Ich habe ein paar Anfragen bekommen, ob ich die neue, doppelte Anmeldesicherheit von Google in ein bebildertes HowTo packen könnte, versehen mit ein paar warmen Worten. Mache ich gerne – denn ich müsste beim Austauschen einer Zündkerze im Auto auch eine bebilderte Anleitung anschauen. Mindestens. Die doppelte Anmeldesicherheit funktioniert via SMS, oder direkten Keys auf Android und iPhone. Ich habe nur ein Smartphone mit Android und werde deshalb diesen Weg beschreiben.
Schritt 1: Verwendung der Bestätigung in zwei Schritten aktivieren. Zu finden in euren Kontoeinstellungen.
Schritt 2: Zur Authentifizierung muss man sich noch ein weiteres Mal mit seinem Passwort einloggen. Im Anschluss wird einem noch einmal der nun folgende Ablauf erklärt.
Schritt 3: Auswahl des Smartphones. Ich bin ein Androide. Falls euch der Wechsel von Chrome auf Safari bei mir wundert: Chrome (Release-Version) auf dem Mac ließ mich nicht nach der Auswahl meines Smartphones weitermachen…
Schritt 4: es ist Zeit, sich den Google Authentificator aus dem Android Market zu besorgen.
Schritt 5: mit dem eben installierten Google Authentificator scannt ihr nun den Barcode ein, der erscheint, nachdem ihr unter Schritt 3 auf “weiter” klickt.
Schritt 6: ihr erhaltet einen Code, den ihr nun in das Webformular eingeben müsst.
Schritt 7: druckt euch die Notfall-Codes aus, oder kopiert sie an einen sicheren Ort. Als Ersatzoption könnt ihr notfalls eine andere Nummer angeben, an diese könnt ihr euch Codes per Sprachnachricht oder SMS senden lassen.
Ab jetzt seid ihr fast safe. Aber auch mit weiteren Aufgaben behelligt, sofern ihr Thunderbird, Desktop-RSS-Reader und Co nutzt. Denn diese brauchen jetzt Token. Entweder für jede Anwendung oder ich macht das auf Rechnerbasis. Ist quasi der Ersatz zum alten Passwort.
Nach der Aktivierung ist man safe und man muss sich wieder via App authentifizieren.
Kann die App mehr als ein Konto verwalten? Ja
Muss ich, wenn ich ein Mailprogramm an zwei Rechnern nutze, jeweils einen Token nutzen? Nein, es langt ein generierter, dies macht das Ganze aber absurd, weil unsicherer. Man kann Einzeltoken ja widerrufen.
Muss ich jedes Mal ein neues Passwort generieren? Nein, im Browser bleibt der Spaß 30 Tage gespeichert.
Müssen alle Einzel-Apps, die mein Google-Konto als Einlog-Mechanismus nutzen, autorisiert werden? Ja!
Zu anstrengend! Kann ich das deaktivieren? Ja, hier.
…..to be continued
Wie für WoW
Und da soll sich nochmal Einer über komplizierte Anmeldeverfahren beim Onlinebanking aufregen.
Bei mir funktionierte der ganze Spaß nicht in Chrome. Kam bis zu der Stelle wo man Handy oder App auswählen konnte, der weiter-Button ließ sich nicht betätigen. Erst in Safari konnte ich die Einrichtung komplett abschließen.
@Ralph: schau mal, was ich schrieb
Lieber nicht…stell mir gerade vor, ich bin bei einem Kumpel oder im Urlaub weit ab vom Handynetz und ich kann mich net bei Google einloggen…blöd.
@caschy: Jo sry, nicht ganz gelesen, weil ich das ja schon hinter mir hab
ick muss Dir mal ein großes Danke aussprechen für die Mühe. Idiotensicher erklärt.
Danke.
@EQvsUQ Du bekommst am Anfang 10 “Ersatzcodes”, ausdrucken oder aufschreiben. Dann kommst du auch ohne Handy rein.
