So verändert Google mit QR-Codes Ihre Anmeldung

QR-Codes sind zu einem integralen Bestandteil unseres digitalen Lebens geworden, aber Google arbeitet daran, sie noch integraler in das Benutzererlebnis zu integrieren. Kürzlich hat Google eine neue Funktion angekündigt, die es Benutzern ermöglicht, sich durch Scannen von QR-Codes bei ihren Konten anzumelden. In diesem Artikel untersuchen wir, wie diese Funktion funktioniert und was diese Änderung für die Zukunft der Anmeldung und der digitalen Sicherheit bedeutet.

Google verzichtet auf die Zwei-Faktor-Authentifizierung per SMS und setzt stattdessen auf QR-Codes. Die neue Zwei-Faktor-Authentifizierungsmethode bietet einen besseren Schutz vor Phishing und anderen gängigen Bedrohungen, ist jedoch je nach Implementierung durch Google möglicherweise weniger bequem als die SMS-Verifizierung.

Die meisten großen Websites verwenden eine Zwei-Faktor-Authentifizierung, um zu verhindern, dass Hacker kompromittierte Konten kapern. Die Idee ist ziemlich einfach: Ein Hacker, der Ihren Benutzernamen und Ihr Passwort stiehlt, hat selten direkten Zugriff auf Ihr Smartphone oder Ihren E-Mail-Posteingang. Anstatt sich also auf Benutzernamen und Passwörter als einzige Form der Anmeldeüberprüfung zu verlassen, versenden Websites Einmalcodes per SMS oder E-Mail, um sicherzustellen, dass die Anmeldeversuche legitim sind.

Durch die Zwei-Faktor-Authentifizierung wird die Kontosicherheit erheblich erhöht. Leider wird dadurch auch der Anmeldevorgang erheblich langsamer. Websites wie Google wissen, dass die Zwei-Faktor-Authentifizierung lästig sein kann. Daher entscheiden sie sich oft für die bequemste Form der Authentifizierung – den einfachen einmaligen Bestätigungscode per SMS.

Wir bezeichnen SMS oft als Zwei-Faktor-Authentifizierungsmethode. "Minimum". Es ist besser als nichts, aber alles andere als perfekt. Angenommen, ein Hacker stiehlt den Benutzernamen und das Passwort für Omas Bankkonto. Ein Hacker kann die SMS-Verifizierung umgehen, indem er Oma anruft, sich als Google ausgibt und sie direkt nach dem Code fragt. Zwar ist eine SMS-Authentifizierung besser als nichts, sie kann soziale Manipulation jedoch nicht verhindern. In manchen Fällen kann es Betrügern sogar einen Anschein von Authentizität verleihen: Wenn ein Hacker beispielsweise vor dem Anruf bei Oma eine SMS mit Zwei-Faktor-Authentifizierung aktiviert, kann er dies als Vorwand nutzen, um zu sagen: „Wir haben festgestellt, dass Ihr Konto angegriffen wird. Geben Sie uns diesen Code, damit wir das Problem beheben können.“

Seit 2021 ist die SMS-Authentifizierung eine standardmäßige Anmeldeanforderung für alle Google-Konten. Nach vier Jahren Erfahrung teilte Google Forbes mit, dass es nun ein robustes Zwei-Faktor-Authentifizierungssystem implementieren möchte. Als Grund für die Änderung nennt das Unternehmen Phishing sowie Sicherheitsmängel auf Seiten des Netzbetreibers.

Die gewählte Alternative zur SMS-Authentifizierung – QR-Codes – würde die Kontosicherheit für alle Google-Benutzer erhöhen. Für Hacker dürfte es schwierig sein, Oma davon zu überzeugen, einen beliebigen QR-Code zu scannen. Und da dieses QR-Code-System nicht auf SMS basiert, kann es auch nicht von den notorisch schlechten Sicherheitspraktiken der Telekommunikationsunternehmen gehackt werden.

„In den nächsten Monaten werden wir die Art und Weise, wie wir Telefonnummern verifizieren, neu überdenken. Konkret heißt das: Anstatt deine Nummer einzugeben und einen 6-stelligen Code zu erhalten, wird dir ein QR-Code angezeigt, den du mit der Kamera-App deines Telefons scannen musst.“

Zur Implementierung der neuen 2FA-Methode erklärt Google: „Wenn Sie versuchen, sich bei Ihrem Google-Konto anzumelden, wird ein QR-Code angezeigt, den Sie mit der Kamera-App Ihres Telefons scannen müssen.“ Es scheint ziemlich unkompliziert zu sein, aber ich frage mich, wie es mit den Feinheiten aussieht. Dieses System geht beispielsweise davon aus, dass Sie auf Ihrem Telefon bereits bei Google angemeldet sind – was, wenn dies nicht der Fall ist? Wie handhabt Google die 2FA für die mobile Anmeldung?

Auch QR-Codes sind nicht immun gegen Phishing. Ich gehe davon aus, dass es sich bei diesen QR-Codes lediglich um Weblinks handelt. Sie werden möglicherweise auf eine Webseite weitergeleitet, auf der beispielsweise steht: „Ein bestimmtes Gerät versucht, sich bei Ihrem Konto anzumelden. Möchten Sie ihm Zugriff gewähren?“ Es ist besser als ein sechsstelliger SMS-Code, aber Sie können Ihre Oma durchaus davon überzeugen, auf die große blaue Schaltfläche „Bestätigen“ zu klicken, wenn Sie es wirklich versuchen. (Der Klarheit halber: Ich gehe davon aus, wie die QR-Verifizierung von Google funktioniert. Ich könnte mich völlig irren.)

Wir benötigen dringend eine sicherere, fortschrittlichere und bequemere 2FA-Methode. Physische Sicherheitsschlüssel sind hervorragend, werden jedoch nicht überall akzeptiert und können sehr gnadenlos sein. Passkeys machen die Zwei-Faktor-Authentifizierung in manchen Fällen überflüssig, machen 2FA jedoch nicht überflüssig und viele Websites, die Passkeys verwenden, verlangen noch immer 2FA.

Kennen Sie diese seltsamen Restaurants, die QR-Codes anstelle von Speisekarten verwenden? Die Anmeldung bei Ihrem Google-Konto wird sich ungefähr so ​​anfühlen. Die Vorstellung, während ich mich in einen Google Meet-Anruf stürze, mein Telefon herauszuholen und auf den Bildschirm zu richten, begeistert mich nicht besonders, und ich bin auch kein großer Fan von QR-Codes, aber ich stimme der Entscheidung von Google zu, eine flexiblere 2FA-Methode einzuführen.

Quelle: Google via Forbes