Anleitung: doppelte Anmeldesicherheit für Google

Ich habe ein paar Anfragen bekommen, ob ich die neue, doppelte Anmeldesicherheit von Google in ein bebildertes HowTo packen könnte, versehen mit ein paar warmen Worten. Mache ich gerne – denn ich müsste beim Austauschen einer Zündkerze im Auto auch eine bebilderte Anleitung anschauen. Mindestens. Die doppelte Anmeldesicherheit funktioniert via SMS, oder direkten Keys auf Android und iPhone. Ich habe nur ein Smartphone mit Android und werde deshalb diesen Weg beschreiben.

Schritt 1: Verwendung der Bestätigung in zwei Schritten aktivieren. Zu finden in euren Kontoeinstellungen.

Schritt 2: Zur Authentifizierung muss man sich noch ein weiteres Mal mit seinem Passwort einloggen. Im Anschluss wird einem noch einmal der nun folgende Ablauf erklärt.

Schritt 3: Auswahl des Smartphones. Ich bin ein Androide. Falls euch der Wechsel von Chrome auf Safari bei mir wundert: Chrome (Release-Version) auf dem Mac ließ mich nicht nach der Auswahl meines Smartphones weitermachen…

Schritt 4: es ist Zeit, sich den Google Authentificator aus dem Android Market zu besorgen.

Schritt 5: mit dem eben installierten Google Authentificator scannt ihr nun den Barcode ein, der erscheint, nachdem ihr unter Schritt 3 auf „weiter“ klickt.

Schritt 6: ihr erhaltet einen Code, den ihr nun in das Webformular eingeben müsst.

Schritt 7: druckt euch die Notfall-Codes aus, oder kopiert sie an einen sicheren Ort. Als Ersatzoption könnt ihr notfalls eine andere Nummer angeben, an diese könnt ihr euch Codes per Sprachnachricht oder SMS senden lassen.

Ab jetzt seid ihr fast safe. Aber auch mit weiteren Aufgaben behelligt, sofern ihr Thunderbird, Desktop-RSS-Reader und Co nutzt. Denn diese brauchen jetzt Token. Entweder für jede Anwendung oder ich macht das auf Rechnerbasis. Ist quasi der Ersatz zum alten Passwort.

Nach der Aktivierung ist man safe und man muss sich wieder via App authentifizieren.

Frage & Antwort

Kann die App mehr als ein Konto verwalten? Ja

Muss ich, wenn ich ein Mailprogramm an zwei Rechnern nutze, jeweils einen Token nutzen? Nein, es langt ein generierter, dies macht das Ganze aber absurd, weil unsicherer. Man kann Einzeltoken ja widerrufen.

Muss ich jedes Mal ein neues Passwort generieren? Nein, im Browser bleibt der Spaß 30 Tage gespeichert.

Müssen alle Einzel-Apps, die mein Google-Konto als Einlog-Mechanismus nutzen, autorisiert werden? Ja!

Zu anstrengend! Kann ich das deaktivieren? Ja, hier.

…..to be continued

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

50 Kommentare

  1. Wie für WoW 🙂

  2. Und da soll sich nochmal Einer über komplizierte Anmeldeverfahren beim Onlinebanking aufregen. 😉

  3. Bei mir funktionierte der ganze Spaß nicht in Chrome. Kam bis zu der Stelle wo man Handy oder App auswählen konnte, der weiter-Button ließ sich nicht betätigen. Erst in Safari konnte ich die Einrichtung komplett abschließen.

  4. @Ralph: schau mal, was ich schrieb 😉

  5. Lieber nicht…stell mir gerade vor, ich bin bei einem Kumpel oder im Urlaub weit ab vom Handynetz und ich kann mich net bei Google einloggen…blöd.

  6. @caschy: Jo sry, nicht ganz gelesen, weil ich das ja schon hinter mir hab 😉

  7. ick muss Dir mal ein großes Danke aussprechen für die Mühe. Idiotensicher erklärt.
    Danke.

  8. @EQvsUQ Du bekommst am Anfang 10 „Ersatzcodes“, ausdrucken oder aufschreiben. Dann kommst du auch ohne Handy rein.

  9. Fertig eingerichtet. Funktioniert astrein.

    Einzig als ich anschließend noch meinen Androiden über das noch fix eingerichtete anwendungsspezifische Passwort wieder freischalten musste, war die Abfrage dazu im Gerät etwas ungenau. Es war die normale Accountdatenabfrage und die akzeptierte nur das Einmalpasswort und nicht das übliche Accountpasswort. Wer also seine PC-Software und Androiden etc. auch noch nicht über diese Methode gesichert hat, sollte sich nicht wundern, wenn das reguläre PW als falsch angezeigt wird. In Outlook ist es übrigens das Gleiche. Auch dort muss das Einmalpasswort eingegeben werden, nicht das Reguläre.

