Trust Score: Macht Google Passwörter bald überflüssig?
"Bitte Benutzername und Passwort eingeben": herkömmliche Logins könnten bald der Vergangenheit angehören - zumindest auf Android-Geräten. Google hat auf seiner Entwicklerkonferenz I/O angekündigt Passwörter durch "Trust Score" zu ersetzen.
"Trust Score" sind die Weiterentwicklung von Project Abacus, das Google im vergangenen Jahr vorstellte. Sie sind eine Kombination aus verschiedenen Daten über den Nutzer, die legitimieren sollen, ob der Nutzer Zugriff auf sein Android-Gerät bekommt – oder nicht. Die dahintersteckende Trust API ist das Ergebnis langjähriger Arbeit und wird in den kommenden Wochen bei mehreren großen Finanzinstituten getestet.
Das Smartphone erkennt wer wir sind
Dan Kaufman, der Chef bei Google ATAP sagte auf der I/O: "Wenn dieser Test gut geht, wird es Ende des Jahres jeder Android-Entwickler weltweit verwenden können." Kaufman wünsche sich ein Smartphone, das erkennt, dass er er ist und er kein Passwort mehr eingeben müsse. Auch wenn Google recht zurückhaltend war, was Informationen angeht, ist zu Erkennen, dass Passwörter abgelöst werden sollen.
Für das automatische Legitimieren wurde der "Trust Score" entwickelt. Dieser besteht aus einer Kombination verschiedenen Datensätzen wie zum Beispiel die momentane Position (GPS), Gesichtserkennung und Schreibmuster. Apps haben dann unterschiedliche "Trust Score"-Level. Bei Banking-Apps liegt dieser beispielsweise höher als bei sozialen Netzwerken oder Spielen. Die Trust API läuft auf dem Gerät immer im Hintergrund und überwacht die Sensoren im Smartphone. So kann sie jede App mit dem aktuellen "Trust Score" versorgen, um zu bestätigen, dass Ihr seid, wer Ihr sagt. Diese Technologie könnte beispielsweise auch verwendet werden, um den Zugriff auf sensible Daten wie Notizen oder Dateien zu sperren, aber Zugriff auf den Browser erlauben, wenn Ihr Euer Smartphone aus der Hand gebt.
Zwei-Faktor-Authentifizierung abschaffen
Kaufman möchte mit der Trust API vor allem die umständliche Zwei-Faktor-Authentifizierung abschaffen, bei der neben der Eingabe eines Passworts auch noch ein zweiter Code benötigt wird, den der Nutzer auf einem anderen Gerät empfängt. Klingt hier danach als würde das Passwort nicht komplett überflüssig, sondern nur die SMS mit Zahlencode durch den Trust Score auf dem Smartphon ersetzt.
Unklar bleibt jedoch wie Google gedenkt, die Eingabe des Passworts genau zu umgehen. Wie werden neue Accounts oder Profile überhaupt angelegt? Geht das dann nur noch über das Smartphone? Wie melden wir uns bei diesen Diensten dann aber über unseren PC im Browser an? Vielleicht schafft Google auch nicht das Passwort an sich ab, sondern ausschließlich die Zwei-Faktor-Authentifizierung? Alles Fragen, die wir erst beantworten können, wenn Google die Trust API zugänglich macht.
Die Schattenseite
Spinnen wir den Gedanken von Google doch mal zu Ende: Auf der Pro-Seite steht, dass das Anmelden in Diensten oder Apps vereinfacht wird und eventuell sensible Daten vor Blicken Eurer Mitmenschen geschützt werden könnten. Zudem müsst Ihr Euch nicht mehr so viele Passwörter merken und der Anreiz unsichere Passwörter, die leicht zu knacken sind, nimmt ab. Am Ende erhöht sich so insgesamt die Sicherheit.
Dagegen steht auf der Kontra-Seite, dass alle Sensoren ständig aktiv sind. Dazu zählen neben Lagesensor und Mikrofon eventuell auch die Selfie-Kamera. Google hat so wieder einmal noch mehr Möglichkeiten Daten über Euch zu sammeln, die im Hintergrund ständig ausgewertet werden. Die Belastung für den Akku stellen wir uns deshalb auch sehr hoch vor. Ständige Überwachung, nur damit wir eventuell keine Passwörter mehr eingeben müssen? Ist es das wert? Mir nicht. Schreibt uns Eure Meinung in die Kommentare.