Google: Konto und Profil absichern
Machen wir uns nichts vor: die Ereignisse der letzten Zeit zeigen einfach, dass wir in Sachen Cloud weiterhin nicht zu unvorsichtig agieren dürfen. Es gilt die Daten online zu verschlüsseln, Daten online generell zu minimieren, oder eben auf Sicherheits-Features zu setzen, die das Risiko eines Einbruchs minimieren. Dropbox selber will eine Bestätigung in zwei Schritten anbieten, LastPass und Google haben dies ja bereits eingeführt. Bei diesen Sicherheitsmechanismen ist euer Smartphone ein weiterer Sicherheitsaspekt.
Das Passwort alleine wird nicht mehr abgefragt, ein an euer Smartphone gesendeter Code ist das Maß aller Dinge. Dies verhindert, dass sich irgendwo auf der Welt in euer Konto eingeloggt wird – schließlich würde der mittels Code generierte Code fehlen. Die Codes kommen per SMS oder innerhalb der Authentifikations-App von Google selber. Ich hatte das Thema hier im Blog zwar bereits schon beschrieben, doch als ich heute jemandem bei der Einrichtung half, sah ich, dass Google das Formular ein wenig aufgefrischt hat.
Von daher gibt es hier einmal noch den aktualisierten Beitrag mit der Bitte, diese Features auch zu nutzen. Natürlich macht das anfangs etwas mehr Arbeit, schließlich muss man dies bei allen Google-Diensten, die man so mobil oder per App nutzt, einrichten. Damit ist nicht nur euer Gmail geschützt, sondern das komplette Google-Konto, inklusive Kalender, Docs, Google+ und Co!
Schritt 1: Doppelte Sicherheit aktivieren. Zu finden in den Konto-Einstellungen im Bereich Sicherheit, Bestätigung in zwei Schritten.
Schritt 2: Authentifikation eures Smartphones. Nummer eingeben, Code kann per SMS oder Sprache kommen. Damit verbindet ihr die Nummer, beziehungsweise das Smartphone mit eurem Konto. Den empfangenen Code einfach auf der nächsten erscheinenden Seite eingeben.
Schritt 3: den Computer als vertrauenswürdig einstufen. Heißt: euer Computer würde 30 Tage nicht nach dem Passwort fragen, da er von euch so eingestuft wurde. Dies ist günstig, wenn ihr euer Smartphone verliert oder keinen Zugriff darauf habt. Schließlich benötigt der Computer keinen Code mehr und ihr könnt über diesen das Smartphone sperren und / oder ein neues hinzufügen.
Theoretisch seid ihr nun fast fertig, aber ihr könnt weitere Optimierungen an eurem eigenen Workflow vornehmen. So muss man den Code nicht per SMS bestätigen, denn nun folgt die Einrichtung der App, die für iOS und Android identisch ist. Der Google Authentificator zeigt euch, sofern abgefragt, einen Code an – und eben jenen müsstet ihr an fremden Rechnern zusätzlich zu eurem Passwort eingeben. Dies sieht dann so aus:
Schritt 4: Infos, Anwendungsspezifische Passwörter und mobile Einrichtung. Google informiert euch nun, dass die doppelte Anmeldesicherheit aktiviert ist. Dies bedeutet aber auch, dass euer Mail-Programm keine Mails mehr von Google anfragen kann, sofern verwendet. Dies liegt daran, dass einige Programme nicht mit den Codes umgehen können, beziehungsweise diese nicht abfragen können.
Diese Anwendungsspezifischen Passwörter lassen sich auf dieser Seite eintragen. Nutzt ihr zum Beispiel Thunderbird zum Abfragen eurer Mails, dann benennt den Punkt zum Beispiel auf Thunderbird. Das generierte Passwort ist dann als Passwort zu eurem Mailkonto innerhalb von Thunderbird einzugeben. Muss mit jeder App gemacht werden. Ihr habt zwei Rechner mit Thunderbird? Die generierten Passwörter lassen sich an beiden Rechnern nutzen, logisch.
Die mobilen Anwendungen können auch hier eingerichtet werden. Zu diesem Zweck muss man sie nur installieren und den angezeigten Code einscannen. Durch den Scanvorgang verbindet sich der Authentificator mit eurem Konto uns ist fortan nutzbar. Wie man auf dem ersten Screenshot sehen kann, lassen sich auch Notfall-Codes zum Ausdrucken oder abspeichern generieren.