Fertig eingerichtet. Funktioniert astrein.
Einzig als ich anschließend noch meinen Androiden über das noch fix eingerichtete anwendungsspezifische Passwort wieder freischalten musste, war die Abfrage dazu im Gerät etwas ungenau. Es war die normale Accountdatenabfrage und die akzeptierte nur das Einmalpasswort und nicht das übliche Accountpasswort. Wer also seine PC-Software und Androiden etc. auch noch nicht über diese Methode gesichert hat, sollte sich nicht wundern, wenn das reguläre PW als falsch angezeigt wird. In Outlook ist es übrigens das Gleiche. Auch dort muss das Einmalpasswort eingegeben werden, nicht das Reguläre.
Insgesamt ein dickes Danke für die doppelte Sicherheit, Caschy!
@ EQvsUQ
Die Codes der App lassen sich meines Wissens nach auch offline erzeugen, ein Mobilfunknetz ist also nicht nötig. Aber du hast natürlich recht, dass man sich auch leicht aussperren kann, also sollte man sich überlegen, ob man das nötig hat.
Die Codes funktionieren auch gänzlich offline. Oder du notierst dir einer diesen Token, da es so ja (leider) auch funktioniert.
Ich habe bei der Nutzung dieser 2 Step Anmeldung aktuell die selben Probleme wie schon im Februar.
1. Google Chrome weigert sich mit dem einen extra generierten Passwort zusammenzuarbeiten. Der sich bewegenden Kreis bei der Anmeldung dreht sich bis zur Unendlichkeit.
2. Wie komme ich eigentlich auf diese “Google Konten Einstellungsseite”, welche in Schritt 1 gezeigt wird? Klar über den Link der von Carsten genannt wurde geht das, ABER wie komme ich da drauf OHNE den Link anzuklicken? (Ich will ja nicht immer den Umweg über den Blog gehen). Über den Link oben rechts auf meinen google Seiten kann ich zwar auch einen “Kontoeinstellungen” Link klicken, der sieht aber komplett anders aus als der von Carsten und gibt mir keine Möglichkeit irgendwas an 2 Step einzustellen.
Astrein, funktioniert super…
Wenn ich mal bedenke was ich mal für ein ungläubiger Gogglehasser war…:P
@Martin: gehe auf google.de, wenn du eingeloggt bist. Dann klicke oben rechts auf deinen Namen, dann auf Kontoeinstellungen. Wenn das jetzt nicht wie bei Caschy auf dem Screenshot aussieht, dann könnte ich drauf wetten, dass du bereits google+ beigetreten bist, oder? Denn dann wurde die Seite Kontoeinstellungen neu designed.
Die 2 Lösungsmöglichkeiten, die es nun gibt:
a, in der neuen Ansicht gelangst du auf die 2 Wege Sicherheit über:
Gehe links auf den Punkt “Kontoübersicht”, dann rechts bei dem Punkt “Autorisierung von Anwendungen und Websites” auf bearbeiten klicken. Dann erneut Passwort eingeben u. du bist auf der Übersichtsseite.
a, du lässt dir die alte Ansicht der Kontoeinstellungen wieder anzeigen: Ebenfalls den Punkt “Kontoübersicht” anklicken. Dann siehst du rechts den letzten Punkt “Auf der Suche nach älteren Konto-Optionen?”. Feld daneben anklicken u. es sieht aus wie oben:-) hat dir das geholfen?
Gruß
Wäääääh! Ich will Yubikey oder OpenID Login! Keine Lust ständig das Handy vollgespammt zu bekommen.
Danke für die Anleitung.
Was ist eigentlich wenn man diese 10 Reservecodes verbraucht hat? Werden dann neue generiert?
Ich nutze es schon einige Zeit/Monate und es gab noch kein Problem.
