Google-Konto: 2FA bald Pflicht
In einem Blog-Beitrag informiert Google derzeit darüber, was man alles für die Sicherheit von Konten der Nutzer tut. Da geht’s dann auch um Passwörter und natürlich auch die Zwei-Faktor-Authentisierung – nutzen vermutlich zahlreiche unserer Leser bereits. Die kann auf unterschiedliche Arten erfolgen, so kann der temporäre Zusatz-Code per SMS oder OTP-App kommen, Google selbst hat aber auch einen Faktor in den Google-Apps, dies auch als gesetzten Standard. Allerdings teilt man auch mit, dass die Zwei-Faktor-Authentisierung nicht von allen Nutzern eingesetzt wird. Dies will man ändern. Und wie? Man zwingt die Nutzer zu ihrem Glück. In Zukunft sollen Nutzer zwingend die Zwei-Faktor-Authentisierung nutzen müssen, sofern ihr Konto die Voraussetzungen erfüllt. Sobald die 2FA aktiviert ist, erhalten Nutzer eine Aufforderung auf ihrem Smartphone, um zu überprüfen, ob ein Anmeldeversuch mit ihrem Google-Konto legitim ist. „Die Verwendung des mobilen Geräts zur Anmeldung bietet den Nutzern eine sicherere Authentifizierung als Passwörter allein“, so Mark Risher, Senior Director of Product Management bei Google.
Soon we’ll start automatically enrolling users in 2SV if their accounts are appropriately configured. (You can check the status of your account in our Security Checkup). Using their mobile device to sign in gives people a safer and more secure authentication experience than passwords alone.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Hatte lange Zeit 2FA für mein Google Konto aktiviert. Dann musste ich mein Smartphone resetten und hatte große Probleme, mich wieder beim Smartphone einrichten anzumelden, da ich auf keinen anderen Rechner eingeloggt war und die SMS zur Anmeldung nicht mehr empfangen werden konnte. Seither bin ich etwas skeptisch. Was, wenn man das Smartphone verliert etc?
Du kannst 2FA auch ohne SMS machen, z.B. mit einer Authenticator App. Die Tokens dafür kannst du auch in deinem PasswortManager hinterlegen (z.B. SafeInCloud, Enpass…), dann generiert dir der die Anmeldecodes.
Außerdem erhältst du beim Aktiviern von 2FA üblicherweise immer einen oder mehrere „RecoveryCodes“ die du verwenden kannst wenn du z.B. dein Handy verlierst.
Ansonsten gilt die alte c‘t-Weisheit: Kein Backup, kein Mitleid. 😉
…aber das ist nicht was hier gemeint ist, oder? Liest sich für mich wie Telefonnummern und/oder Gerätezwang.
Mal abwarten, wie sie das umsetzen.
Es gibt auch Authenticator Apps für Desktop (z.B. Password Manager). Also kein bestimmter Gerätezwang, bzw. ganz ohne Gerät wirst du kein Google-Account brauchen ^^ und auch kein Telefonnummernzwang. Du kannst den 2. Faktor auf einem Gerät deiner Wahl nutzen auch auf dem Gerät mit dem du den Account nutzt.
Außerdem Gibt es die Recovery-Codes falls du mal keinen Zugriff mehr auf das Gerät mit dem Authenticator hast. Also eigentlich alles easy. Klar mehr Sicherheit bedeutet immer irgendwie auch etwas mehr Aufwand betreiben.
Alter! Ich will einfach, wenn ich draussen rumlaufe und mein Handy verloren habe, irgendwo im Einkaufszentrum in Google einloggen und das Ding bimmeln lassen. Ende. Ich will da garnix einrichten, ich brauche das nicht, das nervt wie Hölle und geht mir komplett auf den Sender. Habe den Mist schon mit meinem Arbeitsaccount, weil die IT es mir da aufzwingt. Die Scheiss Nerds sollen echt zur Hölle fahren mit ihrer Paranoia! Letzten ging mir das Handy kaputt, habe ein neues bestellt, und dann kommt im Payment ein Sicherheitscode PER SMS! Ja, Danke, ihr Schnaken. Warum brauche ich wohl ein neues Handy?
