Topthemen

Project Abacus und Trust API: Will Google wirklich das Passwort abschaffen?

androidpit de passwort
© nextpit

Benutzername. Passwort. Und um ganz sicher zu gehen, noch ein einmaliger Code, der zweite Faktor, der via SMS oder Authenticator-App gesendet wird. Alles nicht ganz simpel und wenig intuitiv. Google will nun mit Project Abacus und einer neuen Trust API diesen Prozess einfacher gestalten. Project Abacus heißt Googles Antwort und soll noch in diesem Jahr für Android verfügbar sein.

Project Abacus hatte auf der Google I/O 2016 nur einen kurzen Auftritt - doch die Auswirkungen könnten riesig sein: Denn Google könnte daran arbeiten, Passwörter abzuschaffen. Allerdings sind die Äußerungen von Google so knapp ausgefallen, dass diese Schlussfolgerung vielleicht zu weit geht. Aber der Reihe nach:

Project Abacus basierte auf der Vision eines Google-Entwicklers. Dan Kaufmann, Chef der zuständigen Google-Entwicklungsabteilung ATAP, skizziert diese so: "Wir haben ein Smartphone und darin sind so viele Sensoren enthalten. Warum kann es nicht wissen, wer ich bin, so dass ich kein Passwort mehr benötige. Ich will einfach arbeiten können." Also doch: Passwort abschaffen. Doch Dan Kaufmann spricht weiter. Er erklärt, dass ATAP zusammen mit Kollegen aus der Maschinenlern-Abteilung an dem Thema gearbeitet habe und aus diesen Ideen heraus die Trust API entwickelt habe. Trust API ist also der konkrete Name des Produkts, das aus der Abacus-Idee herausgekommen ist. Und er fährt fort:

Was wir damit machen, ist, die Umständlichkeit der Zwei-Faktor-Autorisierung abzuschaffen.

Mit dem Wort "damit" bezeichnet Kaufmann die Trust API, er spricht von der Zwei-Faktor-Authentifizierung, im Gegensatz zu dem davor von ihm benannten Passwort. Hat Google mit diesen Worten also das Ende der Passwörter verkündet? Leider bleiben die konkreten Einzelheiten zur Trust API skizzenhaft. Eines steht daher fest: Richtig viel bekannt ist über die Trust API nicht.

So soll die Trust API funktionieren

Googles Herangehensweise ist simpel: In Smartphones stecken viele Sensoren und in der Interaktion mit dem Handy entstehen viele weitere Daten, zum Beispiel Tippmuster. Könnte es nicht sein, dass aus diesen Daten für jeden Nutzer ein ganz individuelles Muster erstellt werden kann? Googles Antwort auf diese Frage lautet "Ja". Und so soll das ganze funktionieren:

Google errechnet aus mehreren Datenquellen einen kombinierten Trust-Score. Darin können zum Beispiel der aktuelle Aufenthaltsort, Tippmuster, Sprachmuster, Gesichtserkennung und andere Daten enthalten sein. Project Abacus sammelt all diese Daten im Hintergrund und wertet die Verhaltensmuster aus. Der Trust Score gibt an, wie sicher sich das Smartphone ist, dass der Nutzer ist, wer er zu sein behauptet. Entwickler können diesen Score mittels der Trust API abfragen.

Steht das Ende des Passworts nun unmittelbar bevor?

In seinen kurzen Ausführungen zur Trust API geht Dan Kaufmann nicht auf die Frage von Benutzername und Passwort ein. Das erscheint eigentlich merkwürdig, denn das Ende des Passworts hätte doch wohl einen hohen Nachrichtenwert, zumal in einer Veranstaltung, in der visionäre Konzepte aus dem Ideenlabor von Google präsentiert werden. Würde die Trust API tatsächlich den User erkennen können, so wäre es tatsächlich vorstellbar, dass ein Passwort nicht benötigt würde. Selbst Googles ursprüngliche Präsentation von Project Abacus (hier zu sehen), bleibt unspezifisch zur Frage, wie sich Nutzer künftig Accounts anlegen und diese schützen können (darum geht es ja beim Passwort).