Habe ich gestern auch ausprobiert, ist etwas aufwendig, die Anwendungsspezifischen Passwörter (z.B. für Rainlender, eBuddy usw.) für jede Anwendung einzutippern, ist aber jedoch sinnvoll.
(Ich habe ein paar Anfragen bekommen, ob ich die neue, doppelte Anmeldesicherheit von Google in ein bebildertes HowTo packen könnte)
Vollkommen berechtigte Anfrage wenn man dein Post jetzt betrachtet
übrigens Danke für die Anleitungen in Bildern und Kommentaren.
Hallo zusammen!
Hat nur einen großen hacken.
Der Email Client von meinem Iphone funktiert nicht mehr. Das heißt, bei jeder Synchronisation muss ich jetzt das einmal Passwort eingeben. Irgendwie blöd!
Oder mache ich da was falsch?
Korrektur: War Fehler meinerseits. Man muss auch dort nur das einmal Passwort, welches man von google generiert bekommt nur “einmal” eingeben
– Sagt doch der Name schon-
Geile Sache, auf jeden Fall nutzen! (Nutze ich schon seit caschy das erste Mal drüber gebloggt hat.)
Gibt es tatsächlich keine Möglichkeit ohne Eingabe der Telefonnummer weiter zu machen?
Die App und die ausgedruckten Codes reichen doch vollkommen, da muss ich Google nicht auch noch meine Handynummer geben
@Marek: PERFEKT. Vielen Dank
Super! Danke für die ausführliche Anleitung
Ich nutze das Feature schon seit einigen Wochen, aber ich muss sagen, hin und wieder ist es auch nervig, gerade wenn man Google Tools wie Analytic am IPhone verwenden will, und die Passwörter immer wieder für jeden Account neu anlegen muss ….
Eine kurze Frage:
Mein Android kann ich ja teilweise per Google-Login entsperren (Samsung uTrack, Lockscreeen-Muster, …).
Reicht dafür das normale “alte” Passwort oder wie geht das dann (habe die Einmalpasswörter ja nicht immer dabei)?
Ich hab das jetzt mal eingerichtet. Habe mein Android Handy auch per Anwendungsspezifisches Kennwort freigeschaltet.
Aber wenn man mir das Handy klaut oder ich es verliere, hat doch der “neue Besitzer” Zugriff auf Mail Konto/Google Konto.
Muss ich mich dann an einen Desktop Account einloggen und das Handy aussperren? Oder wie soll das funktionieren?
Ich habs ausprobiert. Das ist ja schrecklich nervig, wenn man immer sein Telefon in der Hand halten muss, um die Nummer zu tippen. Das mit den 30 Tagen halte ich für wenig sinnvoll. Wieso sollte das sicherer sein, wenn man 30 Tage ohne Zweitlogin reinkommt? Zwei Tage hab ich’s ausgehalten und jetzt wieder zurückgeschaltet.
@Michael:
Es sollte ja auf jeden Fall funktionieren, indem man die Art der Authentifizierung ändert (ich nehme an du nutzt das App). Oder man ändert das Passwort, dann sollten ja alle Einmal-Passwörter gesperrt werden (falls sich da jemand länger als 2min mit beschäftigt hat), den ohne Passwort bringt einem der Bestätigungscode nichts.
Wieviele Zeichen hat so ein anwendungsspezifischen Passwort eigentlich? Ich nutze aktuell ein 70-Zeichen Kennwort via Passwort-Safe, welchem ich ggf. mehr vertraue, falls die zusätzlichen anwendungsspezifischen Passwörter <30 Zeichen sind.
Kann mir das jemand sagen?
Oder kann man gar die Länge einstellen?
4 Trackback(s)
Neues Sicherheits-Feature für Google Mail
LastPass wird sicherer: mit Googles Multifaktor-Login
Google Sesame: dein Browser wird zum Passwort
Die Dropbox mit Safebox verschlüsseln
Deine Meinung ist uns wichtig...