Der Suchmaschinen-Riese veröffentlichte einen Hardware-Sicherheitsschlüssel, der die Accounts von Google Usern noch besser vor Phishing-Attacken schützt.
Die Hardware trägt den Namen Titan Security Key. Sie kommt mit einer von Google entwickelten Firmware, um die Integrität des Schlüssels zu gewährleisten. Laut CNET soll das Gerät in Form eines USB-Sticks oder Bluetooth-Dongles erscheinen und keine zusätzlichen Software-Treiber benötigen.
Dieser weitere Authentifizierungsfaktor ist eine Ergänzung. Neben dem Passwort = nicht physischer Authentifizierungsfaktor komplementiert der Titan Security Key den Authentifizierungsfaktor des Besitzes (vglw. SMS Einmal-Passwort).
Mit der 2-Faktor-Authentifizierung (2FA) sind Login-Daten allein, wie Benutzername und Passwort, wertlos. Cyberkriminelle müssten auch noch an den zweiten Login-Faktor – z.B. Titan Security Key – gelangen, um ein Online-Konto zu knacken.
Üblicherweise handelt es sich beim zweiten Authentifizierungsschritt um einen Verifizierungs-Code in Form einer SMS-Nachricht oder via Authenticator App. Aber auch die Nutzung von physischen Authentifizierungstoken steigt rasant.
„Schon seit geraumer Zeit befürworten wir den Einsatz von Sicherheitsschlüsseln als starken und hoch Phishing-resistenten Authentifizierungsfaktor für wichtige User, wie Cloud Admins, um gegen potentielle schädliche Konsequenzen durch Datendiebstahl gewappnet zu sein.“ meint das Unternehmen.
Titan Security Key ist derzeit für Google Cloud User verfügbar und soll in den nächsten Monaten zum allgemeinen Verkauf bereitgestellt werden.
Die Mitteilung folgte unmittelbar einer Bekanntgabe gegenüber KrebsonSecurity, dass Google seit dem frühen Jahr 2017 keinen einzigen Phishing-Vorfall unter 85.000 Kollegen zu verzeichnen hat. Das sei der Einführung der physischen Token zu verdanken. Vorher verwendete Google den eigenen Google Authenticator.
Googles Key entspricht dem FIDO U2F (Universal 2nd Factor) Standard und verspricht den Anwendern einen einfachen Login-Vorgang durch einen Tastendruck auf der Hardware. Diese sollte im Vornherein allerdings mit dem entsprechenden Online-Account verknüpft werden.
Bereits 2014 hatte Google die Unterstützung für die hardwarebasierte 2FA-Authentifizierung für Chrome-Nutzer implementiert, um den Anmeldevorgang beim Google-Konto sicherer zu gestalten.
Anfang des Jahres gab das Unternehmen aber bekannt, dass weniger als jeder zehnte Google-Kontoinhaber überhaupt eine der angebotenen 2FA-Methoden verwendet. Angesicht des wertvollen Beitrags der Multifaktor-Authentifizierung zur höheren Sicherheit des Online-Kontos in Relation zum vergleichsweise geringen Aufwand ist das leider nur eine sehr dürftige Zahl.