    Insgesamt ein dickes Danke für die doppelte Sicherheit, Caschy!

  10. @ EQvsUQ
    Die Codes der App lassen sich meines Wissens nach auch offline erzeugen, ein Mobilfunknetz ist also nicht nötig. Aber du hast natürlich recht, dass man sich auch leicht aussperren kann, also sollte man sich überlegen, ob man das nötig hat.

  11. Die Codes funktionieren auch gänzlich offline. Oder du notierst dir einer diesen Token, da es so ja (leider) auch funktioniert.

  12. Ich habe bei der Nutzung dieser 2 Step Anmeldung aktuell die selben Probleme wie schon im Februar.

    1. Google Chrome weigert sich mit dem einen extra generierten Passwort zusammenzuarbeiten. Der sich bewegenden Kreis bei der Anmeldung dreht sich bis zur Unendlichkeit.

    2. Wie komme ich eigentlich auf diese „Google Konten Einstellungsseite“, welche in Schritt 1 gezeigt wird? Klar über den Link der von Carsten genannt wurde geht das, ABER wie komme ich da drauf OHNE den Link anzuklicken? (Ich will ja nicht immer den Umweg über den Blog gehen). Über den Link oben rechts auf meinen google Seiten kann ich zwar auch einen „Kontoeinstellungen“ Link klicken, der sieht aber komplett anders aus als der von Carsten und gibt mir keine Möglichkeit irgendwas an 2 Step einzustellen.

  13. Astrein, funktioniert super…
    Wenn ich mal bedenke was ich mal für ein ungläubiger Gogglehasser war…:P

  14. @Martin: gehe auf google.de, wenn du eingeloggt bist. Dann klicke oben rechts auf deinen Namen, dann auf Kontoeinstellungen. Wenn das jetzt nicht wie bei Caschy auf dem Screenshot aussieht, dann könnte ich drauf wetten, dass du bereits google+ beigetreten bist, oder? Denn dann wurde die Seite Kontoeinstellungen neu designed.
    Die 2 Lösungsmöglichkeiten, die es nun gibt:
    a, in der neuen Ansicht gelangst du auf die 2 Wege Sicherheit über:
    Gehe links auf den Punkt „Kontoübersicht“, dann rechts bei dem Punkt „Autorisierung von Anwendungen und Websites“ auf bearbeiten klicken. Dann erneut Passwort eingeben u. du bist auf der Übersichtsseite.
    a, du lässt dir die alte Ansicht der Kontoeinstellungen wieder anzeigen: Ebenfalls den Punkt „Kontoübersicht“ anklicken. Dann siehst du rechts den letzten Punkt „Auf der Suche nach älteren Konto-Optionen?“. Feld daneben anklicken u. es sieht aus wie oben:-) hat dir das geholfen?
    Gruß

  15. Wäääääh! Ich will Yubikey oder OpenID Login! Keine Lust ständig das Handy vollgespammt zu bekommen.

  16. Danke für die Anleitung.
    Was ist eigentlich wenn man diese 10 Reservecodes verbraucht hat? Werden dann neue generiert?

  17. Ich nutze es schon einige Zeit/Monate und es gab noch kein Problem.

  18. Habe ich gestern auch ausprobiert, ist etwas aufwendig, die Anwendungsspezifischen Passwörter (z.B. für Rainlender, eBuddy usw.) für jede Anwendung einzutippern, ist aber jedoch sinnvoll.

  19. (Ich habe ein paar Anfragen bekommen, ob ich die neue, doppelte Anmeldesicherheit von Google in ein bebildertes HowTo packen könnte)

    Vollkommen berechtigte Anfrage wenn man dein Post jetzt betrachtet
    übrigens Danke für die Anleitungen in Bildern und Kommentaren.

  20. Hallo zusammen!

    Hat nur einen großen hacken.
    Der Email Client von meinem Iphone funktiert nicht mehr. Das heißt, bei jeder Synchronisation muss ich jetzt das einmal Passwort eingeben. Irgendwie blöd!
    Oder mache ich da was falsch?

