Google und andere Unternehmen haben mit der FIDO Alliance zusammengearbeitet, um die Funktionsweise der Online-Sicherheit mithilfe eines Konzepts zu ändern, das sie „ Hauptschlüssel. Es ist eine großartige Idee mit ein paar Mängeln, die bedeuten, dass Google sie nicht unbedingt jedem zugänglich machen sollte.
Passkeys funktionieren mit zwei entscheidenden Elementen: Spezielle Hardware, die in den meisten Schlüsseln bereits enthalten ist beste Android-Handys und Kryptografiesoftware, die alle Spezifikationen erfüllt, um daraus einen sogenannten FIDO-Berechtigungsnachweis zu machen.
Wenn Sie Ihr Telefon einrichten, wird ein eindeutiger Schlüssel erstellt und in der sicheren Enklave Ihres Telefons gespeichert. Diese Kennung wird mit verwendet FIDO-Standards um eine Reihe von Anmeldeinformationen zu erstellen, die an jedes Gerät weitergegeben werden können, das mit Ihrem Telefon kommuniziert, oder an jede Software, die auf diesem Gerät ausgeführt wird, z. B. den Webbrowser oder eine App.
Nachdem alles eingerichtet ist, müssen Sie nur noch Ihr Telefon entsperren, um diese sicheren Anmeldeinformationen bereitzustellen.
Sie geben keine Informationen an, anhand derer Sie identifiziert werden können, aber alle Anmeldeinformationen sind dennoch einzigartig. Die einzige Online-Komponente ist ein in der Cloud gespeicherter Sicherungsschlüssel, der Ihnen bei der Wiederherstellung Ihrer Konten hilft.
Vereinfacht ausgedrückt bedeutet dies, dass Ihr Telefon einen Schlüssel speichert. Wenn Sie auf ein Online-Konto zugreifen möchten, das mit Passkeys funktioniert, entsperren Sie Ihr Telefon und der Schlüssel beweist, dass Sie wirklich Sie selbst sind.
Ich mag diese Zukunft, in der es keine Passwörter und Benutzernamen mehr gibt. Nicht so sehr wie Apple und Google, die wissen, dass man fast ein kompatibles Telefon haben muss, um es zu verwenden und Es gibt dort nur zwei echte Optionen – iOS und Android – aber ich denke, es ist ein Schritt in die richtige Richtung Richtung.
Allerdings empfehle ich Ihnen nicht, sofort loszulegen und es einzuschalten, sobald Sie eine Aufforderung sehen oder eine E-Mail von Google erhalten. Es ist einfach noch nicht ganz fertig.
Der Onboarding-Prozess selbst ist etwas unausgegoren. Einige meiner Kollegen hier bei Android Central haben es einigermaßen erfolgreich durchgearbeitet und nachdem sie mit einem auf einem angezeigten QR-Code herumgespielt haben Telefon und aufgefordert, es mit demselben Telefon zu scannen, URLs, die defekt sind und nichts bewirken, wenn Sie darauf tippen, und es wird Ihnen mitgeteilt dass die USB-Sicherheitsschlüssel musste eingefügt werden, obwohl nie eines eingerichtet wurde. Wir kamen alle zu dem gleichen Schluss: Das ist noch nicht bereit für die Hauptsendezeit.
Das bedeutet nicht, dass es in Zukunft nicht bereit sein kann oder wird. Wir haben das schon einmal von Google gesehen – bringen Sie schnell eine Funktion auf den Markt, die vorher noch viel Feinschliff braucht Sie geben es Milliarden von Nutzern – und wir haben gesehen, wie Google es schnell umgedreht hat und es so funktioniert vorgesehen. Das bedeutet, dass die Einrichtung Ihres Kontos mit einem Passkey derzeit möglicherweise eine wirklich schlechte Erfahrung ist.
Das ist aber nicht das eigentliche Problem, zumindest meiner Meinung nach. Mein Problem ist, dass es an ein physisches Gerät gebunden ist, das Sie zur Hand haben müssen, wenn Sie einen Onlinedienst nutzen möchten.
Dieses Gerät muss kein Telefon sein. Sie können auch einen physischen Sicherheitsschlüssel, ein Wearable oder etwas anderes mit der richtigen Hardware- und Softwareunterstützung als Authentifikator verwenden. Und das funktioniert gut – ich verwende a FIDO-kompatibler USB-Stick als Zwei-Faktor-Authentifizierungsmethode für den Zugriff auf meine Konten. Ich weiß auch, dass ich eine einfache Backup-Lösung für die Zeiten habe, in denen ich meinen Schlüssel nicht habe, wie heute, wenn ich nicht zu Hause in meinem eigenen Büro bin. Google Authenticator oder sogar SMS können lebensrettend sein.
Die meisten Leute werden jedoch ihr Telefon als Hauptschlüssel verwenden. Sie haben es bereits, Sie haben viel Geld dafür ausgegeben und die Firma, bei der Sie es gekauft haben, hat Ihnen gesagt, wie sicher alles daran ist. Darüber hinaus macht Google die Nutzung Ihres Telefons einfacher, da es dafür sorgt, dass Sie sich noch stärker auf Ihr Telefon verlassen können.
Fragen Sie sich jedoch: Könnte es sein, dass Sie jemals Ihr Telefon verlieren? Da ist es nicht so einfach.
Theoretisch müssen Sie sich zum erneuten Aktivieren Ihres sicheren Schlüssels lediglich mit einem neuen Telefon bei Ihrem Google-Konto anmelden. Selbst die „passwortlose Zukunft“ wird meiner Meinung nach noch ein Passwort benötigen. Auch wenn ich das nicht testen konnte, kann ich sagen, dass es wahrscheinlich wie vorgesehen funktioniert, weil es der am wenigsten komplexe Teil ist des Systems – bewahren Sie ein Backup des wichtigen, aber für sich genommen nutzlosen Teils in der Cloud auf, um ihn bei Bedarf abzurufen Es.
Hoffentlich bist du das nicht aus Ihrem Google-Konto gesperrt und können sich das tatsächliche Passwort merken, von dem Ihnen mitgeteilt wurde, dass Sie es nicht mehr benötigen, und Sie haben die Möglichkeit, eine SMS von Google zu erhalten oder sich bei einem anzumelden Authentifizierungs-App. Alles ohne Ihr Telefon in Ihren Händen. Herr, hilf dir, wenn dein Telefon gestohlen wurde und jemand dein Konto ausgenutzt hat, indem er zu oft versucht hat, darauf zuzugreifen.
Das sind reale Probleme, von denen wir jeden Tag hören. Es ist schon schrecklich, jemandem nicht helfen zu können, wieder auf sein Konto zuzugreifen, auf dem jahrelange Fotos gespeichert sind. Es ist ein Albtraum, wenn die Login-Daten für Dinge von Netflix bis zur Bank nicht zugänglich sind, während alles geklärt wird.
Schon bald werden wir alle Passkeys verwenden, weil wir keine andere Wahl haben. Bevor das passiert, hoffe ich sehr, dass jemand darüber nachdenkt, das System benutzerfreundlicher zu gestalten.