Auch für deutsche Accounts: doppelte Anmeldesicherheit für Google

Aloha! im Februar diesen Jahres hatte ich bereits etwas über die doppelte Anmeldesicherheit von Google geschrieben: „Heißt: neben eurem Passwort (na, wer nutzt den Namen seiner Freundin oder des Haustieres? ) könnt ihr es in euren Account-Einstellungen einen weiteren Verifikations-Code vergeben. Quasi wie ein Pin, sofern ihr Online-Banking betreibt. Dieser Code wird dabei an euer Handy gesandt. Im Browser könnt ihr diesen Code dann für 30 Tage speichern lassen. Ein möglicher Angreifer muss also neben eurem Passwort den Pin haben.“ Für eure Anwendungen könnt ihr dann Einzelcodes generieren, zum Beispiel für Thunderbird & Co.

 

Im deutschen Google Blog hat man nun noch einmal einen Erklärbären gemacht um auf das Feature hinzuweisen, also ist davon auszugehen, dass ihr mittlerweile alle in euren Google-Einstellungen den Punkt Verwendung der Bestätigung in zwei Schritten haben dürftet.

Jules von Google sagt: „Bitte nehmt euch heute zehn Minuten Zeit, um Schritte zur Verbesserung eurer Online-Sicherheit zu unternehmen. Dann könnt ihr alles nutzen, was das Internet zu bieten hat, und eure Daten bleiben geschützt“ – und damit hat er Recht.

Und keine Angst: am Ende bekommt ihr noch eine Bestätigung:

Sehr geehrter Google-Konten-Nutzer,

herzlichen Glückwunsch zur Anmeldung für die Bestätigung in zwei Schritten! Ihr Konto ist jetzt besser vor Angreifern geschützt.

Bei jeder Anmeldung über einen nicht bestätigten Computer müssen Sie Ihre Identität mit einem Passwort und einem Bestätigungscode bestätigen, den Sie per Mobilanwendung, SMS oder Telefonanruf erhalten.

WICHTIG: Vorgehensweise, falls einige Anwendungen nicht mehr funktionieren

Einige Anwendungen, die auf Google-Daten zugreifen, akzeptieren keine Bestätigungscodes, sondern nur Nutzernamen und Kennwörter. Beispiele:

– Smartphones (z. B. Android, iPhone)
– Mail-Clients, die IMAP/POP verwenden (z. B. Outlook Express oder Thunderbird)
– Chat-Clients (z. B. Google Talk)
– Picasa-Desktopanwendung

Nach Ihrer Anmeldung für die Bestätigung in zwei Schritten funktionieren diese Anwendungen vorübergehend nicht mehr. Sie können dies beheben, indem Sie in das Feld „Passwort“ statt Ihres regulären Passworts ein anwendungsspezifisches Passwort oder Ihren Bestätigungscode eingeben.

Besuchen Sie zur Erstellung anwendungsspezifischer Passwörter folgende Seite:
https://www.google.com/accounts/IssuedAuthSubTokens.

WICHTIG: Bewahren Sie die Zugriffsinformationen für Ihr Konto sorgfältig auf.

Für den Zugriff auf Ihr Konto sind jetzt ein Passwort und ein Bestätigungscode erforderlich. Falls Sie das Telefon verlieren, das Sie konfiguriert haben, können Sie eventuell nicht mehr auf Ihr Konto zugreifen.

Bitte bewahren Sie Ihre Ersatzcodes, also die Codes, die Sie bei der Anmeldung zur Bestätigung in zwei Schritten ausgedruckt haben, an einem sicheren Ort auf. Sie können diese anstelle Ihres Bestätigungscodes verwenden. Falls Ihr Telefon oder die Mobilanwendung einmal nicht verfügbar sein sollte, können Sie nur mithilfe dieser Codes auf Ihr Konto zugreifen.

Benötigen Sie Hilfe?

