Google Gmail: Das Ende der SMS-Authentifizierung naht
von caschy | 16 Kommentare
Google plant, bei seinem E-Mail-Dienst Gmail die Zwei-Faktor-Authentifizierung per SMS einzustellen. Diese Information stammt aus einem Gespräch zwischen Google-Mitarbeitern und dem Magazin Forbes.
Die Beweggründe für diese Entscheidung sind vielschichtig. Gmail-Sprecher Ross Richendrfer erläutert, dass das Unternehmen, parallel zur Ablösung klassischer Passwörter durch Passkeys, auch die SMS-basierte Authentifizierung beenden möchte. Als Ersatz sollen QR-Codes implementiert werden. Diese Maßnahme zielt darauf ab, den weltweit verbreiteten Missbrauch von SMS-Nachrichten einzudämmen.
Bislang nutzt Google SMS-Verifizierung hauptsächlich für zwei Zwecke: Zum einen zur Sicherheitsüberprüfung, um die Identität wiederkehrender Nutzer zu bestätigen. Zum anderen dient sie der Missbrauchskontrolle, beispielsweise um die massenhafte Erstellung von Gmail-Konten durch Kriminelle zu verhindern, die diese für die Verteilung von Spam und Schadsoftware nutzen.
Die Sicherheitsprobleme der SMS-Authentifizierung sind beträchtlich. Kimberly Samra und Ross Richendrfer von Google weisen auf mehrere Schwachstellen hin: Die Codes können durch Phishing abgefangen werden, Nutzer haben nicht immer Zugriff auf das Empfangsgerät und die Sicherheit hängt von den Praktiken der Mobilfunkanbieter ab. Besonders problematisch ist die Möglichkeit für Betrüger, durch geschickte Täuschung die Kontrolle über fremde Telefonnummern zu erlangen, wodurch der Sicherheitswert der SMS-Authentifizierung vollständig verloren geht.
Ein weiteres Problem stellt das sogenannte Traffic Pumping dar, auch bekannt als Gebührenbetrug. Bei dieser relativ neuen Betrugsmasche versuchen Kriminelle, Online-Dienstleister zur Versendung großer Mengen von SMS an kontrollierte Nummern zu veranlassen. Bei jeder empfangenen Nachricht kassieren die Betrüger eine Gebühr.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Zum Glück habe ich niemals GMail, sondern seriöse Anbieter genutzt, wie Outlook oder Proton.
SMS Verifikation, gerade mit zwei Nummern und zwei Handys ist, gerade für ältere Menschen und weniger technikaffine Personen, deutlich besser als irgendein Authentifikator oder QR-Codes.
Das mag die Technikblase anders sehen, aber ich würde eher auf GMail, als auf SMS verzichten.
Gibt ja glücklicherweise genügend bessere Alternativen zu GMail.
Sanfte Grüße
Ich wüsste jetzt nicht, was das mit Seriösität zu tun hat. Das klingt für mich einfach nach persönlicher Präferenz.
Zwei Handys mit jeweils einer Nummer, hat ja erstmal auch nicht jeder.
„Nutzer haben nicht immer Zugriff auf das Empfangsgerät“ – ist das nicht immer ein Problem bei 2FA / PassKey, wenn ich mich von einem neuen Gerät aus anmelden will?
Das war auch mein erster Impuls. Die Frage ist natürlich, ob man den zweiten Faktor anders gestalten kann.
Passkeys könnte ich zumindest auf mehreren Geräten anlegen. Sicherlich schwächt das ein wenig die Sicherheit, aber erhöht die Nutzbarkeit.
QR codes wären prinzipiell auch von mehr Endgeräten nutzbar. Vielleicht ist hier auch die Idee, dass Nutzer tendenziell mehr vertrauenswürdige Endgeräte haben? Ein Tablet beispielsweise noch?
Ich denke die Tendenz geht in Richtung biometrischer Verfahren als zweitem Faktor. Ich muss halt Handy/App immer mit Fingerabdruck o.ä. entsperren. Damit gebe ich den Passkeys frei, die Push-Anforderung oder eben den QR Code scanner.
Aber das Problem ist doch, dass genau dieses Handy kaputt gehen kann. Und die wenigstens Menschen haben ein zweites Gerät.
Ja, ein typischer Logikfehler. Kein Grund nicht trotzdem damit zu werben.^^
„Die Sicherheitsprobleme der SMS-Authentifizierung sind beträchtlich.“? Vielleicht in manchen Regionen je nach Anbieter, aber um Welten sicherer und zuverlässiger als E-Mails (Gmail).
Alles was Google da aufführt erscheint mir wie Gequatsche, die anderen Lösungen haben ebenso ihre Macken.
Vielleicht wollen sie SMS-Kosten sparen? Dachte immer, dass die froh sind, über Mobiltelefonnummer-authentifizierte Konten zu verfügen?
Superlösung, einen QR-Code zur Verfügung zu stellen, bei dem man nicht sieht, wohin er führt…
Genau das beschreibt, was ich nicht so genau darlegen konnte. Danke.
