Abschaffung von Passwörtern: Apples Vorschlag wird von Google unterstützt

Die traditionelle Art und Weise der Anmeldung bei Online-Shops, Sozialen Netzwerken oder Cloudservices ist nach wie vor weit verbreitet. Seit geraumer Zeit gelten Verfahren, die ausschließlich auf Benutzernamen und Passwörter setzen, als potenziell unsicher. Abhilfe schaffen moderne Login-Methoden wie die Zwei-Faktor-Authentisierung (2FA) mit Einmalkennwörtern. Diese werden jedoch bislang vergleichsweise wenig genutzt, was unter anderem daran liegt, dass zahlreiche verschiedene Varianten angeboten werden.


Standard für Format der SMS-Nachrichten
Apple will das ändern. Das kalifornische Unternehmen hat deshalb bereits Ende Januar einen Standard zur Übermittlung von Einmalkennwörtern per SMS vorgeschlagen. Ein derartiges Verfahren ist Bestandteil der meisten 2FA-Methoden, allerdings gibt es kein einheitliches Format für die Kurznachrichten, jeder Dienst nutzt eigene Formulierungen. Das ist wenig komfortabel, da die Einmalpasswörter dadurch entweder im Anmeldeformular eingetippt oder per Copy & Paste eingefügt werden müssen.

SMS mit lediglich zwei Zeilen
Apples bei der Web Platform Incubator Community Group (WICG) eingereichter Vorschlag trägt den Titel "Origin-bound one-time codes delivered via SMS". Der kalifornische Konzern spezifiziert darin ein festes Textformat, welches von Webseiten oder Apps ohne Zutun des Anwenders ausgewertet werden kann. Dieses Format ist denkbar einfach, da die Nachricht lediglich aus zwei Zeilen besteht. Die erste dient der Information des Nutzers und lautet beispielsweise "747723 is your website authentication code". In der zweiten Zeile folgt dann die Information, welche an die App oder Webseite gerichtet ist, diese sieht folgendermaßen aus: "@website.com #747723".

Zusammenarbeit von Apple und Google
Google unterstützt Apples Vorstoß, was unter anderem daran zu erkennen ist, dass als zweiter Autor neben Theresa O'Connor von Apple mit Sam Goto auch ein Mitarbeiter des Suchmaschinenkonzerns genannt wird. Der Auffassung der Verfasser zufolge bietet das vorgeschlagene Verfahren mehr Sicherheit als herkömmliche SMS-Nachrichten, da das Einmalkennwort fest mit einem Domainnamen verknüpft ist. Sicherheitsrisiken wie etwa das Abfangen von Kurznachrichten durch böswillige Apps oder Man-in-the-Middle-Angriffe ließen sich damit allerdings nicht ausschalten. Sie empfehlen daher als Alternative den Einsatz von Authentisierungstechniken, die nicht auf SMS basieren, beispielsweise WebAuthn.

Kommentare

Semmelrocc08.04.20 12:40
Oh ja, da wäre ich auch sehr dafür, dass endlich die Post-Passwort-Ära ihren Siegeszug antritt!
+4
trigunas10808.04.20 12:45
2FA ist gut und sinnvoll, aber in meinen Augen auch nicht gänzlich unproblematisch. Geht mein Telefon verloren fängt es an problematisch zu werden speziell bei Verfahren die nicht auf SMS setzen sondern wie im Onlinebanking auf Apps. Habe ich kein Ersatzgerät fertig konfiguriert in der Schublade liegen oder bin vielleicht gerade im Urlaub unterwegs wo ich gerade mein Telefon geschrottet habe oder es geklaut wurde komme ich auch nicht mehr in meine Accounts bzw. kann kein Onlinebanking machen.
+5
BigLebowski
BigLebowski08.04.20 12:46
Sehr gut wenn man ein Gerät dabei hat.👍
Was ist wenn man irgendwo ist und eventuell bei einem Bekannten sich einloggen möchte ohne das man ein Gerät dabei hat?🤔
+5
becreart
becreart08.04.20 12:50
BigLebowski
Sehr gut wenn man ein Gerät dabei hat.👍
Was ist wenn man irgendwo ist und eventuell bei einem Bekannten sich einloggen möchte ohne das man ein Gerät dabei hat?🤔

dann wirst du weiterhin ein Passwort eingeben können, nur wie selten kommt das vor?
+2
maculi
maculi08.04.20 12:56
BigLebowski
einfach mal einige Zeit offline bleiben, kann auch eine ganz interessante Erfahrung sein
-1
ratti
ratti08.04.20 13:58
Die Unternehmen sind einfach scharf auf die persönlichen Daten, die 2FA hergibt, z.B. Telefonnummer. Anstelle eines relativ sicheren Passworts wird nun das Telefon zum Faktor, das ständig irgendwo rumnliegt, geklaut werden kann, oder einfach kaputt ist.