Sollten Sie Fragen zu der Bestätigung in zwei Schritten haben oder Informationen über weitere Maßnahmen zur Sicherung Ihres Kontos wünschen, finden Sie entsprechende Informationen in der Google-Konten-Hilfe unter
http://www.google.com/support/accounts/bin/answer.py?answer=180744&hl=de.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

33 Kommentare

  1. Aber ob Datensicherheit und Google zusammenpasst ist noch eine andere Frage.
    Sicher sind die Daten vor 3. sicher, aber in der Zwischenzeit sammelt Google immer schön weiter

  2. Bierbauch says:

    @dnano91: ich verstehe dich nicht, entweder man entscheidet sich google zu nutzen oder man lässt es bleiben! dieses feature bringt dir mehr sicherheit, wenn du z.b. ein googlemail konto als primäre emailadresse nutzt! sofern man dies tut, hat oder sollte man sich bereits gedanken darüber gemacht haben, dass man für diesen kostenlosen service eine gewisse gegenleistung in form von werberelevanten informationen teilt. sprich, wenn es dir nicht gefällt, dann lass es einfach 😉
    für alle anderen ist das eine mehr als sinnvolle sicherheitsergänzung …

  3. AndroidFan says:

    Für mich klingt das irgendwie kompliziert. Zum einen steht da, dass es nach der Anmeldung zu den 2 Schritten vorerst nicht mehr möglich sein wird, mit dem Smartphone darauf zu zugreifen und dann steht da, dass es mit bestimmten Codes geht. Klingt erst einmal verwirrend.

    anwendungsspezifisches Passwort = Ist an eine Anwendung gebunden, folglich braucht man für jede Anwendung einen neuen Code?

    Bestätigungscode = Ist das, was auf das Handy kommt?

    Was ist, wenn sich meine Telefonnummer ändert? Werden die Codes auch ins Ausland verschickt? Sonstige Hürden?

  4. @AndroidFan
    die anwendungsspezifischen Passwörter sind erfahrungsgemäß nicht anwendungsspezifisch. Du kannst ein solches Passwort erstellen, und es in mehreren Anwendungen benutzen. Es geht nur darum, das bei diesen Passwörtern kein Bestätigungscode verlangt wird.

    Den Bestätigungscode bekommst du per sms oder Telefonansage (du musst auch min. zwei Nummern angeben, falls du z.B. dein Handy gerade nicht zur Hand hast oder es verloren geht). Alternativ gibts für Android auch eine App, welches entsprechende Codes automatisch generiert (ohne sms oder i-net).
    Der Bestätigungscode lässt sich in Webbrowsern über Cookies bis zu 30 Tage speichern, so dass du nicht bei jedem Login einen neuen Anfordern musst (macht natürlich nur an deinem privat PC Sinn)

  5. Frage an Caschy und sonstige Galaxy S 2 Besitzer: Ich hatte vor meinem Galaxy die doppelte Anmeldung aktiviert. Mit der Google App auf dem Galaxy funktioniert das bei mir nicht, der Code ist zeitabhängig und der auf dem Handy angegebene Code wird nie akzeptiert. Hat das einer im Betrieb und kann mir sagen wie seine Einstellungen sind? Mit der automatischen Zeiteinstellung bin ich bei GMT+2 wegen der Sommerzeit. Ein manueller Wechsel auf GMT+1 hat leider auch nicht zu einer funktionierenden Lösung geführt. Bin um jeden Tipp und Denkanstoss dankbar. 🙂

  6. Hab jetzt auch umgestellt – hört sich vor dem Aspekt der Sicherheit ja erstmal sehr gut an und dank Android-App kann man die Codes wenigstens selbst generieren. Ob man das in der Praxis nicht viel zu umständlich wird, bleibt abzuwarten…

  7. verstehe ich das richtig.? ich muss diesen Code dann alle 30 Tage eingeben? Auch auf dem Handy ?

  8. Nur für den Webzugriff am Rechner, nicht die Token. Ich schreib gleich mal was.

  9. Was soll das? Es ist einfach unglaublich kompliziert und erinnert mich fatal an das allseits beliebte PIN/TAN verfahren beim online banking. Wie wär es denn mit https und ausreichend langen Passwörtern die bestimmte Kriterien erfüllen. Das ganze schützt schließlich nur vor Ausspähungen und brute-force-Attacken. Aber überall mein Handy mitnehmen oder die doppelten Passwörter dann doch wieder speichern (wo eigentlich und ist das „sicher“) oder sichere Apps installieren die dann das zweite Passwort erzeugen (wie eigentlich? lokal? rufen die das ab? wie sicher ist ggf. der lokale Algorhytmus?) Ist mir zu viel, und zu fraglich was das ganze wirklich bringt.

