Projekt Abacus So will Google das Passwort abschaffen

Google-Zentrale in Mountain View
Foto: JUSTIN SULLIVAN/ AFPProject Abacus - unter diesem Namen arbeiten Google-Entwickler an der Ersetzung des klassischen Passwortes. Stattdessen soll das Verhalten des Computer-Nutzers ausgewertet werden.
Google fasst dabei eine Reihe verschiedener biometrischer Daten wie etwa Art und Geschwindigkeit des Tippens oder bei Mobilgeräten das individuelle Bewegungsmuster und den jeweiligen Aufenthaltsort zusammen. Auf dieser Grundlage entsteht ein einzigartiges, unverwechselbares Profil, mit dem das übliche Schema aus Nutzername und Passwort beim Einloggen von einem sicheren Verfahren abgelöst wird.
Wie das Blog "TechCrunch" schreibt, hat der Chef von Googles Entwicklungsabteilung ATAP (Advanced Technology and Projects) Daniel Kaufman auf der Google I/O-Entwicklerkonferenz über den aktuellen Status des 2015 vorgestellten Projekts berichtet, so beiläufig, dass die Neuigkeiten zunächst untergingen.

Doch noch in diesem Jahr soll das mobile Betriebssystem Android komplett ohne bisherige Passwörter arbeiten können. Dann soll Drittentwicklern eine entsprechende Schnittstelle, die sogenannte Trust API angeboten werden, auf die sie dann Apps abstimmen und entwickeln können.
Die Abacus-Entwicklung setzt bei der Analyse und Bewertung der Daten auf Wahrscheinlichkeiten. Zunächst überwacht sie das Nutzerverhalten und lernt dabei, die individuellen Kennzeichen herauszufiltern. Das Programm analysiert, wie man tippt, läuft und sich bewegt, welche Apps wie lange genutzt werden.
Daneben arbeitet eine Sprach- beziehungsweise Stimmerkennung und ermöglicht eine weitere Individualisierung. Da kein Mensch bestimmte Bewegungen mit exakter Präzision wiederholen kann, berechnet die Trust API aufgrund der gespeicherten Daten einen Wahrscheinlichkeitswert, oberhalb dessen eine Identifizierung als zuverlässig gilt.
Dieser Trust Score kann auf vielfältige Weise eingesetzt werden. So könnte fürs Online-Banking ein wesentlich höherer Trust Score erforderlich sein als für Spiele-Apps. Sollte das System seinen Besitzer trotz allem nicht erkennen, ist immer noch die klassische Anfrage der Zugangsdaten möglich.
"In den Telefonen gibt es eine Unmenge von Sensoren. Warum sollten sie nicht feststellen können, wer ich bin, sodass ich kein Passwort benötige?", so Kaufman. Der Projektleiter kündigte an, ab Juni würden "mehrere große Finanzinstitute" mit Testläufen beginnen.
Auf der I/O-Entwicklerkonferenz 2015 wurde Abacus erstmals vorgestellt. Der Grundgedanke: Menschen können sich vielleicht nicht leicht schwierige Passwörter merken, aber sie können sehr leicht sie selbst sein.
Mit dem Abacus-Passwort-Ersatz würde womöglich eine große IT-Sicherheitslücke geschlossen. Denn trotz aller Mahnungen und Hinweise verlassen sich viele Besitzer von Rechnern und Mobilgeräten weiterhin auf ein einziges Passwort für alle möglichen Anwendungen. Lieblingspasswörter wie "123456" sind zudem erschreckend unsicher. Dagegen wäre es viel schwerer, den individuellen Trust Score einer anderen Person zu knacken.
Google ist nicht das einzige Unternehmen, das mit biometrischen Daten herkömmliche Passwörter überflüssig machen will. Das Kreditkartenunternehmen Mastercard etwa will ab Sommer ein Bezahlsystem anbieten, das ohne Passwörter auskommt. Stattdessen soll der Kunde ein Selfie knipsen, das mit einer gespeicherten Vorlage verglichen wird. Andere wie Apple beim iPhone setzten auf einen Fingerabdruck.
Alle diese Verfahren sind für sich genommen sehr fehleranfällig und können leicht ausgetrickst werden. Erst die Kombination verschiedener Daten und ihre analytische Auswertung könnten Anwender auf die sichere Seite bringen.