Google: Konto und Profil absichern

Machen wir uns nichts vor: die Ereignisse der letzten Zeit zeigen einfach, dass wir in Sachen Cloud weiterhin nicht zu unvorsichtig agieren dürfen. Es gilt die Daten online zu verschlüsseln, Daten online generell zu minimieren, oder eben auf Sicherheits-Features zu setzen, die das Risiko eines Einbruchs minimieren. Dropbox selber will eine Bestätigung in zwei Schritten anbieten, LastPass und Google haben dies ja bereits eingeführt. Bei diesen Sicherheitsmechanismen ist euer Smartphone ein weiterer Sicherheitsaspekt.

Das Passwort alleine wird nicht mehr abgefragt, ein an euer Smartphone gesendeter Code ist das Maß aller Dinge. Dies verhindert, dass sich irgendwo auf der Welt in euer Konto eingeloggt wird – schließlich würde der mittels Code generierte Code fehlen. Die Codes kommen per SMS oder innerhalb der Authentifikations-App von Google selber. Ich hatte das Thema hier im Blog zwar bereits schon beschrieben, doch als ich heute jemandem bei der Einrichtung half, sah ich, dass Google das Formular ein wenig aufgefrischt hat.

Von daher gibt es hier einmal noch den aktualisierten Beitrag mit der Bitte, diese Features auch zu nutzen. Natürlich macht das anfangs etwas mehr Arbeit, schließlich muss man dies bei allen Google-Diensten, die man so mobil oder per App nutzt, einrichten. Damit ist nicht nur euer Gmail geschützt, sondern das komplette Google-Konto, inklusive Kalender, Docs, Google+ und Co!

Schritt 1: Doppelte Sicherheit aktivieren. Zu finden in den Konto-Einstellungen im Bereich Sicherheit, Bestätigung in zwei Schritten.

Schritt 2: Authentifikation eures Smartphones. Nummer eingeben, Code kann per SMS oder Sprache kommen. Damit verbindet ihr die Nummer, beziehungsweise das Smartphone mit eurem Konto. Den empfangenen Code einfach auf der nächsten erscheinenden Seite eingeben.

Schritt 3: den Computer als vertrauenswürdig einstufen. Heißt: euer Computer würde 30 Tage nicht nach dem Passwort fragen, da er von euch so eingestuft wurde. Dies ist günstig, wenn ihr euer Smartphone verliert oder keinen Zugriff darauf habt. Schließlich benötigt der Computer keinen Code mehr und ihr könnt über diesen das Smartphone sperren und / oder ein neues hinzufügen.

Theoretisch seid ihr nun fast fertig, aber ihr könnt weitere Optimierungen an eurem eigenen Workflow vornehmen. So muss man den Code nicht per SMS bestätigen, denn nun folgt die Einrichtung der App, die für iOS und Android identisch ist. Der Google Authentificator zeigt euch, sofern abgefragt, einen Code an – und eben jenen müsstet ihr an fremden Rechnern zusätzlich zu eurem Passwort eingeben. Dies sieht dann so aus:

Schritt 4: Infos, Anwendungsspezifische Passwörter und mobile Einrichtung. Google informiert euch nun, dass die doppelte Anmeldesicherheit aktiviert ist. Dies bedeutet aber auch, dass euer Mail-Programm keine Mails mehr von Google anfragen kann, sofern verwendet. Dies liegt daran, dass einige Programme nicht mit den Codes umgehen können, beziehungsweise diese nicht abfragen können.

Diese Anwendungsspezifischen Passwörter lassen sich auf dieser Seite eintragen. Nutzt ihr zum Beispiel Thunderbird zum Abfragen eurer Mails, dann benennt den Punkt zum Beispiel auf Thunderbird. Das generierte Passwort ist dann als Passwort zu eurem Mailkonto innerhalb von Thunderbird einzugeben. Muss mit jeder App gemacht werden. Ihr habt zwei Rechner mit Thunderbird? Die generierten Passwörter lassen sich an beiden Rechnern nutzen, logisch.

Die mobilen Anwendungen können auch hier eingerichtet werden. Zu diesem Zweck muss man sie nur installieren und den angezeigten Code einscannen. Durch den Scanvorgang verbindet sich der Authentificator mit eurem Konto uns ist fortan nutzbar. Wie man auf dem ersten Screenshot sehen kann, lassen sich auch Notfall-Codes zum Ausdrucken oder abspeichern generieren.

Wenn ihr diese Schritte durchlaufen habt, genießt euer Konto den doppelten Schutz. Die Einrichtung als solches dauert vielleicht 5 Minuten, etwas aufwendiger ist es, die ganzen Apps, die man so täglich nutzt, anzupassen. Schließlich benötigt nun jeder Google-Dienst, der als App oder Programm daherkommt, ein Anwendungsspezifisches Passwort. Faule Leute können natürlich für jede App das identische Passwort nehmen, aber dadurch wird das ja nicht alles sicherer.

Dennoch – macht euch die Mühe, sicher ist sicher. Minimiert Cloudnutzung auf verschlüsselte Daten oder Anbieter, die doppelte Anmeldesicherheit nutzen. Verwendet sicherere Passwörter, die ihr jeweils nur ein Mal nutzt. Löscht Konten bei Diensten, die ihr nicht mehr benötigt. Überprüft regelmäßig, welche Apps und Dienste Zugriff auf eure Konten haben!

