DoiT acquires SELECT to optimize Snowflake and BigQuery
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Passwortlose Anmeldung mit Google Workspace einrichten

By Dustin ChristliebSep 29, 20234 min read

Diese Seite ist auch in English, Español, Français, Italiano, 日本語 und Português verfügbar.

Was ist die Passkey-Anmeldung von Google?

Google hat die Passkey-Authentifizierung für Google Workspace-Konten kürzlich in einer offenen Beta freigegeben. Die Funktion bietet besseren Schutz vor Bedrohungen wie Phishing-Angriffen und macht die Anmeldung gleichzeitig komfortabler. Registrierte Nutzer geben ihre Google-Konto-E-Mail-Adresse ein und werden anschließend aufgefordert, die Authentifizierung auf einem Gerät abzuschließen, das als Passkey für ihr Konto hinterlegt ist.

Anmeldeaufforderung mit passwortloser Authentifizierung.

Vorteile gegenüber Passwörtern – und wann das Passwort weiterhin gebraucht wird

Die Passkey-Authentifizierung ist der erste Schritt hin zur passwortlosen Anmeldung bei Google Workspace-Konten. Nach der Aktivierung können sich Google-Nutzer per Gesichtserkennung, Fingerabdruck, PIN oder über die Bildschirmsperre des Passkey-Geräts anmelden. Die Aktivierung der passwortlosen Authentifizierung hebt die Passwort-Authentifizierung nicht auf. Ein wesentlicher Vorteil: Außer in bestimmten Fällen müssen Nutzer ihr Konto-Passwort weder im Kopf behalten noch aus einem Passwort-Manager kopieren. Geht das Passkey-Gerät verloren oder ist es am Anmeldeort nicht greifbar, können Nutzer über "Andere Möglichkeit ausprobieren" auf die Anmeldung mit Passwort und Bestätigung in zwei Schritten ausweichen. Das ist zum Beispiel nützlich, wenn man sich auf einer virtuellen Maschine oder einem Remote-Gerät bei einem Google-Konto anmeldet.

Für Admins lässt sich die Funktion auch so einordnen: Sobald ein Nutzer einen Passkey für sein Google-Konto hinterlegt hat, geht bei jeder Authentifizierung gegenüber Google Workspace eine Aufforderung an dieses Gerät. Voraussetzung für einen Passkey ist, dass das Gerät selbst durch ein Passwort oder eine andere Bildschirmsperre geschützt ist. Der Nutzer kommt also nur dann ins Konto, wenn er das Passkey-Gerät bei sich hat und es mit dem eingerichteten Sperrmechanismus entsperren kann. Die Eingabe des Google-Konto-Passworts entfällt, weil ein zweiter Faktor in Form des Geräts als Passkey dient – und dieses Gerät zwingend mit einer Bildschirmsperre abgesichert sein muss, bevor die passwortlose Anmeldung überhaupt funktioniert.

Zum Zeitpunkt der Veröffentlichung dieses Artikels steht die Passkey-Authentifizierung beim Hinzufügen eines Google-Kontos auf einem Mobilgerät noch nicht zur Verfügung. Außerdem kann die Nutzung von Passkeys je nach Betriebssystem und Browser im privaten Modus (Inkognito-Modus oder Vergleichbares) eingeschränkt sein.

Aufforderung "Andere Möglichkeit ausprobieren" zur Anmeldung mit Passwort und Bestätigung in zwei Schritten.

Voraussetzungen

  1. Admins müssen das Überspringen des Passworts bei der Anmeldung in der Admin-Konsole zulassen.
  2. Google Workspace-Konten müssen Google als Identity Provider nutzen. Die Google Passkey-Authentifizierung greift nicht, wenn sich Nutzer über einen Drittanbieter als Identity Provider anmelden.
  3. Auf Computern und Mobilgeräten der Nutzer wird ein unterstützter Browser benötigt, etwa:
  • Chrome 109 oder höher
  • Safari 16 oder höher
  • Edge 109 oder höher

4. Passkeys lassen sich auf folgenden Geräten erstellen:

  • Laptop oder Desktop mit mindestens Windows 10, macOS Ventura oder ChromeOS 109
  • Mobilgerät mit mindestens iOS 16 oder Android 9
  • Hardware-Sicherheitsschlüssel mit Unterstützung für das FIDO2-Protokoll

5. Um einen Passkey zu erstellen und zu verwenden, muss auf dem Gerät eine Bildschirmsperre aktiv sein. Wer einen Passkey auf einem Mobilgerät nutzen möchte, um sich auf einem anderen Computer anzumelden, benötigt zusätzlich Bluetooth.

Funktion aktivieren und Passkeys hinterlegen

Google Workspace-Admins aktivieren die passwortlose Authentifizierung in der Google Workspace Admin-Konsole entweder über Organisationseinheiten (OUs) oder über Gruppen. Zwischen der Freigabe und dem Zeitpunkt, ab dem Nutzer die Option zur passwortlosen Anmeldung sehen, liegt eine kurze Übernahmezeit.

Einstellungen für "Passwortlos (Beta)" in der Admin-Konsole.

Sobald die passwortlose Authentifizierung in der Admin-Konsole aktiviert ist, können Nutzer unter https://g.co/passkeys Passkeys für ihr Konto anzeigen, anlegen und entfernen. Aus Sicherheitsgründen sollten Passkeys nur auf Geräten erstellt werden, die nicht mit anderen geteilt werden – denn wer das Passkey-Gerät entsperren kann, kann sich auch bei den zugehörigen Google-Konten anmelden. Die Passkey-Anmeldung lässt sich derzeit nicht erzwingen, sie kann den Nutzern aber als zusätzliche Option für den Zugriff auf ihr Google-Konto angeboten werden.

Passkeys im Google-Konto anzeigen und bearbeiten.

Sobald ein Passkey hinterlegt ist, können sich Nutzer für die Passkey-First-Anmeldung ohne Passwort entscheiden. Unter https://myaccount.google.com/security findet sich eine Einstellung auf Nutzerebene, über die das Passwort wenn möglich übersprungen und stattdessen ausschließlich per Passkey oder Geräteaufforderung angemeldet wird.

Schalter, um das Passwort wenn möglich zu überspringen.

Fazit

Die neue Steuerung für die passwortlose Authentifizierung von Google-Konten steht nun in der offenen Beta für private und geschäftliche Konten zur Verfügung. Die Aktivierung erhöht die Kontosicherheit und vereinfacht die Anmeldung spürbar. Google ist nur einer von vielen Cloud-Anbietern mit dieser Art der Authentifizierung. Weitere Cloud-Dienste mit passwortloser Anmeldung finden Sie unter https://passkeys.directory/ (gepflegt von 1Password.com).