Auch für deutsche Accounts: doppelte Anmeldesicherheit für Google
von caschy | 33 Kommentare
Aloha! im Februar diesen Jahres hatte ich bereits etwas über die doppelte Anmeldesicherheit von Google geschrieben: „Heißt: neben eurem Passwort (na, wer nutzt den Namen seiner Freundin oder des Haustieres? ) könnt ihr es in euren Account-Einstellungen einen weiteren Verifikations-Code vergeben. Quasi wie ein Pin, sofern ihr Online-Banking betreibt. Dieser Code wird dabei an euer Handy gesandt. Im Browser könnt ihr diesen Code dann für 30 Tage speichern lassen. Ein möglicher Angreifer muss also neben eurem Passwort den Pin haben.“ Für eure Anwendungen könnt ihr dann Einzelcodes generieren, zum Beispiel für Thunderbird & Co.
Im deutschen Google Blog hat man nun noch einmal einen Erklärbären gemacht um auf das Feature hinzuweisen, also ist davon auszugehen, dass ihr mittlerweile alle in euren Google-Einstellungen den Punkt Verwendung der Bestätigung in zwei Schritten haben dürftet.
Jules von Google sagt: „Bitte nehmt euch heute zehn Minuten Zeit, um Schritte zur Verbesserung eurer Online-Sicherheit zu unternehmen. Dann könnt ihr alles nutzen, was das Internet zu bieten hat, und eure Daten bleiben geschützt“ – und damit hat er Recht.
Und keine Angst: am Ende bekommt ihr noch eine Bestätigung:
Sehr geehrter Google-Konten-Nutzer,
herzlichen Glückwunsch zur Anmeldung für die Bestätigung in zwei Schritten! Ihr Konto ist jetzt besser vor Angreifern geschützt.
Bei jeder Anmeldung über einen nicht bestätigten Computer müssen Sie Ihre Identität mit einem Passwort und einem Bestätigungscode bestätigen, den Sie per Mobilanwendung, SMS oder Telefonanruf erhalten.
WICHTIG: Vorgehensweise, falls einige Anwendungen nicht mehr funktionieren
Einige Anwendungen, die auf Google-Daten zugreifen, akzeptieren keine Bestätigungscodes, sondern nur Nutzernamen und Kennwörter. Beispiele:
– Smartphones (z. B. Android, iPhone)
– Mail-Clients, die IMAP/POP verwenden (z. B. Outlook Express oder Thunderbird)
– Chat-Clients (z. B. Google Talk)
– Picasa-Desktopanwendung
Nach Ihrer Anmeldung für die Bestätigung in zwei Schritten funktionieren diese Anwendungen vorübergehend nicht mehr. Sie können dies beheben, indem Sie in das Feld „Passwort“ statt Ihres regulären Passworts ein anwendungsspezifisches Passwort oder Ihren Bestätigungscode eingeben.
Besuchen Sie zur Erstellung anwendungsspezifischer Passwörter folgende Seite:
https://www.google.com/account
WICHTIG: Bewahren Sie die Zugriffsinformationen für Ihr Konto sorgfältig auf.
Für den Zugriff auf Ihr Konto sind jetzt ein Passwort und ein Bestätigungscode erforderlich. Falls Sie das Telefon verlieren, das Sie konfiguriert haben, können Sie eventuell nicht mehr auf Ihr Konto zugreifen.
Bitte bewahren Sie Ihre Ersatzcodes, also die Codes, die Sie bei der Anmeldung zur Bestätigung in zwei Schritten ausgedruckt haben, an einem sicheren Ort auf. Sie können diese anstelle Ihres Bestätigungscodes verwenden. Falls Ihr Telefon oder die Mobilanwendung einmal nicht verfügbar sein sollte, können Sie nur mithilfe dieser Codes auf Ihr Konto zugreifen.
Benötigen Sie Hilfe?
Sollten Sie Fragen zu der Bestätigung in zwei Schritten haben oder Informationen über weitere Maßnahmen zur Sicherung Ihres Kontos wünschen, finden Sie entsprechende Informationen in der Google-Konten-Hilfe unter
http://www.google.com/support/
Wird geladen ...
