Bestätigung in zwei Schritten von Google, neue App mit Fehlern

Ich schrieb ja schon häufig von der „Bestätigung in zwei Schritten„, die Google anbietet. Damit sichert man sein Konto nicht nur durch ein Passwort, sondern muss zusätzlich einen vom Smartphone generierten Code eingeben. Google hat heute ein Update dieser App herausgegeben, die zumindest lokal am Smartphone alles vereinfachen soll, dieses aber nicht macht.

Statt der nervigen Anwendungsspezifischen Passwörter soll nun die App das Smartphone-Konto erkennen und zumindest auf dem Androiden alles managen. Ich muss euch momentan vor diesem Schritt warnen. Ich habe alle Schritte, die erforderlich sind, vier Mal getestet und bin das Ganze noch mit Pascal vom Google Watchblog durchgegangen – der diesen Fehler auch bestätigen kann. Die neue App hält momentan nicht, was sie verspricht.

Also: als neuer Benutzer richtet man online die doppelte Anmeldesicherheit ein, wie ich es hier beschrieben habe. Im Anschluss lädt man sich halt den Authenticator auf das Smartphone, der dafür sorgt, dass immer frische Codes ausgeworfen werden, wenn man sich an fremden Rechnern irgendwo einloggt. Nach der Installation erkennt der Authenticator auch das lokale Konto – erkennt aber nicht, dass es bereits die Bestätigung in zwei Schritten hinter sich hat.

Die App sagt sinngemäß: Logge dich doch noch einmal eben im Smartphone-Browser ein. Und nun ratet mal. Richtig – geht natürlich nicht, das Konto ist bereits dicht und die App kann keinen Code rauswerfen. Ich bin ja ein Fuchs und habe zum Ersatzcode gegriffen, den ich am Rechner habe. Dieser wird auch gefressen – dennoch wirft die App keine Codes raus, an fremden Rechnern (oder am eigenen, wenn dieser nicht auf er vertrauenswürdigen Liste steht) ist dann kein Einloggen mehr in den Account möglich!

Kurzform: Der neue, beschriebene Weg funktioniert nicht. Wenn ihr momentan aktivieren wollt, dann geht den alten Weg, wie auf dem letzten Screenshot zu sehen. Also doppelte Sicherheit aktiveren, Android wählen und in der Authentifikator-App den QR-Code scannen!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Also ich musste den Text jetzt 2 mal lesen und verstehe immer noch nicht was die App jetzt Neues kann.

    Mein anwendungsspezifisches PW lege ich für mein Smartphone einmal fest und gut ist bis zum Reset. Die integration mit Webdiensten von Google managed Chrome zuverlässig – wenn ich eine Seite besuche auf welcher ich mich mit meinem Google-Konto anmelden muss, dann bekomme ich direkt die Aufforderung von Chrome, ob ich mich an dieser Seite mit meinem Google Konto anmelden möchte.

    Was genau soll die App jetzt konkret anders machen? Für mich stellt sie sich immernoch schlicht als zeitbasierter Token-Generator dar.

  2. Sie nimmt die Auth der Drittanwendungen ab.

  3. Hm, also auf meinem autorisierten Android Device konnte ich auch schon zuvor ohne Anwendungsspezifisches Passwort oder dergleichen bestimmten Apps Zugriff gewähren wenn sie es richtig implementiert hatten. Eine App ist beispielsweise „Reader HD“ welche den Account Manager von Android nutzt und dadurch Zugriff bekam. Ich glaube neu ist nur dass die Einrichtung der App selbst nun „einfacher“ sein soll, da kein QR Code mehr gescanned werden muss. Eigentlich … denn offenbar scheint das ja noch nicht zu funktionieren 🙂

  4. Dem kann ich nur zustimmen. Aber negativ zum QR-Code Zwang: man konnte die App schon immer ohne QR-Code einrichten.

  5. Zwei Dinge fallen mir da ein, wo ich jetzt nicht wüsste, ob das mit dem vereinfachten Verfahren geht.

    1. Ich habe den Startcode für den Google Authenticator gern selbst vor Augen, damit ich ihn in mehreren Devices eintragen kann. Das geht nämlich problemlos, damit habe ich mehrere Geräte die alle den gleichen Code produzieren.

    2. Das anwendungsspezifische Kennwort für den Androiden muss man sich als einziges doch abschreiben, denn wenn man die Displaysperre durch 10 Fehleingaben lockt, dann fragt es genau nach diesem. Weder das Google Kennwort noch ein anderes anwendungsspezifisches Kennwort werden akzeptiert (Experiment gemacht kurz nach Einführung des Verfahrens).

  6. sollte der authenticator mal streiken: in den einstellungen der zwei-schritte-bestätigung von google kann man als zusätzliche authentifizierungsoption seine mobilfunknummer eintragen. ist man dann beim normalen anmeldeprozess im punkt „code eingeben“ angelangt und zickt der authenticator mal rum, einfach auf „sie haben ihr telefon nicht zur hand“ klicken. dort kann man sich dann eine sms aufs mobiltelefon schicken lassen. erspart ärger, finde ich…

  7. Also ich habe die App heute morgen aktualisiert.
    Bei mir spuckt er statt der von dir erwähnten Meldung, wie gewohnt einen Code aus. Also ich würde sagen, bei klappt das Ganze

    Oder zeigt sich das Problem irgendwie anders?

    (Phone: Xperia Neo V, mit Android 4.0.4)

  8. Gerhard Reiter says:

    Hally Caschy.
    Gibt es dazu ein update? Funkt das nun wieder?

  9. es funktioniert einwandfrei, wenn man ein anwendungsspezifisches Passwort (anstelles eines Codes) eingibt. Damit kann man die Authenticator auch auf einem Ersatzhandy autorisieren und er spuckt valide

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.