Google: Konto und Profil absichern
von caschy | 55 Kommentare
Machen wir uns nichts vor: die Ereignisse der letzten Zeit zeigen einfach, dass wir in Sachen Cloud weiterhin nicht zu unvorsichtig agieren dürfen. Es gilt die Daten online zu verschlüsseln, Daten online generell zu minimieren, oder eben auf Sicherheits-Features zu setzen, die das Risiko eines Einbruchs minimieren. Dropbox selber will eine Bestätigung in zwei Schritten anbieten, LastPass und Google haben dies ja bereits eingeführt. Bei diesen Sicherheitsmechanismen ist euer Smartphone ein weiterer Sicherheitsaspekt.
Das Passwort alleine wird nicht mehr abgefragt, ein an euer Smartphone gesendeter Code ist das Maß aller Dinge. Dies verhindert, dass sich irgendwo auf der Welt in euer Konto eingeloggt wird – schließlich würde der mittels Code generierte Code fehlen. Die Codes kommen per SMS oder innerhalb der Authentifikations-App von Google selber. Ich hatte das Thema hier im Blog zwar bereits schon beschrieben, doch als ich heute jemandem bei der Einrichtung half, sah ich, dass Google das Formular ein wenig aufgefrischt hat.
Von daher gibt es hier einmal noch den aktualisierten Beitrag mit der Bitte, diese Features auch zu nutzen. Natürlich macht das anfangs etwas mehr Arbeit, schließlich muss man dies bei allen Google-Diensten, die man so mobil oder per App nutzt, einrichten. Damit ist nicht nur euer Gmail geschützt, sondern das komplette Google-Konto, inklusive Kalender, Docs, Google+ und Co!
Schritt 1: Doppelte Sicherheit aktivieren. Zu finden in den Konto-Einstellungen im Bereich Sicherheit, Bestätigung in zwei Schritten.
Schritt 2: Authentifikation eures Smartphones. Nummer eingeben, Code kann per SMS oder Sprache kommen. Damit verbindet ihr die Nummer, beziehungsweise das Smartphone mit eurem Konto. Den empfangenen Code einfach auf der nächsten erscheinenden Seite eingeben.
Schritt 3: den Computer als vertrauenswürdig einstufen. Heißt: euer Computer würde 30 Tage nicht nach dem Passwort fragen, da er von euch so eingestuft wurde. Dies ist günstig, wenn ihr euer Smartphone verliert oder keinen Zugriff darauf habt. Schließlich benötigt der Computer keinen Code mehr und ihr könnt über diesen das Smartphone sperren und / oder ein neues hinzufügen.
Theoretisch seid ihr nun fast fertig, aber ihr könnt weitere Optimierungen an eurem eigenen Workflow vornehmen. So muss man den Code nicht per SMS bestätigen, denn nun folgt die Einrichtung der App, die für iOS und Android identisch ist. Der Google Authentificator zeigt euch, sofern abgefragt, einen Code an – und eben jenen müsstet ihr an fremden Rechnern zusätzlich zu eurem Passwort eingeben. Dies sieht dann so aus:
Schritt 4: Infos, Anwendungsspezifische Passwörter und mobile Einrichtung. Google informiert euch nun, dass die doppelte Anmeldesicherheit aktiviert ist. Dies bedeutet aber auch, dass euer Mail-Programm keine Mails mehr von Google anfragen kann, sofern verwendet. Dies liegt daran, dass einige Programme nicht mit den Codes umgehen können, beziehungsweise diese nicht abfragen können.
Diese Anwendungsspezifischen Passwörter lassen sich auf dieser Seite eintragen. Nutzt ihr zum Beispiel Thunderbird zum Abfragen eurer Mails, dann benennt den Punkt zum Beispiel auf Thunderbird. Das generierte Passwort ist dann als Passwort zu eurem Mailkonto innerhalb von Thunderbird einzugeben. Muss mit jeder App gemacht werden. Ihr habt zwei Rechner mit Thunderbird? Die generierten Passwörter lassen sich an beiden Rechnern nutzen, logisch.
Die mobilen Anwendungen können auch hier eingerichtet werden. Zu diesem Zweck muss man sie nur installieren und den angezeigten Code einscannen. Durch den Scanvorgang verbindet sich der Authentificator mit eurem Konto uns ist fortan nutzbar. Wie man auf dem ersten Screenshot sehen kann, lassen sich auch Notfall-Codes zum Ausdrucken oder abspeichern generieren.