Ich habe in der Hosentasche ein Portemonnaie mit Kreditkarte drin. Ich habe 100 Euro bar dabei, die ich auf Androhung von Schläge sofort rausrücken würde. Ich habe ein Schloss am Auto, das knackt jedes Ghettokind mit ’ner Häkelnadel. Wenn es um Sicherheit geht, fallen mir 30 Sachen in meinem Leben ein, die deutlich wichtiger sind als ein Google-Konto und die man nach einem beherzten Dagegen-Werfen einfach so aus Wohnung und Keller wegschleppen könnte. Zack, 3500-Euro-MacbookPro weg. Was zur Hölle sollte mich dazu bringen, aus meinem Handy ein Fort Knox zu machen?
Sicherheits-Spacken sind inzwischen nerviger als die Angreifer.
Echt.
Die ganzen Apps wollen nun eine Bestätigung in der App, bevor man sich in der App einloggt.
Bei meinem alten Handy ist das Displayglas zerbrochen, daher habe ich mir ein neues gekauft.
Und wenn ich mich in Gmail, in der Bank-App, PayPal etc. einloggen will, muss ich auf dem alten Handy erst bestätigen, dass ich das bin.
Weiß nicht, was ich machen würde, wenn das alte Handy nach dem Sturz ganz kaputt wäre.
Hast du dafür Quellen? Also ich weiß von OTP, Recovery Codes, etc., aber darum geht es hier nicht, oder? Der Blog Post spricht im spezifischen von ihrer hauseigenen, properitären Lösung:
> Today we ask people who have enrolled in two-step verification (2SV) to confirm it’s really them with a simple tap via a Google prompt on their phone whenever they sign in. Soon we’ll start automatically enrolling users in 2SV if their accounts are appropriately configured. … Using their mobile device to sign in gives people a safer and more secure authentication experience than passwords alone.
Das steht so in der Quelle.
„Also eigentlich alles easy.“ – wers glaubt! So ganz easy ist das nicht immer – nur dann, wenn man die Produkte von Google nutzt – aber sobald du Fremdprodukte benutzen willst (oder nicht anders kannst), wirds sehr oft „unlustig“. Mein Ausweg war bisher immer ein eigenes Konto ohne 2FA.
Dafür kann man sich vorher (!) Backup Codes generieren, die man an einem geschützten Ort aufbewahrt. Bei Google kann man sich noch weitere Fallbacks einrichten, aber falls man dann wirklich keinen Zugriff mehr hat, erfüllt die 2FA ja seinen Zweck. Habe mittlerweile für alle wichtigen Konten die 2FA eingerichtet und benutze den Microsoft Authenticator.
Du kannst noch die Backup Codes nutzen, oder weitere elefonnummern, wie z.B. Festnetznummern hinterlegen.
Beim Einrichten von 2FA weist Google eigentlich auf einmal verwendbare Backup-Codes hin.
Diese soll man sich ausdrucken und gut verwahren, da sie genau für dieses Szenario gedacht sind.
https://support.google.com/accounts/answer/1187538?co=GENIE.Platform%3DAndroid&hl=de
Einmalcodes ausdrucken oder irgendwo speichern.
Ausdrucken, das 21. Jahrhundert lässt grüßen.
Du kannst sie dir auch auf die Stirn tätowieren, Hauptsache du weißt wo sie sind.
Backup Codes sind gut. Ungünstigerweise war ich über’s Wochenende weg, als es passierte und da nutzen die daheim aufbewahrten Codes nicht viel und den ganzen Tag die backup Codes herumschleppen, falls man she alle paar Jahre mal braucht ist auch doof…
Naja. Immerhin konnte ich mich überzeugen, dass es sicher ist.