Letztes Jahr habe ich mein Telefon fallen lassen, war kaputt. Ich habe sofort ein neues Online gekauft, und im Bezahlvorgang kam… eine Bestätigungsaufforderung per SMS. Auf das kaputte Telefon. Dessen Ersatz ich ja gerade kaufen wollte. Toll! Sowas schon mal bedacht?

Ich hatte Glück, der zersplitterte Screen liess sich noch bedienen. Aber mal im Ernst… so'n Ding im Urlaub, und auf einmal bist zu zirkulär ausgesperrt. Mein Passwort weiss ich auswendig.
+1
ratti
ratti08.04.20 14:00
Ach ja, und: In der Firma ist 2FA Pflicht, deswegen haben wir so'nen kleinen USB-Stick. Wenn ich was mit Apple machen will, das bei Google liegt, macht Apple nur Safari auf, nix anderes. Und Google akzeptiert den Stick nur in Chrome. Toll, sowas alles…
0
Mecki
Mecki08.04.20 14:27
Warum "Abschaffung von Passwörtern"? Ich lese hier nur, dass der 2FA Code dadurch automatisch verarbeitet werden kann. Also man logt sich immer noch mit Namen und Passwort ein und erhält dann einen 2FA Code, nur muss man hier dann nichts mehr machen, weil das System den 2FA Code als solchen erkennt und automatisch weiterleitet.

Adlerdings kann mir ja jeder eine SMS in diesem Format senden, woher will mein System wissen, dass die SMS wirklich von Apple oder von Google kommt? Das geht nur, wenn es auch die Absendernummern all dieser Dienste kennt. Und als Schutz gegen Trojanern bringt das System sowieso nichts, weil die können die SMS genauso abfangen wie die Passworteingabe, wenn sie mal das System kontrollieren.

Und was Komfort angeht, mein Passwort Manager (Bitwarden) hat auch einen OTP Generator eingebaut (Premium Feature, aber die kosten $1 pro Monat) und wenn ich mich wo einlogge, dann hat der automatisch schon den OTP Code erzeugt und in die Zwischenablage kopiert; ich muss dann nur einmal Einfügen auswählen (bzw. CMD+V am Mac) und schon ist der eingetragen. Das alles bringt auch nichts, wenn ein Trojaner das System kontrolliert, nur dann bringt halt selbst WebAuthn nichts.
+1
sierkb08.04.20 15:40
W3C Community Group Draft Report (02.04.2020): Origin-bound one-time codes delivered via SMS
Editors: Theresa O’Connor (Apple), Sam Goto (Google)

W3C Web Plaform: Participants in the Web Platform Incubator Community Group :
Chairs (4):

Marcos Caceres (Mozilla Foundation)
Chris Wilson (Google, Inc.)
Yoav Weiss (Google, Inc.)
Travis Leithead (Microsoft Corporation)

Participants (425) – Sort by person name | Sort by organization name:

[…]

W3C Editors' Home Page :
W3C
Introduction

One of the main accomplishments at W3C is to write specifications and create standards out of them. While the Working Groups at large are responsible for building consensus on the technical decisions, the editors have the heavy responsibility of transforming these decisions into actual specifications.

This page tries to gather resources that can help editors do their job: documentation, tools, tutorials, etc. If you know other resources that would benefit editors by being listed here, please inform the W3C Communication Team at w3t-comm@w3.org.
[…]
-1
sierkb08.04.20 15:54
W3C Community & Business Groups
W3C Community and Business Groups give developers, designers, and anyone passionate about the Web a place to hold discussions and publish ideas. These groups are proposed and run by the community. :
W3C
A W3C Community Group is an open forum, without fees, where Web developers and other stakeholders develop specifications, hold discussions, develop test suites, and connect with W3C's international community of Web experts.