Aber ob Datensicherheit und Google zusammenpasst ist noch eine andere Frage.
Sicher sind die Daten vor 3. sicher, aber in der Zwischenzeit sammelt Google immer schön weiter
@dnano91: ich verstehe dich nicht, entweder man entscheidet sich google zu nutzen oder man lässt es bleiben! dieses feature bringt dir mehr sicherheit, wenn du z.b. ein googlemail konto als primäre emailadresse nutzt! sofern man dies tut, hat oder sollte man sich bereits gedanken darüber gemacht haben, dass man für diesen kostenlosen service eine gewisse gegenleistung in form von werberelevanten informationen teilt. sprich, wenn es dir nicht gefällt, dann lass es einfach 😉
für alle anderen ist das eine mehr als sinnvolle sicherheitsergänzung …
Für mich klingt das irgendwie kompliziert. Zum einen steht da, dass es nach der Anmeldung zu den 2 Schritten vorerst nicht mehr möglich sein wird, mit dem Smartphone darauf zu zugreifen und dann steht da, dass es mit bestimmten Codes geht. Klingt erst einmal verwirrend.
anwendungsspezifisches Passwort = Ist an eine Anwendung gebunden, folglich braucht man für jede Anwendung einen neuen Code?
Bestätigungscode = Ist das, was auf das Handy kommt?
Was ist, wenn sich meine Telefonnummer ändert? Werden die Codes auch ins Ausland verschickt? Sonstige Hürden?
@AndroidFan
die anwendungsspezifischen Passwörter sind erfahrungsgemäß nicht anwendungsspezifisch. Du kannst ein solches Passwort erstellen, und es in mehreren Anwendungen benutzen. Es geht nur darum, das bei diesen Passwörtern kein Bestätigungscode verlangt wird.
Den Bestätigungscode bekommst du per sms oder Telefonansage (du musst auch min. zwei Nummern angeben, falls du z.B. dein Handy gerade nicht zur Hand hast oder es verloren geht). Alternativ gibts für Android auch eine App, welches entsprechende Codes automatisch generiert (ohne sms oder i-net).
Der Bestätigungscode lässt sich in Webbrowsern über Cookies bis zu 30 Tage speichern, so dass du nicht bei jedem Login einen neuen Anfordern musst (macht natürlich nur an deinem privat PC Sinn)
Frage an Caschy und sonstige Galaxy S 2 Besitzer: Ich hatte vor meinem Galaxy die doppelte Anmeldung aktiviert. Mit der Google App auf dem Galaxy funktioniert das bei mir nicht, der Code ist zeitabhängig und der auf dem Handy angegebene Code wird nie akzeptiert. Hat das einer im Betrieb und kann mir sagen wie seine Einstellungen sind? Mit der automatischen Zeiteinstellung bin ich bei GMT+2 wegen der Sommerzeit. Ein manueller Wechsel auf GMT+1 hat leider auch nicht zu einer funktionierenden Lösung geführt. Bin um jeden Tipp und Denkanstoss dankbar. 🙂
Hab jetzt auch umgestellt – hört sich vor dem Aspekt der Sicherheit ja erstmal sehr gut an und dank Android-App kann man die Codes wenigstens selbst generieren. Ob man das in der Praxis nicht viel zu umständlich wird, bleibt abzuwarten…
verstehe ich das richtig.? ich muss diesen Code dann alle 30 Tage eingeben? Auch auf dem Handy ?
Nur für den Webzugriff am Rechner, nicht die Token. Ich schreib gleich mal was.
Was soll das? Es ist einfach unglaublich kompliziert und erinnert mich fatal an das allseits beliebte PIN/TAN verfahren beim online banking. Wie wär es denn mit https und ausreichend langen Passwörtern die bestimmte Kriterien erfüllen. Das ganze schützt schließlich nur vor Ausspähungen und brute-force-Attacken. Aber überall mein Handy mitnehmen oder die doppelten Passwörter dann doch wieder speichern (wo eigentlich und ist das „sicher“) oder sichere Apps installieren die dann das zweite Passwort erzeugen (wie eigentlich? lokal? rufen die das ab? wie sicher ist ggf. der lokale Algorhytmus?) Ist mir zu viel, und zu fraglich was das ganze wirklich bringt.