Wenn ihr diese Schritte durchlaufen habt, genießt euer Konto den doppelten Schutz. Die Einrichtung als solches dauert vielleicht 5 Minuten, etwas aufwendiger ist es, die ganzen Apps, die man so täglich nutzt, anzupassen. Schließlich benötigt nun jeder Google-Dienst, der als App oder Programm daherkommt, ein Anwendungsspezifisches Passwort. Faule Leute können natürlich für jede App das identische Passwort nehmen, aber dadurch wird das ja nicht alles sicherer.
Dennoch – macht euch die Mühe, sicher ist sicher. Minimiert Cloudnutzung auf verschlüsselte Daten oder Anbieter, die doppelte Anmeldesicherheit nutzen. Verwendet sicherere Passwörter, die ihr jeweils nur ein Mal nutzt. Löscht Konten bei Diensten, die ihr nicht mehr benötigt. Überprüft regelmäßig, welche Apps und Dienste Zugriff auf eure Konten haben!
Wird geladen ...
„Auch wenn die von Google noch so oft betteln…“ finde ja weniger dass die betteln. google bietet meiner meinung nach einen super service und das in den meisten fällen ohne zuzahlung
der vorwurf wegen mangelnden datenschutz sind immer so ne sache. klar die machen ihr geld (und damit auch die services) mit unseren daten, aber welche firma nicht? haste bei jedem anbieter so. und selbst nen mailserver daheim stehn haben ist auch meistens doof wegen verfügbarkeit.
ich mag und schätze google. dürfen das was sie wissen gerne wissen.
Ich sehe es genauso wie kOOk und André.
Sicherheit verkommt mittlerweile zum Totschlagargument.
Man sollte für jedes Gerät ein extra Passwort generieren lassen. Denn genau das ist ja der große Vorteil. Wird z.B. das iPad geklaut, löscht man einfach den iPad-Code raus. Wird das iPhone geklaut, halt den iPhone-Code, usw. Man hat also eine Liste aller Geräte und kann diese nach belieben einfach aus dem Konto kicken.
Ein weiterer Vorteil ist, dass externe Programme nur noch auf Mails, Kalender, etc Zugriff haben. Hat man bisher z.B. die eigenen Mails in Gmail aus Hotmail oder GMX heraus abrufen wollen, musste man dem entsprechenden Anbieter das Haupt-Passwort angeben. Somit hätten solche Dienste theoretisch Zugriff auf alles im Konto. Durch die anwendungsspezifischen Passwörter kann dann aber z.B: nur auf Kontakte, Kalender und Mails zugegriffen werden.
Das mit den Notfallcodes ist übrigens sehr wichtig. Wir haben in den Google Hilfeforen schon einige Anfragen von Nutzern gehabt, die sich ausgeschlossen haben. Diese 10 Codes ersetzen quasi in Notfällen den Code, wenn man z.B. keinen Zugriff auf das Handy hat oder es resetten musste, etc. Dann kann mit sich mit einem der Codes in der Kontenverwaltung einloggen und die Bestätigung in 2 Schritten abändern.
Für den Authenticator ist übrigens weder die Nummer noch eine Online-Verbindung notwendig. Funktioniert also immer – im Gegensatz zur SMS.
Und ganz wichtig: Falls Ihr Chrome über Euren Google-Account synchronisiert und die synchronisierten Daten über das Google-Passwort verschlüsselt werden, dann verwendet auf jeden Fall das selbe Anwendungspasswort für alle Chrome-Installationen.
Am besten für Chrome ein eigenes Anwendungspasswort einrichten – ich hatte es vorher so, dass ich pro Gerät ein eigenes Kennwort hatte, aber eben nicht pro Software. Das hat dazu geführt, dass die Chrome-Synchronisations-Daten mit unterschiedlichen Passwörtern verschlüsselt wurden und nichts mehr synchronisiert werden konnte.
Nachdem ich bei jeder Chrome-Installation das angelegte Chrome-Anwendungskennwort eingetragen hatte funktionierte es auch wieder mit der Synchronisation.
Danke!!