Möglich wäre aber auch, dass Google gar nicht das Ende von Passwörtern im Sinn hat, sondern lediglich den zweiten Autorisierungsschritt abschaffen möchte - möglicherweise auch in dem Sinn, dass eine ständige Identitätskontrolle erfolgt. Das wäre insofern vernünftig, denn ganz ohne die Eingabe von Benutzername und Passwort kann ein Login eigentlich ja gar nicht funktionieren. Man denke an den ersten Start der Datensammlung: An diesem Punkt weiß die API ja noch nicht genug über den Nutzer.

Nun spricht Kaufmann ja von dem Zwei-Faktor-Prozess, denn er mit der Trust API vereinfachen wolle. Das klingt jedenfalls plausibel: Den zweiten Faktor beim Login-Prozess könnte eine App nach Eingabe der üblichen Zugangsdaten verlangen. Statt den Code aus einer SMS oder App einzugeben, erkennt das Smartphone nun selbst, ob der User am Touchscreen ist oder nicht. Damit würde die Trust API lediglich einen bereits erfolgten Login absichern.

Nun könnte zum Beispiel ein Spiel einen niedrigeren Trust-Score verlangen als eine Banking-App. Erkennen könnte Abacus den Nutzer zum Beispiel über die Selfie-Cam, über das Tippmuster, während er Benutzername und Passwort eingibt oder anhand anderer Faktoren. Möglicherweise könnte eine App auch einen besonders sicheren Modus verlangen - zum Beispiel einen Fingerabdruck oder gar ein Passwort.

Welchen Weg Google mit der Trust API auch geht: Noch im Sommer will Google das Verfahren mit Banken testen und, soweit die Testphase erfolgreich verläuft, die Trust API Ende des Jahres für alle Android-Entwickler verfügbar machen.

Weitere Anwendungszwecke

Google geht aber über die schlichte Zwei-Faktor-Authentifizierung hinaus. Denn Dan Kaufmann sagt explizit, dass er gespannt sei, was die Entwickler mit dieser Technologie machen. Die Trust API läuft ständig im Hintergrund, so dass eine App ständig eine Abfrage starten kann. Nur eine Idee: Der Boss Browser. Ihr surft an Eurem Smartphone und wenn Ihr das Handy aus der Hand gebt, dann erscheint sofort eine andere Webseite. Oder bei rundenbasierten Spielen könnte das Spiel erkennen, wenn ein anderer Nutzer das Handy in die Hand nimmt. Und Notizen-Apps könnten ganz einfach herausfinden, ob eine vertrauliche Notiz angezeigt werden darf oder nicht.

Voraussetzung dafür ist jedoch, dass das Smartphone seine Sensoren stets aktiviert hat. Lagesensor, Beschleunigungssensor, GPS - möglicherweise auch Selfie-Cam und Mikrofon: Alle diese Quellen sammeln Daten und im Hintergrund muss eine ständige Analyse erfolgen. Bedenken beim Thema Akkulaufzeit sind da wohl noch die harmloseren. Läuft die Trust API auf Eurem Smartphone, werdet Ihr ständig überwacht und analysiert.

Was meint Ihr? Hat Google hier einen Masterplan, um die Sicherheit der User zu verbessern? Oder geht Google zu weit und ist die Missbrauchsgefahr dieser Technologie einfach zu hoch? Diskutiert mit in den Kommentaren.

Quelle: TechCrunch

Die besten Smartphones 2024 im Vergleich

  Das beste Android-Handy Das beste iPhone Beste Android-Alternative Bestes Kamera-Handy Beste Mittelklasse 2024 Bestes Preisleistungsverhältnis Bestes Foldable Bestes kompaktes Foldable
Produkt
Abbildung
Samsung Galaxy S23 Ultra
Apple iPhone 15 Pro
Google Pixel 8 Pro
Xiaomi 13 Ultra
Google Pixel 7a
Xiaomi Redmi Note 12 Pro+
Samsung Galaxy Z Fold 5
Samsung Galaxy Z Flip 5
Bewertung
Samsung Galaxy S23 Ultra – Zum Test
Apple iPhone 15 Pro – Zum Test
Google Pixel 8 Pro – Zum Test
Xiaomi 13 Ultra – Zum Test
Google Pixel 7a – Zum Test
Xiaomi Redmi Note 12 Pro+ – Zum Test
Samsung Galaxy Z Fold 5 – Zum Test
Samsung Galaxy Z Flip 5 – Zum Test
Zum Angebot*
Zu den Kommentaren (16)
Hans-Georg Kluge