    Korrektur: War Fehler meinerseits. Man muss auch dort nur das einmal Passwort, welches man von google generiert bekommt nur „einmal“ eingeben 🙂 – Sagt doch der Name schon-

  21. Geile Sache, auf jeden Fall nutzen! (Nutze ich schon seit caschy das erste Mal drüber gebloggt hat.)

  22. Gibt es tatsächlich keine Möglichkeit ohne Eingabe der Telefonnummer weiter zu machen?
    Die App und die ausgedruckten Codes reichen doch vollkommen, da muss ich Google nicht auch noch meine Handynummer geben 🙁

  23. @Marek: PERFEKT. Vielen Dank

  24. Super! Danke für die ausführliche Anleitung 🙂

  25. Ich nutze das Feature schon seit einigen Wochen, aber ich muss sagen, hin und wieder ist es auch nervig, gerade wenn man Google Tools wie Analytic am IPhone verwenden will, und die Passwörter immer wieder für jeden Account neu anlegen muss ….

  26. Eine kurze Frage:

    Mein Android kann ich ja teilweise per Google-Login entsperren (Samsung uTrack, Lockscreeen-Muster, …).
    Reicht dafür das normale „alte“ Passwort oder wie geht das dann (habe die Einmalpasswörter ja nicht immer dabei)?

  27. Ich hab das jetzt mal eingerichtet. Habe mein Android Handy auch per Anwendungsspezifisches Kennwort freigeschaltet.

    Aber wenn man mir das Handy klaut oder ich es verliere, hat doch der „neue Besitzer“ Zugriff auf Mail Konto/Google Konto.

    Muss ich mich dann an einen Desktop Account einloggen und das Handy aussperren? Oder wie soll das funktionieren?

  28. Ich habs ausprobiert. Das ist ja schrecklich nervig, wenn man immer sein Telefon in der Hand halten muss, um die Nummer zu tippen. Das mit den 30 Tagen halte ich für wenig sinnvoll. Wieso sollte das sicherer sein, wenn man 30 Tage ohne Zweitlogin reinkommt? Zwei Tage hab ich’s ausgehalten und jetzt wieder zurückgeschaltet.

  29. @Michael:

    Es sollte ja auf jeden Fall funktionieren, indem man die Art der Authentifizierung ändert (ich nehme an du nutzt das App). Oder man ändert das Passwort, dann sollten ja alle Einmal-Passwörter gesperrt werden (falls sich da jemand länger als 2min mit beschäftigt hat), den ohne Passwort bringt einem der Bestätigungscode nichts.

  30. Wieviele Zeichen hat so ein anwendungsspezifischen Passwort eigentlich? Ich nutze aktuell ein 70-Zeichen Kennwort via Passwort-Safe, welchem ich ggf. mehr vertraue, falls die zusätzlichen anwendungsspezifischen Passwörter <30 Zeichen sind.

    Kann mir das jemand sagen? 🙂 Oder kann man gar die Länge einstellen?

  31. Danke … cool!

  32. @ Franz:

    Anwendungsspezifische Passwörter haben 16 Zeichen, nur Kleinbuchstaben !!!

    Ich denke aber, dass es trotzdem sicher ist, denn ein Passwort abgreifen sollte leichter sein als alle 26 hoch 16 ( = 44 Trilliarden) Möglichkeiten durchzuprobieren bzw. per BruteForce zu ent-hashen.

  33. @Philipp

    Danke für die Info. Bin ganz happy, dass noch jemand geantwortet hat. Mein Google-Apps-Setup ist ziemlich umfassend (will das nicht einfach mal so anfassen), war schon dabei nen testaccount anzulegen, als ich dein Comment gesehen habe. *thumps up* 🙂

    „Ich denke aber, dass es trotzdem sicher ist, denn ein Passwort abgreifen sollte leichter sein“

    Wenn man ein Passwort abgreifen kann ist es im Grunde egal, wie lang es ist. 😉

    „…als alle 26 hoch 16 ( = 44 Trilliarden) Möglichkeiten durchzuprobieren“

    Man muss schon Pech haben alle Möglichkeiten durchprobieren zu müssen, ist so wahrscheinlich, wie dass der erste Versuch richtig ist. Der Wahrscheinlichkeit nach wird es wohl irgendwo nach 22 Trilliarden passieren 😉 Und es wären „44 Trilliarden / [Anzahl der Passwörter]“, wenn man mehrere Anwendungen hat. 😉

    Außerdem ist das nicht mehr so viel:
    9 Zeichen bekomme ich schon für sehr wenig Geld gecrackt (aber klar: erstmal müsste man Google’s DB aufmachen um an z.B. den Hash zu kommen oder die Authentification verrät das auf anderem Wege), wenn man etwas mehr ausgiebt sind auch 16 Zeichen nicht absolut undenkbar, wenn wirklich nur [a-z0-9] verwendet wird (warum lässt Google einen dasn eigentlich nicht einstellen?).