Habe mich durch den Beitrag endlich mal aufgerafft und das Sicherheits-Feature aktiviert.
@caschy
Danke für die Anleitung
Das Telefon bekommt immer stärkere Funktion als „Schlüssel“.
Deshalb wäre es super, wenn Du mal bei Gelegenheit auch ein paar Tipps geben könntest, wie man dieses absichert (Folgen nach Diebstahl gering halten)
Ich habe z.B bei mir (Android) das „Muster“ als Sicherheitsmerkmal aktiviert. Ist das zuverlässig, gibt es dazu weitere Tipps?
Schliesslich hab ich auch die Onlinebanking app drauf, und die Kombination mit mobile-tan ist zwar bequem, aber eben auch eher unsicher….
Ich habe einen kostenlosen Google Apps Account mit meiner Domain vornamenachname.de Warum
ist die Bestätigung in zwei Schritten nur für Business Kunden verfügbar?
@Dude + Florian: Danke für den Hinweis. Hatte ich wohl falsch im Kopf. War mir sicher da vor einer Weiler schon mal nach gesucht zu haben.
Überzeugt mich nicht. Die ganze Angelegenheit scheint mir sehr umständlich zu sein. Immerfort neue Passworte für alle möglichen Apps und Programme. Und nicht rückgängig zu machen. Das ist nicht wirklich alltagstauglich. Ich verzichte, danke!
@ Cashy: Danke für den Tipp! Sicherheit ist wichtig und die Auseinandersetzung damit auch. Auch wenn ich mich in diesem Einzelfall dagegen entscheide.
@Maximilian: Ich nutze auch die kostenlose Google-Apps Version unter eigener Domain. Auch da geht es – musst es nur in den Google-Apps-Einstellungen für die Domain aktivieren.
@Richard: Natürlich lässt es sich rückgängig machen. Einfach in Deinen Kontoeinstellungen bei „Sicherheit“ auf „Bestätigung in zwei Schritten deaktivieren“ klicken – schon ist es wieder weg.
Und meiner Meinung nach ist es auch nicht zu viel Umstand, alle 30 Tage mal einen Code einzugeben, für das Plus an Sicherheit. Immerfort neue Passworte stimmt ja so auch nicht. Wenn Du’s einmal eingerichtet hast ist es in Ordnung… wie regelmäßig fügst Du denn dann noch neue Services hinzu, die auf Dein Konto zugreifen, als das es umständlich wäre denen dann ein eigenes Passwort zu geben?
@André: „Mein Passwort ist sicher genug.“ Dann lies doch einmal die Geschichte, die zu diesem Eintrag geführt hat – jedenfalls vermute ich mal, dass es die unten verlinkte Geschichte war, wenn Cashy von „den Ereignissen in letzter Zeit in Sachen Cloud“ schreibt…
http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard
Das eigentlich Passwort wurde überhaupt nicht geknackt, sondern durch Social-Engineering erfragt. Da kann es noch so gut, noch so lang, noch so einfach oder kompliziert sein…
> “Auch wenn die von Google noch so oft betteln…” finde ja weniger dass die betteln.
Wenn die beim Anmeldevorgang zwei mal (!) fragen, ob man nicht eine Nummer angeben will und das immer wieder, dann würde ich das schon betteln nennen. Man kann es natürlich auch „nerven“ oder „drohen“ nennen.
So, habe es jetzt auch mal versucht. Eine Frage bleibt:
Ist es nicht einfacher, für den heimischen PC-Browser einfach ein anwendungsspezifisches Passwort zu generieren, um so die 30-Tage-Geschichte zu umgehen?
@Olaf – Du kannst ein Anwendungspasswort nicht im Browser auf einer Google-Seite verwenden. Probier es mal aus… Wäre ja auch unsinnig – dann hättest Du ja wieder nur ein Passwort…
@Andreas: Ok. Obwohl wegen unsinnig: Wäre ja ein Passwort speziell für den Browser, warum nicht?
Doch noch eine andere Frage:
Es gibt ja die Android-App „Google Authenticator“, um offline Codes zu generieren.
Hebelt diese App nicht das Ganze aus. Wenn jemand mein Phone in die Finger bekommt, kann er doch Codes bekommen.
Habe ich da was nicht verstanden?