Hans-Georg Kluge
Redakteur

Hans-Georg schreibt seit Mai 2016 über Apps, Hardware und andere Neuigkeiten aus dem Android-Universum. Derzeit ist er mit seinem Galaxy S7 immer auf der Suche nach der neusten App, mit der er sich die Zeit vertreiben kann. Aber ist denn alles Android was glänzt? Nö, denn er hat auch so manche Stunde mit Windows Phone und iOS verbracht. Dennoch ist er immer zu Android zurückgekommen, weil ihm die Plattform die meisten Möglichkeiten bietet.

Zeige alle Artikel
Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
16 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 69
    Michael K. 29.05.2016 Link zum Kommentar

    Da sichere Passwörter schwer zu merken, oder umständlich zuzugreifen sind, halt ich es prinzipiell schon für sinnvoll, an Alternativen zu arbeiten. Neben den vom Autor genannten Vereinfachungen bei der Authentifizierung, wäre natürlich auch noch möglich, die Sicherheit sensibler Anwendungen durch einen dritten Faktor, die Auswertung der Sensordaten, zusätzlich zu erhöhen.
    Die Hinzuziehung des Standorts ergibt nur Sinn, wenn die Entsperrung auch tatsächlich regional begrenzt oder aber auch regional ausgeschlossen sein soll.
    So könnte man eine Banking-Anwendung entweder nur aufs heimische Arbeitszimmer beschränken, oder aber ihre Anwendung z.B. im Ausland ausschließen.
    Biometrische oder andere Sicherheitsdaten unverschlüsselt und vollständig an Google-Server zu übertragen, würde nicht nur den Sicherheitsgedanken absurd machen, es wäre auch gar nicht nötig bzw. sinnvoll.
    Ein Foto der Frontkamera oder eine Stimme ist ohnehin nie hundertprozentig identisch zu einer Referenz, das Foto wird jedesmal etwas anders aufgenommen, die Stimmlage kann bei einer Erkältung erheblich schwanken usw.
    Man reduziert solche Daten auf möglichst eindeutige Merkmale, idealerweise komprimiert man sie zu einer einzigen Zahl.
    Die taugt dann zur Identifizierung oder Authentifizierung mit einer bestimmten Wahrscheinlichkeit, lässt aber keine sonstigen Rückschlüsse auf ihren Eigentümer zu.


  • 75
    Gelöschter Account 29.05.2016 Link zum Kommentar

    Habe kein Problem mit Passwörter, da ich sie ja nur 1 mal eingebe und dann meine Ruhe habe. Egal ob Email, Facebook, Snapchat, instagram.... usw.. Voraussetzung natürlich man loggt sich nicht aus.


  • 29
    Bryan Binder-Reisinger 29.05.2016 Link zum Kommentar

    Ich finde, es wäre besser, dass der Fingerabdruck mehr integriert gehört. Bei diesem hier erwähnten Prinzip habe ich irgendwie das Gefühl, dass es leichter als ein Fingerabdruck und dessen abfrage überwindbar ist.


  • Hans-Thomas M. 27
    Hans-Thomas M. 29.05.2016 Link zum Kommentar

    Nur weil Benutzername und Passwort recht einfach implementiert werden kann und es schon von Anfang an gibt, heißt es ja nicht, dass das wirklich gut ist, aber das wissen ja alle. Andererseits machen viele Dienste / Anbieter schon lange zusätzliche Tests, mir Geolocation, Cookies usw. Ich erinnere mich, gelesen zu haben, dass Google schon vor ca. anderthalb Jahren bis zu 60 weitere Parameter auswertet, um den Benutzer zu identifizieren, Deshalb muss man ja auch nicht immer seinen Benutzernamen und Passwort neu eingeben, wenn man innerhalb von Google einen anderen Dienst benutzt.
    Google hat schon seit Jahren "Bestätigung in 2 Schritten". Das benutze ich von Anfang an, und ich kann es sogar auf meinen Synology NASen nutzen. Allerdings ist es doch recht umständlich, weniger sicherheitsaffine Benutzer drüften davor zurückschrecken. In diesem Zusammenhang ist eine Vereinfachung sicherlich wünschenswert.
    Google wird damit das Passwort sicherlich nicht endgültig abschaffen. Es wird immer noch Situationen geben, wo eine explizite Sicherheitsabfrage erforderlich ist. Es wird aber an Bedeutung verlieren.
    Um mir eine abschließende Meinung zu "Project Abacus"" zu bilden, weiß ich zuwenig darüber. Man könnte vieles lokal auf dem Handset machen und nicht an Google senden. Ich hoffe darauf...