Ist typisch Google – eine Lösung für ein Problem, das sie selbst verursacht haben, so anzubieten, dass letztlich jeder versucht es zu umgehen. Letztlich fällt auf, dass überall blos „Passkey“ als Wort daher kommt, nie aber eine genaue Erklärung aufgeführt wird, was nun Google darunter versteht und wie deren Implementierung zu benutzen ist! Denn was der QR-Code-Unsinn wieder sein soll und warum das so viel sicherer sein soll, erschließt sich mir nämlich nicht. Ist wieder Humbug mit „Fingerabdruck“ und „sicher“ – ein Witz an sich, denn z.B. bei mir hat das, egal bei welchen Gerät, noch nie funktioniert. Selbes mit dem Gesicht-Entsperren…
SMS Verifizierung ist sicherer ,,als Email(Gmail)?“ Nur Gmail Emails, oder Mails bei Nutzung von Gmail?
Könnten Sie das darlegen? Ich komme da einfach nicht drauf wieso.
Bei Satellite kann ich keine SMS empfangen… kann mich also in ein Google-Konto schon länger nicht einloggen (zum Glück nicht mein Hauptaccount) und auch nicht an einem Android.
Wenn Google das beendet… kann ich mich dann wieder anmelden?
Ich hatte noch nie Probleme wegen Hacks, Viren, Kompromitierung.
Ich hatte massive Probleme, als ich mein Handy kaputt gemacht habe und online ein neues bezahlen wollte.
Ich erwarte von Systemen, dass ich im Problemfall im Urlaub in einen Laden gehen, ein 100-Euro-Not-Handy kaufen und damit meine digitale Identität komplett „booten“ kann, indem ich mein Google-Passwort und mein Bitwarden-Passwort auswendig weiss. Ende. Wenn DAS nicht geht, dann ist „Security“ in Wahrheit eine Bedrohung für MICH.
Es kann nicht sein, dass ich Zettel mit Notfallcodes oder Zweit- und Drittgeräte mit mir führen muss, um an meinen Kram zu kommen. Da hätten wir ja gleich bei Geldscheinen und Postkarten bleiben können.
Eigentlich offensichtlich. Nur, leider nicht für „Fachleute“.
Bei Verlust des Handys im Urlaub (Bpsw. Diebstahl von Hab und Gut) ist genau dass das Problem.
Kopie von Reisedokumenten in der Cloud braucht 2FA. Email account braucht 2FA. SMS geht aber auch nicht mehr, weil Handy weg. Backup 2FA evtl. zwar in der Cloud aber auch, da gibt’s ja keinen Zugriff….
Eigentlich sind wir voll digital, aber in so einer Konstellation gibt’s dann doch keinen Zugriff auf irgendetwas mehr.
Wie löst ihr das? Bräuchte Ideen!
Ich habe den Fall schon mehrmals gehabt. Bei Reparatur von Handys. Also von zu Hause aus. Jeweils drei Mal in Reparatur(xiaomi mi 11, samsung s22 Ultra)
Jedes Mal hatte ich keinen Plan, wie ich das überhaupt regeln könnte, es lagen auch größere Abstände dazwischen.Also Gerät resettet und weggeschickt.Ohne vorher ein anderes Gerät zu aktivieren.
Es war jedes Mal ein Krampf.
Ich hatte aber wenigstens meinen PC noch. Allein die Bedienung und Suche ist dort für mich deutlich einfacher, als auf den Minidisplays eines Handys.
Ich weiß leider nicht wie es funktionierte und es brauchte sehr viele Versuch und Zeit. An einer Stelle war der vorgesehene Weg, den Support anzuschreiben(das sollte 5 Tage dauern). Aber irgendwann und irgendwo, war nach dem x-ten Mal ,,andere Methode wählen“ oder ,,Gerät nicht verfügbar“ tatsächlich ein anderer Weg möglich.
Weder weiß ich noch wo oder wie. Und auch bei der nächsten Reparatur oder sonstwas bin ich wieder planlos.
Der Support hat sich im Übrigen nie gemeldet.
Ohne meinen PC wäre ich wohl komplett ausgeschlossen, denn wie mir grade auffällt habe ich nur ein Passwort im Kopf, das von Enpass. Also nicht mal Googles. Da muss ich mir mal was einfallen lassen.
Dabei soll man auch noch die Passwörter ständig ändern.^^ Vielleicht geht das ja nur mir so, aber ein gutes Passwort zu lernen, ist schon mit den Sonderzeichen, von denen ich schon Mal die Namen gar nicht weiß, gar nicht so einfach. Und Zettel rumschleppen? Wo? Im Portemonnaie? Findet doch jeder Interessierte sofort. Zettel sind anhaltender Stress, müssen immer im Bewusstsein sein, sonst weg(Waschmaschine, rausgefallen, weggeworfen …)
Also, das ist keine Antwort, sondern ein Schrei.
Google könnte auch statt SMS-OneTimePasswort (OTP) die neuen NW APIs, die jetzt weltweit von den Carriern angeboten werden nutzen.
Number Verification kostet nicht mehr als SMS, ist aber sicher! Kein Phishing mehr möglich.
Und außerdem auch komfortabler: kein Abtippen von OTPs, kein Appwechsel, kein keine QR-Codes scannen.
Wir von der Telekom, aber auch die anderen Netzanbieter bieten das seit letztem Jahr an