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

55 Kommentare

  1. So schlimm?

  2. Habe ich richtig verstanden – mit der 2. Bestätigung wird dann von Google ein Cookie etwa auf dem PC gesetzt?

    Ich lösche nach jedem Schließen im Firefox alle Cookies – also muss
    ich dann bei jedem Start (mehrmals täglich) wieder eine SMS auf mein Smartphone schicken lassen und den Code im PC eingeben?

  3. Caschy, nicht dass du mich für blöde hälst, aber wenn ich mein Smartphone verliere kann der Finder bzw. Dieb ohne Probleme ein neues Passwort setzen lassen?

  4. @Tito

    nein kann er nicht. Denn er braucht ja dein Google Passwort + den generierten Code vom Google Authenticator bzw. SMS

  5. Für das Google-Cookie kann man ja auch eine Ausnahme setzen und zur PW Änderung müsste das alte PW bekannt sein.

  6. Geht leider nicht mit dem kostenlosen Google Apps

  7. +Chris
    Warum sollte es nicht mit den kostenlosen Google Apps funktionieren? Ich habe auch nur die kostenlosen Google Apps und die zwei Wege Anmeldung!

  8. @rapac: Ich meinte natürlich schon ein neues Passwort indem man sagt „Altes PW vergessen“. Das zum „normalen“ Vorgang des PW-Wechsels das alte PW gehört war mir schon klar. 😉

  9. Ich frage mich ob ich den Sinn bzw. Unsinn richtig verstanden habe, da der eigentliche Vorteil im Beitrag leider nicht explizit erwähnt wurde.

    Verstehe ich das richtig, dass das beschriebene Verfahren
    – einen Sicherheitsgewinn gegenüber der Methode ein kompliziertes Passwort zu verwenden und dieses im Browser bzw. der App zu speichern
    – einen Komfortgewinn gegenüber der Methode ein kompliziertes Passwort bei jeder Anmeldung neu einzugeben
    …darstellt?

    Dann sollte man natürlich ggf. auch noch das im Browser gespeicherte G+ Passwort löschen 😉

  10. Chris: Ich nutze auch das kostenlose Google Apps und es geht. Schau mal in deine Google Apps Einstellungen dort muss das entsprechend aktiviert sein. http://support.google.com/a/bin/answer.py?hl=de&answer=184711

  11. @Tito:
    Dann kommen die weiteren Sicherheitsoptionen zum Einsatz:
    „Möglichkeiten zur Wiederherstellung Ihres Kontos

    Link zum Zurücksetzen des Passworts an meine E-Mail-Adresse zur Wiederherstellung senden: •••••••••••••••••@••••••••.••

    Meine Sicherheitsfrage beantworten“
    und mit E-Mail-Adresse ist hier nicht die Gmail-Adresse gemeint.

    @Ralph
    Man muss sich das ähnlich wie beim Onlinebanking mit Pin + Tan vorstellen.

  12. schumischumi says:

    @Ralph Lindner
    Sicherheitsgewinn ja, da man im gegensatz zum browsergespeicherten pw alle 30 tage einen neuen code benötigt.
    Komfortgewinn, denke ich mal nicht. Ist ja bei mehr sicherheit meistens so.

    @all
    doofe frage: wenn mein handyakku dann mal leer ist oder handy defekt und ich aber meine emails von einem fremden pc aus lesen will (da ja handy defekt) hab ich keine chance oder?

  13. schumischumi – hab ich die Offline-Codes nicht erwähnt?

  14. Auch ’ne interessante Methode ohne großen Widerspruch der User an deren Mobilfunknummern zu kommen. Man packt das einfach in den Mantel eines Sicherheitsfeatures :-).

  15. ach bei Android Nutzern haben die die doch eh schon.

  16. schumischumi says:

    @caschy
    habs gerade nochmal überflogen und konnts nicht finden. falls doch drin ist… shame on me

  17. Kann mir jemand sagen wie ich vorgehen muss um zu verhindern, dass nach jedem Löschen der Browserdaten der Code neu angefordert und eingegeben werden muss?
    Wird das per Cookie gespeichert?

  18. Das heisst auf iPhone und iPad verwend eich für den Mail Zugriff das selbe Passwort?

  19. Auch wenn die von Google noch so oft betteln, ich werde weder ein Google+-Konto eröffnen, noch meine Handynummer angeben.
    Die haben meine Suchen und Teile meiner E-Mails, das muss denen reichen.

    Mein Passwort ist sicher genug.

  20. @Christoph: Dein Browser darf das Google-Cookie nicht löschen. Dies erreichst Du z.B. durch eine Ausnahmeregel (z.B. in Chrome Einstellungen > Datenschutz: Inhaltseinstellungen > Cookies : Ausnahmen verwalten.
    Vorher müsste man das nötige Cookie möglichst eindeutig identifizieren – will man nicht Google das einzementieren ALLER Cookies erlauben.

    @Thomas. Ich habe zwar keine Applegeräte, aber bei mir legt der Mailserver die Zugangsdaten fest, nicht der Client. Wenn ich also mit mehreren Clients auf die selben Konten zugreife, dann natürlich mit den selben Zugangsdaten.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.