werden darf oder nicht.

Voraussetzung dafür ist jedoch, dass das Smartphone seine Sensoren stets aktiviert hat. Lagesensor, Beschleunigungssensor, GPS - möglicherweise auch Selfie-Cam und Mikrofon: Alle diese Quellen sammeln Daten und im Hintergrund muss eine ständige Analyse erfolgen. Bedenken beim Thema Akkulaufzeit sind da wohl noch die harmloseren. Läuft die Trust API auf Eurem Smartphone, werdet Ihr ständig überwacht und analysiert.

Was meint Ihr? Hat Google hier einen Masterplan, um die Sicherheit der User zu verbessern? Oder geht Google zu weit und ist die Missbrauchsgefahr dieser Technologie einfach zu hoch? Diskutiert mit in den Kommentaren.

Quelle: TechCrunch

16 Kommentare

Neuen Kommentar schreiben:
  • Da sichere Passwörter schwer zu merken, oder umständlich zuzugreifen sind, halt ich es prinzipiell schon für sinnvoll, an Alternativen zu arbeiten. Neben den vom Autor genannten Vereinfachungen bei der Authentifizierung, wäre natürlich auch noch möglich, die Sicherheit sensibler Anwendungen durch einen dritten Faktor, die Auswertung der Sensordaten, zusätzlich zu erhöhen.
    Die Hinzuziehung des Standorts ergibt nur Sinn, wenn die Entsperrung auch tatsächlich regional begrenzt oder aber auch regional ausgeschlossen sein soll.
    So könnte man eine Banking-Anwendung entweder nur aufs heimische Arbeitszimmer beschränken, oder aber ihre Anwendung z.B. im Ausland ausschließen.
    Biometrische oder andere Sicherheitsdaten unverschlüsselt und vollständig an Google-Server zu übertragen, würde nicht nur den Sicherheitsgedanken absurd machen, es wäre auch gar nicht nötig bzw. sinnvoll.
    Ein Foto der Frontkamera oder eine Stimme ist ohnehin nie hundertprozentig identisch zu einer Referenz, das Foto wird jedesmal etwas anders aufgenommen, die Stimmlage kann bei einer Erkältung erheblich schwanken usw.
    Man reduziert solche Daten auf möglichst eindeutige Merkmale, idealerweise komprimiert man sie zu einer einzigen Zahl.
    Die taugt dann zur Identifizierung oder Authentifizierung mit einer bestimmten Wahrscheinlichkeit, lässt aber keine sonstigen Rückschlüsse auf ihren Eigentümer zu.

  • Peter vor 9 Monaten Link zum Kommentar

    Habe kein Problem mit Passwörter, da ich sie ja nur 1 mal eingebe und dann meine Ruhe habe. Egal ob Email, Facebook, Snapchat, instagram.... usw.. Voraussetzung natürlich man loggt sich nicht aus.

  • Ich finde, es wäre besser, dass der Fingerabdruck mehr integriert gehört. Bei diesem hier erwähnten Prinzip habe ich irgendwie das Gefühl, dass es leichter als ein Fingerabdruck und dessen abfrage überwindbar ist.

  • Nur weil Benutzername und Passwort recht einfach implementiert werden kann und es schon von Anfang an gibt, heißt es ja nicht, dass das wirklich gut ist, aber das wissen ja alle. Andererseits machen viele Dienste / Anbieter schon lange zusätzliche Tests, mir Geolocation, Cookies usw. Ich erinnere mich, gelesen zu haben, dass Google schon vor ca. anderthalb Jahren bis zu 60 weitere Parameter auswertet, um den Benutzer zu identifizieren, Deshalb muss man ja auch nicht immer seinen Benutzernamen und Passwort neu eingeben, wenn man innerhalb von Google einen anderen Dienst benutzt.
    Google hat schon seit Jahren "Bestätigung in 2 Schritten". Das benutze ich von Anfang an, und ich kann es sogar auf meinen Synology NASen nutzen. Allerdings ist es doch recht umständlich, weniger sicherheitsaffine Benutzer drüften davor zurückschrecken. In diesem Zusammenhang ist eine Vereinfachung sicherlich wünschenswert.
    Google wird damit das Passwort sicherlich nicht endgültig abschaffen. Es wird immer noch Situationen geben, wo eine explizite Sicherheitsabfrage erforderlich ist. Es wird aber an Bedeutung verlieren.
    Um mir eine abschließende Meinung zu "Project Abacus"" zu bilden, weiß ich zuwenig darüber. Man könnte vieles lokal auf dem Handset machen und nicht an Google senden. Ich hoffe darauf...

  • Wenn das wirklich kommt bin ich von Android weg. Ich will Google nicht meinen Standort verraten, nicht meinen Fingerabdruck geben und auch nicht mein Gesicht zeigen.

    Da werden die Datenschützer wieder Sturm laufen.

  • NoName vor 9 Monaten Link zum Kommentar

    Also ich finde es ja eigtl. immer gut wenn es um mehr Sicherheit geht aber hier ist es mMn. genau umgekehrt. Google gehts eh nur um unsere Daten mit denen sie dann immer mehr Geld machen können.
    Verkauft wir es aber als Sicherheit...

    • Rexxar vor 9 Monaten Link zum Kommentar

      Anhand dieser Muster kann Werbung auch ohne Cookies angepasst geschaltet werden - sie wissen dann wer wo mit welchen Intressent sitzt - selbst wenn es nur das Gerät eines Freundes ist.

  • Was ist nun, wenn ich aber bewusst jemand anderes ran lasse. Weil ich z.B. Im Krankenhaus bin, aber eine wichtige Überweisung getätigt werden muss? Pech gehabt?

    • Tobi vor 9 Monaten Link zum Kommentar

      Muss ja nicht mal so drastisch sein...es reicht ja bereits, wenn ein Tablet von mehreren Personen genutzt wird oder man sein Smartphone bewusst an jemand anderen weitergibt; das Projekt ist insgesamt aber durchaus interessant:) trotzdem finde ich die Möglichkeit, das Smartphone über den Fingerabdruck zu entsperren, sehr einfach und gut..zwar vor Dieben nicht mega sicher, aber zumindest besser als Zahlenkombinationen wie 1234:D

    • Thom vor 9 Monaten Link zum Kommentar

      Ich denke mal, dass man mehrere Profile anlegen kann. Oder dann doch eben über eine Passworteingabe zugriff hat. Sonst wirds schwierig.

  • im Grunde ist es doch das selbe wie bei Microsoft. Windows Hello. Nur das Windows Hello schon funktioniert und bereits weiterausgebaut wird und einen schritt weiter geht als abacus und das Passwort wirklich ersetzt.

21 mal geteilt

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!