Google macht Ernst: Mehr Sicherheit durch OAuth 2.0

Google macht Nägel mit Köpfen in punkto Sicherheit. Bereits in der zweiten Jahreshälfte werden neue Mechanismen zur Sicherheit der Nutzer greifen. Allen Entwicklern legt man nahe, zukünftig auf OAuth 2.0 zu setzen, anstatt dem Nutzer Kontonamen und Passwort eingeben zu lassen. Bereits jetzt gibt es Werkzeuge für Entwickler, das Google Sign-in und OAuth 2.0 im Google API zu nutzen, ebenso wie in IMAP, SMTP und XMPP. In der zweiten Jahreshälfte will man die Sicherheitschecks, die beim Zugriff auf ein Google-Konto greifen, sukzessive erhöhen.

Google Office

Diese Prüfungen sollen dafür sorgen, dass nur die vorgesehenen Benutzer Zugriff bekommen, sei es im Browser oder über die Apps. Applikationen, die weiterhin auf die Kombination Username und Passwort setzen, werden zwar weiterhin funktionieren, doch hier will man dann den Nutzer auffordern, weitere Schritte zur Autorisierung zu unternehmen. Inwiefern Google den Nutzer gängelt, sich zu authentifizieren, wenn er eine „alte App“ ohne OAuth 2.0 nutzt, bleibt abzuwarten.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

15 Kommentare

  1. Wenn der Branchenprimus mit sowas voranschreitet kann das nur ein gutes Zeichen sein!

  2. Oh Gott. OAuth2 ist die größte Scheisse ever, aus Entwicklersicht. Die Implementierung ist aufwändiger als alles andere …

  3. Da zitiere ich doch gerne den führenden Autoren von OAuth 2 (Eran Hammer-Lahav), der seinen eigenen Namen von der Spezifikation hat streichen lassen:

    „When compared with OAuth 1.0, the 2.0 specification is more complex, less interoperable, less useful, more incomplete, and most importantly, less secure“

  4. @Sören Hentzschel: das 2012er Interview?

  5. OAuth 1.0 und 2.0 sind echt mist. Besonders bei Batchprogrammen oder stand-alone Desktop-Anwendungen! Man muss eine komplette Browser-Implementierung mitschleppen, nur um ein0-8-15 Token zu erzeugen.

  6. Wenn das so weitergeht, wird Google nach Yahoo im März der nächste große Name sein, der fliegt. Abgesehen von Gmail und YouTube benutze ich von Google bereits nix mehr, dann wird man das auch noch schaukeln, auf ersteres bin ich nicht unbedingt angewiesen und für letzteres gibt es andere Möglichkeiten etwa über das XBMC oder was weiss ich.

    Schade eigentlich. Google hat durchaus gute Ideen wie Perfect Forward Secrecy, was Sicherheitskonzepte angeht, aber die neuen Konzepte gefallen mir teilweise ganz und gar nicht. oAuth 2.0 klingt eher nach Trietzen als nach einer wirklichen Hilfe und dann (den Link zum Artikel hatte ich Caschy vor einiger Zeit mal geschickt) kam vor einiger Zeit das Projekt Google 2.0 raus, wo Google auch bei den Webapps von der klassischen Maus- auf Gestensteuerung umstellen will, also Touch oder Mausgesten, wenn ichs richtig verstanden habe. Wie sich YouTube damit bedienen lassen wird, wird sicher interessant. Naja, aber wie gesagt, vll. fliegt da bald was…

  7. Was bedeutet das aus Anwendersicht?

  8. Bedeutet OAuth 2.0 immer Authentifizierung mit dem Smartphone?

    Bloed, wenn ich also keins habe.

  9. Nein, OAuth 2.0 bedeutet nicht automatisch Authentifizierung mit dem Smartphone.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.