  10. Diese 30-tage-Speicherung passiert sicher per Cookie. Diese lösche ich bei jedem Browserende. Also müsste ich mich bei jedem Start erst per Handy anmelden? Da ist die Facebook-Version mit der Infomail einfacher, wenn auch nicht so sicher.

  11. Auch wenn ich hier mal wieder „negative Wellen“ ausbreite, so muss man sich doch ernsthaft fragen, ob diese doppelte Absicherung für den Benutzer sinnvoll ist. Wer sich sein Passwort nicht merken kann, wird sich vermutlich auch diese 30 Tage lang gültige PIN nicht merken können. Ein besseres Passwort wäre meiner Meinung nach deutlich sinnvoller, z.B. mit Hilfe eines „Merksatzes“:

    „Freitag der 13 ist ein gefährlicher Tag“ ==> Fd13iegT!

    Für google macht diese doppelte Absicherung Sinn. Sie bekommen immer die aktuelle Telefonnummer zum verwendeten Account 😉

  12. Ich nutze das schone lange und ich fühl mich seitdem richtig sicher 🙂

  13. unter https://github.com/rdgreen/LCGoogleApps findet ihr eine .Net app, welche, wie die android app, alle 30 sek einen code generiert.

  14. Im Prinzip eine gute Sache, die auch zuverlässig funktioniert.
    Bitter wird es allerdings, wenn man bereits etliche Apps mit dem Google-Acc gekoppelt hat.
    Deshalb hab ich die Idee gestern auch wieder verworfen ^^

  15. AndroidFan says:

    @mdot
    Danke, klingt nun einleuchtender.

    @Patrick
    mdot hat oben beschrieben, das man sich ein Code generieren lassen kann, der für alle Apps passt. Überhaupt, für welche Apps benötigt man denn den Google-Account?

  16. @AndroidFan 1. Weiß ich. Wie gesagt, es geht um die Apps die bereits authentifiziert sind und bei Doppelsicherung min. 1x neu authentifiziert werden müssen.
    2. Für welche Apps? Nich‘ dein Ernst xD

  17. Hi!
    @livingon: was für nen Käse schreibst du da? Die Pin muss ich mir doch nicht merken. Die ist nur einmal gültig.
    @ Patrick: auch Käse. Das ist gar nicht bitter… Dann muss man für die Apps, die auf google zugreifen, halt alle EINMALIG nochmal nutzername und das von google generierte Passwort eingeben. Was ist daran bitter? Ist eine einmalige Sache von minuten…
    @ Stefan: Mega Käse. Da ist gar nichts kompliziert. Google führt dich durch die anmeldung. Wenn dir das zu kompliziert ist, hast du nicht viel drauf.
    An alle: da ist gar nichts kiomliziert, oder zeitaufwendig. Im Gegenteil, es bringt Sicherheit.
    Benutze es schon seit Wochen und fühle mich dadurch einfach sicherer. Mehr Zeitaufwand habe ich dadurch nicht!
    Welcher mailingdienst bietet das noch? Keiner… Also, google legt viel mehr wert auf meine Daten als Web, oder gmx

  18. @Marek: Nochmal, wieso brauche ich ein zweites Passwort, wenn das erste sicher ist? Und ja, ich habs noch nich gerafft: bekomm ich bei jedem Anmelden einen neuen token? Wenn ja wäre das kompliziert. Falls nicht macht es wenig sinn. Und noch eine Frage: wie sicher ist der token? Bevor du mich für blöd erklärst – erklär mir das doch.
    Und ja, ich hab nichts dagegen wenn das jemand macht und sich damit sicher fühlt. Ich seh nur noch nicht, dass Aufwand und Nutzen in einem sinnvollen verhältnis stehen – für mich!