Ist eben alles ungünstig zusammengelaufen
Nun, einen Zettel mit ein paar Zahlen in Brieftasche, Handschuhfach oder sonstwo aufzubewahren sollte keine allzugroße Belastung darstellen, oder?
Naja man Muss seine daten schon aktuell halten. Wenn Kunden halt die Telefonnummern für das Zurücksetzten nicht ändern wenn sie eine neue bekommen. Selber schuld. Erst vor Kurzen eine Apple Kundin gehabt mit FindMyPhone an. No way. Und das Gerät hat sie mal geschenkt bekommen und keine Rechnung. Das Iphone kann man jetzt eigentlich entsorgen wegen dem Diebstahl Schutz. Ich weiß echt nicht wie oft ich auf die Antwort wie ist die Apple ID oder wie ist das Gmail Konto kommt weiß nicht ist Jahre her das ich das erstellt habe. 2Fa sollte bei allem wo Geld Fließen kann Standard werden
Nein.
Es sollte jedem überlassen werden, ob er diesen Schutz will, oder ob er es lieber bequem hat und dafür unsicher. Das gilt für jedes Fahrradschloss, jede Wohnungstür, jedes Auto, und ich will in meinem Google-Konto keinen Stress mit Backup Codes und kaputten Handys und woanders liegenden Geräten und so einen Mist. Ich habe ein ordentliches Passwort, ich habe kein Interesse an noch mehr Sicherheits auf Kosten von Bequemlichkeit.
Im Google-Watchblog stand glücklicherweise, dass 2FA nur DEFAULT werden soll, aber wieder deaktiviert werden kann. Wird das erste sein, was ich tue.
Ich frag mich immer, was ihr für Schlösser an der Kellertür habt. Also, meines ist aus dem 1-€-Laden.
Nicht jeder ist bei IT-Technologien immer auf dem Letztstand unterwegs und nicht in der Lage immer und überall aktuell! Es soll auch Leute geben, die was anderes zu tun haben – was sich einige bei den betreffenden Firmen (und scheinbar auch hier) absolut gar nicht vorstellen können. Smartphone nur zum Telefonieren und eher selten mal kurz Mails ansehen? Für viele scheinbar unvorstellbar! „Passwort Manager? He, was ist das?“ Auch unvorstellbar für viele – ist aber Realität.
Daran sieht man leider auch, dass viele Menschen digitale Sicherheit immer noch für ein Bagatellthema halten. So gut wie niemand kommt auf die Idee sich ein Auto zu kaufen und damit auf öffentlichen Straßen herumzufahren ohne vorher einen Führerschein zu machen – und dass obwohl der Autoverkäufer sicher nicht danach fragt, ob man einen Führerschein hat. Es ist Allgemeinwissen. Das muss es auch für gewisse Themen im Umgang mit digitalen Identitäten, bzw. insgesamt im Internet werden. Und wenn man nicht in der Lage oder gewillt ist etwas mehr Selbstverantwortung zu tragen und die bei jedem größeren Internetdienst seit Jahren aufpoppenden Aufforderungen 2FA einzusetzen immer wieder wegklickt, dann muss man halt auch mal durch Erfahrung lernen. 2FA ist kein brandneues Thema.
Was soll daran sicher sein, es dem Kunden zu erschweren, sich in seinen eigenen Account einzuloggen? 2FA ist das Letzte und sollte rein freiwillig sein.
Das ist wie mit Passwörtern: Früher hatte man „karlh1“, das war vom technischen Standpunkt her eher nicht so dolle, rein praktisch aber eigentlich nie ein Problem.
Dann kamen die Paranoiker, wollten Prozentzeichen, Unterstriche und monatliche Wechsel. Natürlich durfte man auch ein altes Passwort nie wieder recyclen, oder, Gott bewahre, für den Mailserver das gleiche verwenden wie für den Login am Rechner.