@Olaf: Würde ein Anwendungspasswort im Browser funktionieren könnte es in jeden Browser eingegeben werden – von überall auf der Welt. Dann kannst Du es auch einfach bei Deinem bisherigen Passwort belassen und bräuchtest überhaupt keine 2-Wege. Die Anwendungspasswörter sind Notlösungen für Programme, welche die Eingabe eines zweiten Schlüssels nicht unterstützen – beispielsweise ein E-Mail Client. Und ja: insofern sind sie eine Schwachstelle, als das jemand (der irgendein Anwendungskennwort hat) beispielsweise Deine E-Mails mit einem Client-Programm lesen kann.
Nur kann er sich halt nie nicht über einen Browser in Dein Konto einloggen. So kann er es nicht löschen, keine Umleitung einrichten, halt gar nichts an Deinem Konto verändern, wozu Du Dich auf der Internetseite einloggen müsstest. Dazu braucht der Angreifer immer Passwort UND Schlüssel.
Und der letzte Satz beantwortet auch Deine zweite Frage: Selbst wenn er Dein Handy hat, fehlt ihm immer noch das Passwort. Deswegen heißt es doch 2-Wege 😉
Anwendungskennwörter lassen sich mit der App nicht erzeugen. Mal abgesehen davon, dass Dein Handy an sich ja wahrscheinlich schon Zugriff auf Deine E-Mails hat und ordentlich geschützt sein sollte.
Durch den Anschubser hab ich mein Google-Konto nun auch abgesichert.
Soweit ist bei mir alles klar – eine Sache hab ich aber noch nicht so ganz verstanden:
Die Google-Konten auf meinem Smartphone (googlemail) sind ja auch doppelt abgesichert. Das Googlemailkonto auf dem Smartphone verlangt nach dem Bestätigungscode – also kein anwendungsspezifisches Passwort. Die Bestätigungscodes gelten ja aber nur 30 Tage. Heißt das, dass ich auch auf meinem Smartphone sämtliche Google-Konten alle 30 Tage bestätigen muss? Oder mache ich da irgendwo einen Denkfehler?
@Plerzelwupp: Wenn Du aufgefordert wirst einen Code einzugeben und ein Anwendungskennwort nicht akzeptiert wird, dann musst Du tatsächlich alle 30 Tage einen Code eingeben. Das ist z.B. bei der Gmail-App für iOS der Fall.
Die regulären Mail-Einstellungen unter iOS funktionieren jedoch mit einem Anwendungskennwort und eine Code-Eingabe ist nicht erforderlich. Wie das bei Android aussieht weiß ich nicht, sollte jedoch genauso sein. Probier es einfach aus.
@Andreas
Vielen Dank für deine schnelle Stellungnahme. Es ist tatsächlich so, dass ein anwendungsspezifisches Passwort nicht akzeptiert wurde. Zur Aktivierung der Googlemail-App musste ich im Android-Browser den Bestätigungscode eingeben.
Da ich 4 Googlemail-Konten habe (privat, geschäftl., Blog+Web, Spam), wäre es ziemlich umständlich, rund 50x im Jahr irgendwelche Bestätigungscodes auf dem Smartphone einzugeben: Die Codes werden von der App Google-Authenticator geliefert – schnell die Anwendung wechseln zum Android Browser und dort den Code eingeben. Das kann doch nicht im Sinne des Erfinders sein?
@plerzelwupp – du schriebst
„Es ist tatsächlich so, dass ein anwendungsspezifisches Passwort nicht akzeptiert wurde. Zur Aktivierung der Googlemail-App musste ich im Android-Browser den Bestätigungscode eingeben.“
Das ist so NICHT richtig. Gehe in Android anders vor:
1. In den Einstellungen > Konten & Sync > dort das Google-Konto entfernen
2. Dann das Konto wieder hinzufügen – welche Dienste synchroisiert werden sollen (Mail, Kontakte, Kalender usw.) musst du leider wieder anhaken.
3. In der Statusleiste bekommst du nun eine Fehlermeldung, da die Anmeldung nicht geklappt hat (weil noch ohne Passwort)
4. Dort kannst du nun ein anwendungsspezifisches Passwort eingeben. Das gilt dann für das komplette Google-Konto (Mail, Kalender usw.).
So musst du nach 30 Tagen NICHTS mehr eingeben.