Menü

Google macht Android-Handys zum Sicherheitsschlüssel

Android-Handys können als Sicherheitsschlüssel zur 2FA verwendet werden. Das ist sicherer als SMS-Codes – funktionierte in einem ersten Test aber noch nicht.

vorlesen Drucken Kommentare lesen 56 Beiträge

(Bild: Google)

Android-Handys lassen sich nun als Sicherheitsschlüssel einsetzen und zur Identitätsprüfung bei der Zwei-Faktor-Authentifizierung (2FA) für Google-Accounts nutzen. Die Funktion befindet sich derzeit in einer Beta-Phase und hat noch einige Einschränkungen. Sie funktioniert ausschließlich auf Handys, die mit Android 7 oder neuer laufen.

Unterstützt wird außerdem nur die Anmeldung im Chrome-Browser unter Windows 10, MacOS X und Chrome OS. Bei beiden Geräten – also Notebook/PC und Handy – muss außerdem Bluetooth aktiviert sein. Die Geräte müssen allerdings nicht miteinander gekoppelt werden. Im Gegensatz zum schon länger verfügbaren Google Prompt müssen sich beide Geräte in der Nähe zueinander befinden.

Bisher funktioniert die 2FA bei Google zum Beispiel über Push-Nachrichten, Sprachnachrichten oder Sicherheitscodes, die per SMS verschickt und dann in ein entsprechendes Feld eingetragen werden. Solche SMS-Nachrichten gelten aber als vergleichsweise unsicher, da sie abgefangen werden können. Auch der schon länger verfügbare Google Authenticator kann abgefischt werden. Als sicherere Alternativen gibt es bereits seit 2014 physische Sicherheitsschlüssel auf Basis des Universal Second Factor Protocols (U2F) oder des neueren FIDO2/Webauthn.

In einem Blogeintrag erklärt Google, wie man künftig sein Smartphone als (ebenso sicheren) Ersatz für einen solchen Sicherheitsschlüssel verwenden kann. Dazu muss lediglich der jeweilige Google-Account auf dem Handy des Nutzers eingerichtet und der Nutzer selbst für die 2-Step-Verification alias 2FA bei Google angemeldet sein. In den 2SV-Einstellungen fügt er dann das Handy als Security-Key hinzu.

Aus der Nutzung des Handys als Sicherheitsschlüssel ergibt sich der Vorteil, dass man zusätzlich zum Smartphone, das die meisten Leute ohnehin meist dabei haben, keinen Sicherheitsschlüssel kaufen und mit sich herumtragen muss.

(Quelle: Android)

Da die Funktion noch in der Beta-Phase steckt, sollte man sich derzeit nicht auf sie verlassen. Bei einem ersten Test von heise online funktionierte das Android-Handy als 2FA-Sicherheitsschlüsse nicht: Das Handy ließ sich zwar als Sicherheitsschlüssel einrichten. Beim Login-Versuch im Chrome-Browser öffnete sich dann auch wie erhofft ein Vollbild-Fenster, in dem wir den Login-Versuch abnickten. Dieser Prozess scheiterte allerdings mehrmals an einem nicht näher genannten Fehler.

Wer das Android-Handy als Sicherheitsschlüssel ausprobieren will, sollte eine alternative 2FA-Methode eingerichtet haben, um im Fall eines Fehlers trotzdem noch auf seinen Account zugreifen zu können. Google empfiehlt außerdem, vorher Sicherheitscodes zu erstellen, mit denen sich der gesamte Prozess im Notfall umgehen lässt. (dahe)