… und seitdem haben wir alle sichere Passwörter. Nur — damit wir selber noch reinkommen, stehen die alle in einem Notizblock auf dem Schreibtisch, und auf dem Rechner gibt es sicherheitshalber noch eine Datei „pw.txt“ auf dem Desktop. Oder kennt ihr wen, der’s anders macht? Ich nicht.
ECHTE Sicherheitsprofis raten von dem Blödsinn ja schon immer ab. Aber die Firewallinstallierenden BWLer lesen ja Magazine.
> Daran sieht man leider auch, dass viele Menschen digitale
> Sicherheit immer noch für ein Bagatellthema halten.
Butter bei die Fische. Ich bin ehemalige SysAdmin, entwickle seit Mitte der 80er Jahre Software, seit Mitte der 90er Webapplikationen. Ich bin inzwischen zwar beruflich seit 2 Jahren aus der „Praxis“ raus, aber gehöre mit meinem technischen Know-How sicherlich zu den oberen 3% der Menschen.
Als die IT in meiner Firma vor 1,5 Jahren 2FA erzwungen hat, habe ich ETLICHE STUNDEN gebraucht, um Apple Mail und iCal wieder zum laufen zu bringen — mit alternativen Adressen für SMTP und IMAP, zu generierenden (dann doch wieder!) Passwörtern. Das musste ich mir auch alles ergoogeln, das stand alles irgendwo im Web verstreut.
Ich habe einen Hardwareschlüssel bekommen, der nur in Google(!) Chrome funktioniert, MacOS öffnet aber aus dem Mailprogramm heraus nur Apple(!) Safari zur Authentifizierung per Web, das wiederum keine Hardwaredongles von Google erkannte (Ja, Chrome ISTZ der Standardbrowser). So ganz nebenbei hat man dann mit so Mist zu kämpfen wie, dass man wegen der vielen Authentifizierungsprobleme erstmal Captchas lösen muss, zeitlich gesperrt wird, seine private Handynummer involvieren und und und.
Wenn der ganze Mist sauber implementiert wäre, würde es ja noch gehen. Aber die Firmen machen es nicht „wegen Sicherheit“. Sie machen es, um Kunden in ihrem Ökosystem zu binden, und um Accounts zu generieren, die dann persönliche Daten enthalten. Sie wollen gar keine Interoperabilität, sie wollen, dass das Scheisse läuft, weil die Nutzer dann sagen „Apple hat das verbockt“ oder „Google kriegt es nicht hin“.
Die Ideallösung ist eigentlich klar: Man bietet das an, und man lässt dem Nutzer die Wahl. Gerne mit einer Messagebox ohne einen Defaultwert. Aber das wollen die ja gar nicht.
Es wird alles komplizierter und umständlicher.
Wie soll das dann funktionieren wenn man einen Google-Account, um bestimmte Dienste zu nutzen, zu zweit nutzt, wenn dies dann nur einem Endgerät aufschlägt, und nicht bei dem zweiten Nutzer?
Die Anmeldung funktioniert auf mehreren Geräten, läuft über Gmail oder die Google App, alternativ gibt’s Backupcodes. Habe aber auch schon zig Mal das Problem gehabt, dass der Code nicht überall ankam. Manchmal sehr murksig, dass Google den eigenen Prompt aufzwingt.
Backup-Codes hat aber auch nur einer – oder jeder trägt eine Kopie damit herum! Super sicher…
PS: das mit den Code nicht ankommen ist scheinbar nicht so unüblich – bei mir funktioniert das nur jedes 3 Mal korrekt (die restliche Zeit darf ich „raten“ aka Backup-Codes nutzen – und rund 3-6x pro Monat neue anfordern)
Bei mir funktioniert das ganz gut mit einem Account auf mehreren Geräten, Google fragt beim Login „Haben sie ihr Pixel 4 griffbereit?“ aber auch auf dem alten Pixel 2 kommt der Login-Promt.