    Michael K.Tenten


  • 61
    René H. 29.05.2016 Link zum Kommentar

    Wenn das wirklich kommt bin ich von Android weg. Ich will Google nicht meinen Standort verraten, nicht meinen Fingerabdruck geben und auch nicht mein Gesicht zeigen.

    Da werden die Datenschützer wieder Sturm laufen.

    H GNoNameYasir Dag


    • NoName 45
      NoName 29.05.2016 Link zum Kommentar

      Aber Apple und Co. werden best. auch nachziehen.

      Katy B.


    • 48
      Simeon S. 29.05.2016 Link zum Kommentar

      Deinen Standort hast du schonmal irgendwann preis gegeben.

      Und dein Gesicht könnte Google auch schon gesehen haben.

      Außerdem ist das bestimmt kein MUSS

      Gelöschter AccountMatthias Bobeck


    • Thom 23
      Thom 29.05.2016 Link zum Kommentar

      naja wenn man soziale Netzwerke nutzt oder inappkäufe,emailkonto und pipapo, dann hat man doch eh schon alles von sich preis gegeben.


      • 75
        Gelöschter Account 30.05.2016 Link zum Kommentar

        Wirklich alles?


    • 44
      Gelöschter Account 29.05.2016 Link zum Kommentar

      René H sobald du aus dem haus gehst sieht jemand dein gesicht, und sieht jemand wo du bist,und berührst du etwas kann jemand deinen fingerabdruck nehmen, ich bete zu gott das ich vor einer solchen paranoia verschont bleibe.

      Gelöschter Account


  • NoName 45
    NoName 28.05.2016 Link zum Kommentar

    Also ich finde es ja eigtl. immer gut wenn es um mehr Sicherheit geht aber hier ist es mMn. genau umgekehrt. Google gehts eh nur um unsere Daten mit denen sie dann immer mehr Geld machen können.
    Verkauft wir es aber als Sicherheit...

    H GYasir DagTim


    • Rexxar 43
      Rexxar 29.05.2016 Link zum Kommentar

      Anhand dieser Muster kann Werbung auch ohne Cookies angepasst geschaltet werden - sie wissen dann wer wo mit welchen Intressent sitzt - selbst wenn es nur das Gerät eines Freundes ist.


  • 10
    Anna Christin 28.05.2016 Link zum Kommentar

    Was ist nun, wenn ich aber bewusst jemand anderes ran lasse. Weil ich z.B. Im Krankenhaus bin, aber eine wichtige Überweisung getätigt werden muss? Pech gehabt?


    • 28
      Tobi 28.05.2016 Link zum Kommentar

      Muss ja nicht mal so drastisch sein...es reicht ja bereits, wenn ein Tablet von mehreren Personen genutzt wird oder man sein Smartphone bewusst an jemand anderen weitergibt; das Projekt ist insgesamt aber durchaus interessant:) trotzdem finde ich die Möglichkeit, das Smartphone über den Fingerabdruck zu entsperren, sehr einfach und gut..zwar vor Dieben nicht mega sicher, aber zumindest besser als Zahlenkombinationen wie 1234:D


    • Thom 23
      Thom 29.05.2016 Link zum Kommentar

      Ich denke mal, dass man mehrere Profile anlegen kann. Oder dann doch eben über eine Passworteingabe zugriff hat. Sonst wirds schwierig.


  • 4
    Mark Webb 28.05.2016 Link zum Kommentar

    im Grunde ist es doch das selbe wie bei Microsoft. Windows Hello. Nur das Windows Hello schon funktioniert und bereits weiterausgebaut wird und einen schritt weiter geht als abacus und das Passwort wirklich ersetzt.

    BergstraesserFrank Waltenberg

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel