Anleitung: doppelte Anmeldesicherheit für Google

Ich habe ein paar Anfragen bekommen, ob ich die neue, doppelte Anmeldesicherheit von Google in ein bebildertes HowTo packen könnte, versehen mit ein paar warmen Worten. Mache ich gerne – denn ich müsste beim Austauschen einer Zündkerze im Auto auch eine bebilderte Anleitung anschauen. Mindestens. Die doppelte Anmeldesicherheit funktioniert via SMS, oder direkten Keys auf Android und iPhone. Ich habe nur ein Smartphone mit Android und werde deshalb diesen Weg beschreiben.

Schritt 1: Verwendung der Bestätigung in zwei Schritten aktivieren. Zu finden in euren Kontoeinstellungen.

Schritt 2: Zur Authentifizierung muss man sich noch ein weiteres Mal mit seinem Passwort einloggen. Im Anschluss wird einem noch einmal der nun folgende Ablauf erklärt.

Schritt 3: Auswahl des Smartphones. Ich bin ein Androide. Falls euch der Wechsel von Chrome auf Safari bei mir wundert: Chrome (Release-Version) auf dem Mac ließ mich nicht nach der Auswahl meines Smartphones weitermachen…

Schritt 4: es ist Zeit, sich den Google Authentificator aus dem Android Market zu besorgen.

Schritt 5: mit dem eben installierten Google Authentificator scannt ihr nun den Barcode ein, der erscheint, nachdem ihr unter Schritt 3 auf „weiter“ klickt.

Schritt 6: ihr erhaltet einen Code, den ihr nun in das Webformular eingeben müsst.

Schritt 7: druckt euch die Notfall-Codes aus, oder kopiert sie an einen sicheren Ort. Als Ersatzoption könnt ihr notfalls eine andere Nummer angeben, an diese könnt ihr euch Codes per Sprachnachricht oder SMS senden lassen.

Ab jetzt seid ihr fast safe. Aber auch mit weiteren Aufgaben behelligt, sofern ihr Thunderbird, Desktop-RSS-Reader und Co nutzt. Denn diese brauchen jetzt Token. Entweder für jede Anwendung oder ich macht das auf Rechnerbasis. Ist quasi der Ersatz zum alten Passwort.

Nach der Aktivierung ist man safe und man muss sich wieder via App authentifizieren.

Frage & Antwort

Kann die App mehr als ein Konto verwalten? Ja

Muss ich, wenn ich ein Mailprogramm an zwei Rechnern nutze, jeweils einen Token nutzen? Nein, es langt ein generierter, dies macht das Ganze aber absurd, weil unsicherer. Man kann Einzeltoken ja widerrufen.

Muss ich jedes Mal ein neues Passwort generieren? Nein, im Browser bleibt der Spaß 30 Tage gespeichert.

Müssen alle Einzel-Apps, die mein Google-Konto als Einlog-Mechanismus nutzen, autorisiert werden? Ja!

Zu anstrengend! Kann ich das deaktivieren? Ja, hier.

…..to be continued

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

50 Kommentare

  1. Geile Sache, auf jeden Fall nutzen! (Nutze ich schon seit caschy das erste Mal drüber gebloggt hat.)

  2. Gibt es tatsächlich keine Möglichkeit ohne Eingabe der Telefonnummer weiter zu machen?
    Die App und die ausgedruckten Codes reichen doch vollkommen, da muss ich Google nicht auch noch meine Handynummer geben 🙁

  3. @Marek: PERFEKT. Vielen Dank

  4. Super! Danke für die ausführliche Anleitung 🙂

  5. Ich nutze das Feature schon seit einigen Wochen, aber ich muss sagen, hin und wieder ist es auch nervig, gerade wenn man Google Tools wie Analytic am IPhone verwenden will, und die Passwörter immer wieder für jeden Account neu anlegen muss ….

  6. Eine kurze Frage:

    Mein Android kann ich ja teilweise per Google-Login entsperren (Samsung uTrack, Lockscreeen-Muster, …).
    Reicht dafür das normale „alte“ Passwort oder wie geht das dann (habe die Einmalpasswörter ja nicht immer dabei)?

  7. Ich hab das jetzt mal eingerichtet. Habe mein Android Handy auch per Anwendungsspezifisches Kennwort freigeschaltet.

    Aber wenn man mir das Handy klaut oder ich es verliere, hat doch der „neue Besitzer“ Zugriff auf Mail Konto/Google Konto.

    Muss ich mich dann an einen Desktop Account einloggen und das Handy aussperren? Oder wie soll das funktionieren?

  8. Ich habs ausprobiert. Das ist ja schrecklich nervig, wenn man immer sein Telefon in der Hand halten muss, um die Nummer zu tippen. Das mit den 30 Tagen halte ich für wenig sinnvoll. Wieso sollte das sicherer sein, wenn man 30 Tage ohne Zweitlogin reinkommt? Zwei Tage hab ich’s ausgehalten und jetzt wieder zurückgeschaltet.

  9. @Michael:

    Es sollte ja auf jeden Fall funktionieren, indem man die Art der Authentifizierung ändert (ich nehme an du nutzt das App). Oder man ändert das Passwort, dann sollten ja alle Einmal-Passwörter gesperrt werden (falls sich da jemand länger als 2min mit beschäftigt hat), den ohne Passwort bringt einem der Bestätigungscode nichts.

  10. Wieviele Zeichen hat so ein anwendungsspezifischen Passwort eigentlich? Ich nutze aktuell ein 70-Zeichen Kennwort via Passwort-Safe, welchem ich ggf. mehr vertraue, falls die zusätzlichen anwendungsspezifischen Passwörter <30 Zeichen sind.

    Kann mir das jemand sagen? 🙂 Oder kann man gar die Länge einstellen?

  11. Danke … cool!

  12. @ Franz:

    Anwendungsspezifische Passwörter haben 16 Zeichen, nur Kleinbuchstaben !!!

    Ich denke aber, dass es trotzdem sicher ist, denn ein Passwort abgreifen sollte leichter sein als alle 26 hoch 16 ( = 44 Trilliarden) Möglichkeiten durchzuprobieren bzw. per BruteForce zu ent-hashen.

  13. @Philipp

    Danke für die Info. Bin ganz happy, dass noch jemand geantwortet hat. Mein Google-Apps-Setup ist ziemlich umfassend (will das nicht einfach mal so anfassen), war schon dabei nen testaccount anzulegen, als ich dein Comment gesehen habe. *thumps up* 🙂

    „Ich denke aber, dass es trotzdem sicher ist, denn ein Passwort abgreifen sollte leichter sein“

    Wenn man ein Passwort abgreifen kann ist es im Grunde egal, wie lang es ist. 😉

    „…als alle 26 hoch 16 ( = 44 Trilliarden) Möglichkeiten durchzuprobieren“

    Man muss schon Pech haben alle Möglichkeiten durchprobieren zu müssen, ist so wahrscheinlich, wie dass der erste Versuch richtig ist. Der Wahrscheinlichkeit nach wird es wohl irgendwo nach 22 Trilliarden passieren 😉 Und es wären „44 Trilliarden / [Anzahl der Passwörter]“, wenn man mehrere Anwendungen hat. 😉

    Außerdem ist das nicht mehr so viel:
    9 Zeichen bekomme ich schon für sehr wenig Geld gecrackt (aber klar: erstmal müsste man Google’s DB aufmachen um an z.B. den Hash zu kommen oder die Authentification verrät das auf anderem Wege), wenn man etwas mehr ausgiebt sind auch 16 Zeichen nicht absolut undenkbar, wenn wirklich nur [a-z0-9] verwendet wird (warum lässt Google einen dasn eigentlich nicht einstellen?).

    Aber ich aktiviere es glaube ich dennoch. Denn wenigstens das Webinterface ist durch 2-Faktor-Auth ja deutlich besser abgesichert, weniger starke Anwendungs-Kennwörter hin oder her. Dann kommt man mit einem Anwendungskennwort ggf. an Daten, kann aber zumindest nicht alle Adminfunktionen übernehmen und den Eigentümer aussperren etc.. Vllt kann man ja irgendwann die stärke der Anwendungskennwörter hochdrehen, dann bin ich vollends glücklick.

    However: Vielen dank für deine Antwort! 🙂

  14. Haha, richtig dummer Rechtschreibfehler: es sollte „sicherer“ heißen.

    “ [UPDATE: Take a look at this – whitepixel 2 running with 4 x HD 5970 cards (8 x GPUs) capable of 33.1 billion MD5 password hashes/sec. “

    D.h. für 1 Trillion Möglichkeiten (gute Näherung bei ca. 8 anwendungsspezifischen Passwörtern) wäre es noch ein Jahr. Außerdem müsste man die Hashes ja auch noch bekommen (Google-Server/SSL-Verbindung) … da würde ich vermutlich eher Trojaner und Keylogger einsetzen, bzw. den Passwortspeicher/authentifizierte Anwendung hacken.
    Oder wie ich es i-wo mal gelesen habe:
    Man nehme an, „dieses-und-jenes“ zu knacken würde 1 Million Euro kosten; wäre es nicht einfacher deinen Arbeitsplatz per Video zu überwachen, bzw. den PC einfach mitzunehmen? Eine Entführung von Frau und Kindern wäre auch noch in der Preislage …

    Aber ich sehe wir haben ja sehr ähnliche Ansichten, was das Feature anbelangt. Ich werde den Vorschlag Google mal posten. Mich hat das mit den anw.spez. PWs auch etwas verwundert, zumal da auch irgendetwas in meiner Erinnerung kreist von wegen Picasa, Android und unsicheren, unverschlüsselten Tokens …
    Cool wäre vielleicht noch, wenn NFC oder so den Login beschleunigen könnten (Androiden neben PC halten und gut is‘ …)

    Google Forum:
    http://www.google.com/support/forum/p/apps/thread?tid=45159def4af1876d&hl=de

    Grüße,

    Philipp

  15. Habe ein Problem. Habe das ganze getestet. Jetzt nach dem deaktivieren der funktion kann ich mich nicht mehr mit meinem Passwort an Thunderbird anmelden? jemand eine idee?

  16. @ Julian:

    Hast du das Passwort mal geändert, nachdem du die 2-Schritt-Authentifizierung deaktiviert hast? Wenn du noch ein anwendungsspezifisches Passwort hast, kannst du es ja mal ausprobieren, vielleicht ist das ganze etwas verzögert. Daher wäre mein Vorschlag auch erstmal: Tee trinken, wenn es nicht ultra-dringend ist (Zugang über Browser möglich?).

  17. brwoser möglich. ja hatte das kennwort anwendungsspezifisch geändert aber das ganze nun wieder gelöscht. Habe es jetzt grade nochmal getestet funktioniert wieder, also war wohl nur ein zeit problem ;=)

  18. Habe bei mir SMS Benachrichtigung eingerichtet und funktioniert einwandfrei. Nutze ich schon seit ~ 1 Jahr. Das tolle daran ist, dass man immer mitbekommt, wenn jemand versucht sich einzuloggen 🙂

  19. Hallo Caschy, wollte einfach nur mal DANKE sagen für diesen Beitrag und den sanften Tritt in den Allerwertesten. Habs dank deiner Anleitung hinbekommen und bin jetzt hoffentlich auf sichereren Seite als davor.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.