A W3C Business Group gives innovators that want to have an impact on the development of the Web in the near-term a vendor-neutral forum for collaborating with like-minded stakeholders, including W3C Members and non-Members.
0
Michael Lang08.04.20 16:26
@sierkb:
Und was ist Dein Kommentar zu all den geposteten Zitaten?
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
+4
sierkb08.04.20 16:50
Michael Lang:

Diese Community Group, die dieses Dokument hervorgebracht hat, besteht insgesamt aus 425 Firmen- und Einzel-Mitgliedern, darunter mehrere Firmenmitglieder – Apple mit seinen Gruppenmitgliedern ist nur eine Firma davon, Google mit seinen Gruppenmitgliedern ist nur eine davon – weitere durch entsprechende Mitglieder vertretene Firmen (geleitet – chaired – von 4 Personen/Mitgliedern von 3 Firmen: Google, Microsoft, Mozilla) sind u.a. Alibaba Group, Adobe, Apple, BBC, Facebook, Google, iFixit, Igalia, Intel, LG, Logitech, Microsoft, Mozilla, Netflix, Samsung, The Guardian, Verizon, Vimeo, W3C, Zalando, etc. Man zähle mal durch und schaue sich die Mitglieder-Liste jener Gruppe an.

Apples Vorschlag, so denn überhaupt alleinig von Apple stammend, wird mehrheitlich von allen Mitgliedern gestützt, nicht nur von Googles Mitgliedern. Die Editoren eines solchen Dokuments schreiben nur nieder, was im Konsens zuvor von einer Mehrheit bzw. allen Mitgliedern so diskutiert und beschlossen worden ist, sie haben keine eigene inhaltliche Gestaltungsmacht, sie sind lediglich sozusagen Schriftführer (einer muss es ja schließlich niederschreiben, zu Papier bringen, was die Gruppe zuvor diskutiert und beschlossen hat).

Das Ganze ist nur ein Draft, eine nicht-normative Ideen-Sammlung. Eine solche Community-Group ist die Vorstufe zu einer Arbeitsgruppe (Working Group), welche dann später in einem neuen Prozess eine normative Spezifikation draus machen kann und wo ggf. bzw. garantiert erneute Änderungen erfolgen.

So wie es hier vom MTN-Autor dargestellt wird, ist es arg verkürzt und vermittelt einen falschen Eindruck. Es ist keine Sache, an der nur Apple und Google beteiligt sind, sondern noch eine ganze Stange mehr an Leuten und Firmen, Organisationen und Individuen – was auch völlig üblich und normal ist im Dunstkreis des W3C bzw. W3C Arbeitsgruppen und Community-Gruppen. Das ist stets ein Prozess, an dem ganz Viele beteiligt sind und nicht nur wenige, und das ist auch beabsichtigt.
+1
BaciVE08.04.20 17:48
Man sollte dem User die Entscheidung überlassen. Ich persönlich will keine 2-Faktor-Authentifizierung nutzen. Es ist auch in der jetzt vorgeschlagenen Lösung lästig und dauert länger.
-2
Mecki
Mecki09.04.20 01:44
sierkb
Apples Vorschlag, so denn überhaupt alleinig von Apple stammend, wird mehrheitlich von allen Mitgliedern gestützt

Wird er nicht. Jedes Mitglied kann dort einen Vorschlag einreichen und zwar ganz alleine. Deswegen wird der noch von überhaupt niemanden gestützt. Wie gesagt, das ist nur ein Vorschlag und den reicht man dort ein, damit die anderen ihn lesen, diskutieren und sich dann entscheiden können, ob sie den unterstützen wollen.

Hier ist der Vorschlag: Eingereicht wurde der von "Theresa O'Connor from Apple and Sam Goto from Google" und Apple hat eben schon angekündigt, sie würden das in Safari implementieren und Google, dass sie es in Chrome implementieren würden. Mozilla ist sich noch unschlüssig, ob sie das in Firefox haben wollen, aber sie haben sich auch noch nicht dagegen ausgesprochen; siehe Abschnitt "Stakeholder Feedback" des Vorschlags (das meinte der Autor wohl mit Zustimmung).

Was die anderen Mitglieder darüber denken, ist eigentlich irrelevant, denn die haben keinen eigenen Browser und werden folglich auch nichts tun müssen, wenn der Standard kommt bzw. können auch nicht verhindern, dass die drei großen das einfach so beschließen (die dürfen in ihre Browser einbauen, was auch immer sie wollen, Pech wenn das den anderen nicht passt, aber die haben da gar nichts zu melden); trotzdem dürfen die jetzt in Kommentaren gerne öffentlich ihren Senf dazu abgeben, Verbesserungen vorschlagen oder Kritikpunkte offen benennen.