Diese 30-tage-Speicherung passiert sicher per Cookie. Diese lösche ich bei jedem Browserende. Also müsste ich mich bei jedem Start erst per Handy anmelden? Da ist die Facebook-Version mit der Infomail einfacher, wenn auch nicht so sicher.
Auch wenn ich hier mal wieder „negative Wellen“ ausbreite, so muss man sich doch ernsthaft fragen, ob diese doppelte Absicherung für den Benutzer sinnvoll ist. Wer sich sein Passwort nicht merken kann, wird sich vermutlich auch diese 30 Tage lang gültige PIN nicht merken können. Ein besseres Passwort wäre meiner Meinung nach deutlich sinnvoller, z.B. mit Hilfe eines „Merksatzes“:
„Freitag der 13 ist ein gefährlicher Tag“ ==> Fd13iegT!
Für google macht diese doppelte Absicherung Sinn. Sie bekommen immer die aktuelle Telefonnummer zum verwendeten Account 😉
Ich nutze das schone lange und ich fühl mich seitdem richtig sicher 🙂
unter https://github.com/rdgreen/LCGoogleApps findet ihr eine .Net app, welche, wie die android app, alle 30 sek einen code generiert.
Im Prinzip eine gute Sache, die auch zuverlässig funktioniert.
Bitter wird es allerdings, wenn man bereits etliche Apps mit dem Google-Acc gekoppelt hat.
Deshalb hab ich die Idee gestern auch wieder verworfen ^^
@mdot
Danke, klingt nun einleuchtender.
@Patrick
mdot hat oben beschrieben, das man sich ein Code generieren lassen kann, der für alle Apps passt. Überhaupt, für welche Apps benötigt man denn den Google-Account?
@AndroidFan 1. Weiß ich. Wie gesagt, es geht um die Apps die bereits authentifiziert sind und bei Doppelsicherung min. 1x neu authentifiziert werden müssen.
2. Für welche Apps? Nich‘ dein Ernst xD
Hi!
@livingon: was für nen Käse schreibst du da? Die Pin muss ich mir doch nicht merken. Die ist nur einmal gültig.
@ Patrick: auch Käse. Das ist gar nicht bitter… Dann muss man für die Apps, die auf google zugreifen, halt alle EINMALIG nochmal nutzername und das von google generierte Passwort eingeben. Was ist daran bitter? Ist eine einmalige Sache von minuten…
@ Stefan: Mega Käse. Da ist gar nichts kompliziert. Google führt dich durch die anmeldung. Wenn dir das zu kompliziert ist, hast du nicht viel drauf.
An alle: da ist gar nichts kiomliziert, oder zeitaufwendig. Im Gegenteil, es bringt Sicherheit.
Benutze es schon seit Wochen und fühle mich dadurch einfach sicherer. Mehr Zeitaufwand habe ich dadurch nicht!
Welcher mailingdienst bietet das noch? Keiner… Also, google legt viel mehr wert auf meine Daten als Web, oder gmx
@Marek: Nochmal, wieso brauche ich ein zweites Passwort, wenn das erste sicher ist? Und ja, ich habs noch nich gerafft: bekomm ich bei jedem Anmelden einen neuen token? Wenn ja wäre das kompliziert. Falls nicht macht es wenig sinn. Und noch eine Frage: wie sicher ist der token? Bevor du mich für blöd erklärst – erklär mir das doch.
Und ja, ich hab nichts dagegen wenn das jemand macht und sich damit sicher fühlt. Ich seh nur noch nicht, dass Aufwand und Nutzen in einem sinnvollen verhältnis stehen – für mich!
[Plz del me, habe mich im Ton vergriffen]
@Patrick
Nein, das ist mein Ernst. Welche Apps benötigen eine Google-Authentifizierung? Mir fällt nur das googlemail-App ein, hier wollte das App einen anwendungsspezifischen Code haben. Google-Music lief einwandfrei, ebenso gTalk. Vielleicht liegt es daran, dass Google-Music und gTalk bereits mit authentifiziert wurden, als ich googlemail-App authentifiziert hatte. Ich weiß es nicht. Kläre uns auf.