    Aber ich aktiviere es glaube ich dennoch. Denn wenigstens das Webinterface ist durch 2-Faktor-Auth ja deutlich besser abgesichert, weniger starke Anwendungs-Kennwörter hin oder her. Dann kommt man mit einem Anwendungskennwort ggf. an Daten, kann aber zumindest nicht alle Adminfunktionen übernehmen und den Eigentümer aussperren etc.. Vllt kann man ja irgendwann die stärke der Anwendungskennwörter hochdrehen, dann bin ich vollends glücklick.

    However: Vielen dank für deine Antwort! 🙂

  34. Haha, richtig dummer Rechtschreibfehler: es sollte „sicherer“ heißen.

    “ [UPDATE: Take a look at this – whitepixel 2 running with 4 x HD 5970 cards (8 x GPUs) capable of 33.1 billion MD5 password hashes/sec. “

    D.h. für 1 Trillion Möglichkeiten (gute Näherung bei ca. 8 anwendungsspezifischen Passwörtern) wäre es noch ein Jahr. Außerdem müsste man die Hashes ja auch noch bekommen (Google-Server/SSL-Verbindung) … da würde ich vermutlich eher Trojaner und Keylogger einsetzen, bzw. den Passwortspeicher/authentifizierte Anwendung hacken.
    Oder wie ich es i-wo mal gelesen habe:
    Man nehme an, „dieses-und-jenes“ zu knacken würde 1 Million Euro kosten; wäre es nicht einfacher deinen Arbeitsplatz per Video zu überwachen, bzw. den PC einfach mitzunehmen? Eine Entführung von Frau und Kindern wäre auch noch in der Preislage …

    Aber ich sehe wir haben ja sehr ähnliche Ansichten, was das Feature anbelangt. Ich werde den Vorschlag Google mal posten. Mich hat das mit den anw.spez. PWs auch etwas verwundert, zumal da auch irgendetwas in meiner Erinnerung kreist von wegen Picasa, Android und unsicheren, unverschlüsselten Tokens …
    Cool wäre vielleicht noch, wenn NFC oder so den Login beschleunigen könnten (Androiden neben PC halten und gut is‘ …)

    Google Forum:
    http://www.google.com/support/forum/p/apps/thread?tid=45159def4af1876d&hl=de

    Grüße,

    Philipp

  35. Habe ein Problem. Habe das ganze getestet. Jetzt nach dem deaktivieren der funktion kann ich mich nicht mehr mit meinem Passwort an Thunderbird anmelden? jemand eine idee?

  36. @ Julian:

    Hast du das Passwort mal geändert, nachdem du die 2-Schritt-Authentifizierung deaktiviert hast? Wenn du noch ein anwendungsspezifisches Passwort hast, kannst du es ja mal ausprobieren, vielleicht ist das ganze etwas verzögert. Daher wäre mein Vorschlag auch erstmal: Tee trinken, wenn es nicht ultra-dringend ist (Zugang über Browser möglich?).

  37. brwoser möglich. ja hatte das kennwort anwendungsspezifisch geändert aber das ganze nun wieder gelöscht. Habe es jetzt grade nochmal getestet funktioniert wieder, also war wohl nur ein zeit problem ;=)

  38. Habe bei mir SMS Benachrichtigung eingerichtet und funktioniert einwandfrei. Nutze ich schon seit ~ 1 Jahr. Das tolle daran ist, dass man immer mitbekommt, wenn jemand versucht sich einzuloggen 🙂

  39. Hallo Caschy, wollte einfach nur mal DANKE sagen für diesen Beitrag und den sanften Tritt in den Allerwertesten. Habs dank deiner Anleitung hinbekommen und bin jetzt hoffentlich auf sichereren Seite als davor.

  40. Moin,

    das mit den Anwendungsspezifischen Passwörtern geht bei mir nicht so richtig. Hier insbesondere beim IPhone. (ich verwende Google Apps)
    Sparrow: kein Einloggen möglich mit Angabe meiner Emailadresse als Benutzer und dem extra dafür generierten Anwendungsspezifischen Passwort.
    Oder: Verbindung zu Google Apps mittels IMAP (für meine Emails. Ja, ich weiß, doppelt) oder mittels Exchange (für Kontakte und Kalender).

    Was geht war die Gmail App. Die hat aber auch kein Anwendungsspezifisches Passwort gebraucht, sondern das Passwort per SMS.

    Kennt jemand das Problem? Kann mir jemand helfen?

    Danke im Voraus

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.