Deren Zustimmung entscheidet nur ob es seine offizielle Empfehlung wird, aus der dann ggf. ein Standard wird, aber wenn nicht, dann können das Apple, Google und Mozilla am Ende trotzdem so machen, nur müssen da halt auch die Webseitenbetreiber mit machen und da hilft es, wenn es einen Standard gibt oder zumindest eine Empfehlung. Anderseits haben die Hersteller von Browsern schon vieles de facto durchgesetzt und hinterher hat man dann erst einen Standard daraus gemacht.
0
Mecki
Mecki09.04.20 01:50
BaciVE
Man sollte dem User die Entscheidung überlassen.
Tut man ja auch. Es geht hier nicht darum, 2FA einzuführen oder zu erzwingen, sondern das vorhandene SMS 2FA, das heute schon viele Seiten und Dienste nutzen, zu vereinfachen und zu automatisieren, so dass der Nutzer im Idealfall gar nicht merkt, dass er 2FA macht, wenn die SMS in Sekunden eintrifft, der PIN übermittelt wird und dann die SMS auch gleich wieder gelöscht wird, was eben nur geht, wenn das System diese auch automatisch erkennen und verarbeiten kann und der Nutzer nichts mehr dabei manuell tun muss, außer ich wie bisher mit Nutzername und Passwort an der Seite anzumelden.
+2
sierkb09.04.20 03:50
Mecki
sierkb
Apples Vorschlag, so denn überhaupt alleinig von Apple stammend, wird mehrheitlich von allen Mitgliedern gestützt

Wird er nicht. Jedes Mitglied kann dort einen Vorschlag einreichen und zwar ganz alleine. Deswegen wird der noch von überhaupt niemanden gestützt. Wie gesagt, das ist nur ein Vorschlag und den reicht man dort ein, damit die anderen ihn lesen, diskutieren und sich dann entscheiden können, ob sie den unterstützen wollen.

Hier ist der Vorschlag: Eingereicht wurde der von "Theresa O'Connor from Apple and Sam Goto from Google" und Apple hat eben schon angekündigt, sie würden das in Safari implementieren und Google, dass sie es in Chrome implementieren würden. Mozilla ist sich noch unschlüssig, ob sie das in Firefox haben wollen, aber sie haben sich auch noch nicht dagegen ausgesprochen; siehe Abschnitt "Stakeholder Feedback" des Vorschlags (das meinte der Autor wohl mit Zustimmung).

Am Ende wird es von allen bzw. von einer Mehrheit gestützt werden, dazu ist man in genau so einer Gruppe drin. Um es gemeinsam zu erarbeiten und Konsens miteinander zu finden nicht gegeneinander zu arbeiten und eigene Dinger zu drehen. Das Ganze ist noch in einer sehr frühen Entstehungs- und Findungs- und Diskussionsphase, es sind noch nicht alle Meinungen dazu eingeholt und fix, das Ganze ist noch sehr im Fluss und im Werden. U.a. genau dazu, um dem einen besseren Raum zu geben, existieren diese Community Groups. Um die Arbeitsgruppen, in welchen später ein solcher Standard konkretisiert und finalisiert wird, zu entlasten bzw. um diese wichtige Diskussions- und Abstimmungsarbeit vorzuverlagern und noch weiter zu verbreitern. Diese Community Groups existieren zu genau diesem Zweck, sie gibt es noch nicht so lange, sie gibt es erst als Ergebnis einer großen Umstrukturierung der Arbeitsgruppen und Arbeitsweise seitens des W3C und seiner Interessierten.
Was die anderen Mitglieder darüber denken, ist eigentlich irrelevant

Ist es nicht. Ganz im Gegenteil. Wenn es egal wäre, bräuchte man so eine Gruppe nicht. Eine solche Gruppe existiert nicht, um für sich selber zu wurschteln und sein Ding zu drehen, sondern um gemeinsam etwas zu erarbeiten und das in einem möglichst breiten Konsens.
denn die haben keinen eigenen Browser und werden folglich auch nichts tun müssen, wenn der Standard kommt bzw. können auch nicht verhindern, dass die drei großen das einfach so beschließen (die dürfen in ihre Browser einbauen, was auch immer sie wollen, Pech wenn das den anderen nicht passt, aber die haben da gar nichts zu melden)

Du verkennst den Sinn und Zweck solcher Community- und Arbeitsgruppen.
trotzdem dürfen die jetzt in Kommentaren gerne öffentlich ihren Senf dazu abgeben, Verbesserungen vorschlagen oder Kritikpunkte offen benennen.