  19. [Plz del me, habe mich im Ton vergriffen]

  20. AndroidFan says:

    @Patrick
    Nein, das ist mein Ernst. Welche Apps benötigen eine Google-Authentifizierung? Mir fällt nur das googlemail-App ein, hier wollte das App einen anwendungsspezifischen Code haben. Google-Music lief einwandfrei, ebenso gTalk. Vielleicht liegt es daran, dass Google-Music und gTalk bereits mit authentifiziert wurden, als ich googlemail-App authentifiziert hatte. Ich weiß es nicht. Kläre uns auf.

  21. @Marek: Du scheinst Dich ziemlich gut mit Käse auszukennen, wenn Du so viele Sorten unterscheiden kannst 😉
    Ok, mag sein dass ich das Prinzip hinter dieser doppelten Anmeldung noch nicht richtig verstanden habe (ich nutze es nicht und werde es auch nie nutzen!) – aber eins bleibt:
    Google bekommt zu jedem Account eine 1a authentifizierte Telefonnummer!
    Wer damit leben kann und auch sonst seine persönlichen Daten ins Netz bläst, der soll dieses Feature ruhig nutzen…

  22. @marek Ich hab‘ gelesen, dass es Leute gibt, die mit ihrem Handy und ihrem Browser mehr anstellen, als SMS zu schreiben und Caschys blog zu lesen. Schon mal auf die Idee gekommen, dass das eventuell etwas länger dauern könnte, als ein paar Minuten und sämtliche Automatismen unterbrochen werden?
    Ich würde es begrüßen, wenn du wieder von deinem Aussichtsturm runter kommst und … egal, lassen wir das.

  23. Peterchen says:

    Letztendlich will google eure Handynummer haben. Das ist alles.

  24. Ok, habe mich im Ton vergriffen. Sorry hierfür an alle, war nicht so gemeint! hätte es freundlicher u. anders schreiben sollen, da habt ihr recht.
    Aber ihr schreibt auch einfach darüber, ohne es vorher ausprobiert zu haben und sowas mag ich nicht. Wenn ihr vorher probieren würdet, wisst ihr, wie wenig Aufwand es macht und was es für einen großes + an Sicherheit bietet. Alles andere ist Pauschalverurteilung.
    Aber es ist wirklich nicht kompliziert.
    Und zum Thema Handynr.: nachdem recht viele bereits ein Androiden habe, haben sie die Nr. eh schon.
    Und wenn schon? Die wird ja nur für dafür genutzt, um meinen Account zu schützen, dafür gebe ich die gerne her. Was für ein Interesse hat google sonst an meiner Handynr…

  25. @Marek:“Was für ein Interesse hat google sonst an meiner Handynr…“

    wie wärs z.B. mit:

    *** Google plant die Super-Datenbank ***
    http://www.sueddeutsche.de/digital/gespeichterte-nutzerdaten-google-plant-die-super-datenbank-1.1119600

  26. @AndroidFan
    ist Dir die Abkürzung „z.B.“ bekannt? Ich hätte auch wahllos andere Artikel zu diesem Thema rausgreifen können. Google ist eine Datenkrake (http://de.wikipedia.org/wiki/Datenkrake) und handelt auch so. Sie leben von der Werbung und nutzen hierzu sämmtliche Informationen, die ihnen zugänglich sind.
    Wer es nicht glaubt, dem empfehle ich das Buch „Die Datenfresser“ (http://datenfresser.info/) von Constanze Kurz und Frank Rieger.

    Dieses Buch ist auch für Fanbois geeignet, die ihre Begeisterung für eine Sache bereits im Nicknamen tragen 😉

  27. @LivingOn

    Niemand zwingt dich das zu nutzen, oder mach’s mit prepay Handy o.ä.
    Jeder der in seinem Googlekonto Daten wie z.B. Analytics, Merchant Center, Drive benutzt sollte sich gut überlegen die doppelte Authentifizierung zu nutzen. Egal wie sicher dein Passwort ist, niemand kann 100% garantieren das du nie einen Keylogger o.ä. auf dem System hast.

    Ich benutze es, es nervt manchmal und ist komplizierter, dennoch das ist es Wert. Deine Telefonnummer hat google vermutlich eh schon, z.B. wenn einer dich im Gmailkontakt hat. Ich Stufe die Gefahr eines böswilligen Hackers höher ein, als die Gefahr das Google meine Nummer weiß. Die Google vielleicht auch einfach beim crawlen des Telefonbuchs findet.