Wenn du Google-Dienste zu zweit benutzt, machst du übrigens wahrscheinlich was falsch. Man kann in Prakisch allen Diensten fast alles für andere Accounts freigeben, man kann Familien-Gruppen einrichten…
Die nächste Seuche nach dem Cookie Klick Banner
Das nervt einfach nur. Die sollen mich mit ihren Zwängen in Ruhe lassen. Mir reicht das Passwort.
Das einzige, was denen am Herzen liegt, ist, meine Telefonnummer zu erfahren.
Ich habe es bislang nie aktiviert weil ich oft mein Handy verlege. Ich melde mich dann am Zweitgerät in Googles device manager an und lasse es klingeln bzw Orten. DAS GEHT DANN NICHT MEHR wenn ich zum Login einen Code oder SMS vom zu ortenden Gerät beim Login brauche! Einfach Mal mitdenken beim kacken !
Dann musst du halt deinen Browser zu hause als vertrauenswürdiges Gerät einrichten, dann Fragt Google beim Login auch nicht nach dem 2. Faktor. Es geht doch darum, dass neue Anmeldungen von unbekannten Geräten mit dem Account erschwert werden. Du brauchst den 2. Faktor also wenn du dich zum ersten Mal mit einem neuen Gerät einloggst.
Vielleicht vor dem Kacken erstmal informieren wie das Klo richtig funktioniert (um es mit deinen Worten zu sagen).
Gaz lieb – nur nutzt dir die Einrichtung nicht immer was! Denn die „Vertrauenswürdigkeit“ ist zeitlich begrenzt!
Oder um es mit euren Kacken-Vergleich zu sagen – manchmal ist das WC verstopft!
Aber dafür gibts ja die 10 Sicherheits-Codes mit denen man sich einloggen kann im Notfall.
Um nochmal bei den WCs zu bleiben: Wenn das WC verstopft ist brauchst du halt den manuellen Pömpel bevor du wieder die automatische Spülung benutzen kannst ^^
„Aber dafür gibts ja die 10 Sicherheits-Codes mit denen man sich einloggen kann im Notfall.“
Falls du es immer noch nicht verstanden hast: Die CODES SIND DAS PROBLEM.
Ich nutze 2fa wo es nur geht – wenn möglich per Authenticator. Aber es fügt Komplexität hinzu. Es wird die mir bekannten Senioren hart treffen.
Ich begrüße MFA, sofern sie richtig konfiguriert wird. Leider muß man 60% aller Nutzer zu mehr Sicherheit „zwingen“, eben diejenigen, die überall 123456 einsetzen. (Salopp formuliert)
Nervend wird MFA z. B. beim Öffi-Ticketkauf. Im Gehen sein Kennwort eingeben ist u. U. nicht einfach (FaceID wurde irgendwie ausgehebelt), wenn dann Paypal auch noch ein Kennwort anfordert und eine SMS sendet wird man schon mal wütend. 2x Kennwort plus MFA für f*ckin 2,80 €.
(Aber Verkehrsbetriebe und Zahlungsmethoden sind eh ein eigenes Thema…)
Es geht um einen popeligen Google Account, würde die halbe Welt nicht ihr Leben im Handy speichern, wäre das überhaupt kein Thema. Und ob andere ein zu einfaches Passwort nutzen, ob sie BackupCodes auf der Stirn als Tatoo oder angetackerten Zettel tragen. Ist mir ehrlich egal!
Ich will wenn dann immer die Wahl ob ich sowas muß. Da es zu Android und dem damit verbundenen Google Universum nur Apple als Alternative gibt. muß man leider oft genug mit dem Verein mitziehen, aber hier geht Google echt einen Schritt zu weit. die beiden genannten Läden nehmen sich eh etwas zu wichtig.