Nicht nur dürfen, sondern sogar: sollen. Dafür ist man in dieser bzw. so einer Grupe organisiert. Um sowas auf einer möglichst breiten Grundlage nach vorne zu bringen mit möglichst viel Zustimmung und Feedback vom möglichst vielen Mitgliedern und Stimmen. Ansonsten ist das Ganze für die Katz, und man kann es dann lieber im stillen Kämmerlein für sich machen, wenn das nicht gewünscht wäre.
Deren Zustimmung entscheidet nur ob es seine offizielle Empfehlung wird, aus der dann ggf. ein Standard wird, aber wenn nicht, dann können das Apple, Google und Mozilla am Ende trotzdem so machen

Ein offizieller Standard wird dann draus, wenn es mindestens 2 Implementierungen 2er verschiedener Hersteller gibt, die dahinterstehen, so verlangen es die W3C-Statuten, wenn das nicht absehbar ist, kommt sowas gar nicht erst ins Standard-Track-Verfahren beim W3C.
nur müssen da halt auch die Webseitenbetreiber mit machen

Tun sie bzw. sie sind eingeladen, daran mitzuwirken und sich einzubringen, u.a. auch dafür existiert so eine Community-Gruppe bzw. Arbeitsgruppe: jeder, der Interesse hat und mitreden kann und sich einbringen kann, darf sich einbringen und mitmachen, auch Du und ich. U.a. sind in der Gruppe Individuen genannt ohne Firmenzugehörigkeit, das können u.a. genau solche Leute sein. Oder/und sog. Invited Experts.
und da hilft es, wenn es einen Standard gibt oder zumindest eine Empfehlung.

Welche nicht im luftleeren Raum entsteht bzw. nicht einfach vom Himmel fällt. Sondern genau so wie von mir beschrieben.
Anderseits haben die Hersteller von Browsern schon vieles de facto durchgesetzt und hinterher hat man dann erst einen Standard daraus gemacht.

Jein. Wie bereits gesagt: es gibt beim W3C bzgl. Standards eine Faustregel: es müssen mindestens 2 voneinander unabhängige Implementierungen von 2 voneinander unabhängigen Anbietern/Herstellern entweder bereits vorhanden sein oder in Aussicht stehen, um seitens des W3C etwas zum Standard (strenggenommen auch dort aus historischen Gründen stets Recommendation = Empfehlung bezeichnet) zu erklären oder es formal zu einem allgemeingültigen Standard zu machen. Nur weil einer etwas macht und bei sich umsetzt, reicht das nicht aus, um seitens des W3C ein OK dazu zu geben und das zu zum Standard zu erklären, auch nicht im Nachhinein, es braucht mindestens noch einen zweiten Anbieter/Hersteller, der es genauso sieht und stützt und bei sich auch umsetzt. Nur erst dann ist die Mindestvoraussetzung erfüllt, um daraus für die Allgemeinheit und andere seitens des W3C bzw. mit dem Plazet des W3C etwas festzuschreiben.
0
abonino09.04.20 15:57
ICH WILL NICHT meine Handy-Nr für sowas hergeben.
Ein Schweizer Kredit-Unternehmen hat dann angefangen, nicht nur den TAN-Code, sondern auch Werbung darüber zu versenden!!
;((((((((((((((((
Die alte Zusicherung der CH-Banken, sich niemals per Email an die dirket Kunden zu wenden, war eine gesunde Erkenntnis, interne Mail-Systeme sind da viel vernünftiger.
Wehret den Anfängen - lieber-noch Papier - und harte Eier wünsch ich (minischrift) allen Männern (/minischrift) zu Ostern.
Gruss Arthur
-1
Mecki
Mecki11.04.20 14:28
abonino
ICH WILL NICHT meine Handy-Nr für sowas hergeben.
Ein Schweizer Kredit-Unternehmen hat dann angefangen, nicht nur den TAN-Code, sondern auch Werbung darüber zu versenden!!
Nochmal, es geht hier um einen Standard, der SMS PINs automatisieren und somit extrem vereinfachen soll für die Leute, die so etwas bereits heute nutzen. Es geht hier nicht darum das für alle und schon gar nicht für irgendwen verpflichtend einzuführen. Für Leute, die das aktuell nicht nutzen und künftig auch nicht nutzen wollen ändert sich rein gar nichts, wenn das hier als Standard verabschiedet wird! Vor allem gibt es ja diverse Alternativen (OTP Generator in Software, Hardware Token, USB Sticks, optische TAN Genratoren, usw.) und die meisten Anbieter, die 2FA bieten, bieten mindestens eine, wenn nicht sogar gleich mehrere dieser Alternativen an. Bei Paypal oder LinkedIn z.B. kannst du dir aussuchen, ob die PINs per SMS haben willst oder selber mit einen OTP Generator erzeugen möchtest und bei meiner Bank wird der 2FA Login genau wie das Freischalten von Transaktionen per optischen TAN Generator gemacht.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.