Android-Phones werden zu Security Keys

Google überträgt die Hardware-Token-Technologie auf Android. Dadurch können Smartphones als Security Key genutzt werden.

von Stefan Bordel 15.04.2019

Dass eine Zwei-Faktor-Authentifizierung (2FA) die Sicherheit von Onlinekonten wesentlich erhöht, ist kein Geheimnis. Durch den Einsatz kryptografischer Hardware-Token wie den YubiKeys oder Googles Titan Security Key lässt sich der Schutz dieser zusätzlichen Sicherheitsebene sogar nochmals ausbauen.
Google möchte nun die Nutzung solcher Sicherheitslösungen vereinfachen und überträgt dazu die kryptografischen Technologien der Hardware-Token auf seine mobile Android-Plattform. So wird praktisch jedes Android-Smartphone zum Security Key für die Anmeldung am Google-Konto.

Sichere Anmeldung via Smartphone Sichere Anmeldung via Smartphone © Google

Allerdings müssen für den Einsatz einige Voraussetzungen erfüllt sein: So ist etwa mindestens Android 7 oder höher erforderlich sowie ein Desktop-System mit Windows 10, macOS X oder Chrome OS und Bluetooth-Support. Aktuell wird die per Smartphone abgesicherte Anmeldung zudem nur unter Chrome unterstützt.

Für die Einrichtung der Authentifizierungslösung muss zunächst in den Konto-Einstellungen von Google die Anmeldung via 2FA aktiviert werden. Anschliessend wählt man in der Eingabemaske die Option «Sicherheitsschlüssel hinzufügen». Nun lässt sich das Android-Smartphone als neuer 2FA-Token einrichten und nutzen. Google empfiehlt seinen Nutzern zudem, während des Vorgangs gleich einen Satz Backup-Codes anzulegen. Die Codes sichern den Zugang zum Google-Konto, falls das Smartphone defekt ist oder gestohlen wurde.

2FA-Anmeldung via Smartphone

Grundsätzlich ist eine per 2FA abgesicherte Anmeldung zum Google-Konto über das Smartphone schon seit Mitte 2016 möglich. Allerdings wird dabei die Bestätigung des Smartphones über das Internet und nicht via Bluetooth versendet. Für eine lokale Anmeldung muss das Gerät also nicht zwingend vor Ort sein und das stellt ein gewisses Sicherheitsrisiko dar. Neben dieser Anmeldeoption unterstützt Google zudem noch die Nutzung von 2FA via App, Sprachnachricht oder SMS. Von letzterer Möglichkeit raten Sicherheitsexperten jedoch ab, da sich SMS-Nachrichten relativ einfach abfangen lassen. So wurde beispielsweise das Onlineportal Reddit Anfang 2018 über einen abgefangenen SMS-Code gekapert.