Wenn ihr diese Schritte durchlaufen habt, genießt euer Konto den doppelten Schutz. Die Einrichtung als solches dauert vielleicht 5 Minuten, etwas aufwendiger ist es, die ganzen Apps, die man so täglich nutzt, anzupassen. Schließlich benötigt nun jeder Google-Dienst, der als App oder Programm daherkommt, ein Anwendungsspezifisches Passwort. Faule Leute können natürlich für jede App das identische Passwort nehmen, aber dadurch wird das ja nicht alles sicherer.
Dennoch – macht euch die Mühe, sicher ist sicher. Minimiert Cloudnutzung auf verschlüsselte Daten oder Anbieter, die doppelte Anmeldesicherheit nutzen. Verwendet sicherere Passwörter, die ihr jeweils nur ein Mal nutzt. Löscht Konten bei Diensten, die ihr nicht mehr benötigt. Überprüft regelmäßig, welche Apps und Dienste Zugriff auf eure Konten haben!
@Olaf
Vielen Dank für die schnelle Antwort. Nachdem es im laufenden Betrieb nicht funktionierte, bin ich auch so vorgegangen. Bis zum Punkt 3 stimme ich absolut zu.
Doch dann kommt 4.:
Die Meldung lautet: Um auf Ihr Konto zugreifen zu können, müssen Sie sich online anmelden. Tippen Sie auf „Weiter“, um die Browser-Anmeldung zu starten.
Und die Browser-Anmeldung akzeptiert nur Codes, kein anwendungsspezifisches Passwort. Kann das denn wahr sein? Mensch – bin ich denn so bescheuert?
Bei Punkt 4 habe ich auf die Warnmeldung mit dem Dreieck geklickt und konnte dort dann das anwendungsspezifische Passwort eingeben. Also nix mit Browser.
(Galaxy Nexus, Android 4.1.1)
Noch ein Tipp:
https://support.google.com/accounts/bin/answer.py?hl=de&answer=185834#ASPerror
Evtl. klappt es ja mit dem Link darin
Es ist wirklich zum verzweifeln. Mir wird auf dem Smartphone nur der Browser angeboten (der wohl von Google als Desktop-Computer erkannt wird). Dort wird mir nur dieser verdammte 30Tage Code angeboten.
Wenn ich das Google-Konto aber direkt mit dem anwendungsspezifischen Passwort hinzufüge, wird es akzeptiert – erscheint aber nicht.
Das alles auf dem S3 Android 4.0.4
Den letzten Tipp auch gesehen?
Vielen Dank für den Link. Habe da gerade noch erfolglos herumexperimentiert.
ich bin noch bei der ARbeit, radle jetzt nach Hause und schaue mir das alles gleich nochmals in Ruhe an.
Mein Problem ist nachwievor, dass mir das S3 für meine Google-Konten keine anwendungsspezifischen Passwörter akzeptiert. Er leitet immer an den Browser weiter und möchte diesen ver+#?#+@ Bestätigungscode.
mir ist das ein zu großer aufriss, benutze einige dienste die darauf zugreifen und da ich ziemlich oft neue roms flashe ist es mir den aufwand nicht wert jedes mal ein passwort generieren zu müssen. würde jedesmal ne sms mit pin kommen wäre es für mich ok. sicherheit hin und her… meine faulheit siegt…(leider?!)
Wasserstandsmeldung: mittlerweile bin ich zu Hause. Wie es scheint, ist es definitiv ein spezifisches Kompatibilitätsproblem mit dem Galaxy S3 i.V.m. mehreren Google-Konten und der doppelten Sicherheit. Hab noch ein Sony Tablet zu Hause; die Freundin ein Galaxy Ace. Mit den genannten Geräten funktioniert es.
Lediglich das S3 akzeptiert die benutzerspezifischen Passwörter nicht; will partout über den Browser gehen und den Bestätigungscode haben. Möglicherweise weil es als Desktop-Computer erkannt wird(?)
Ich werde verrückt: Plötzlich funktioniert’s!!!
Nach dem gefühlten 95. Versuch hab ich unter „Konten und Synchronisation probeweise @gmail und nicht @googlemail.com angegeben – plötzlich wurde es akzeptiert.
Ob es wirklich an diesem Sachverhalt liegt, kann ich zwar nicht ganz glauben, doch es ist verdächtig.
Na prima.. 🙂
*Seit* der Umstellung habe ich Schwierigkeiten vom (Android) Smartphone aus direkt (mittels bordeigene Sharingfunktion) was zum Picasa-Webalbum zu schicken. Mit einem ext. Picasatool geht’s hingegen. Any idea?
Ich finde es schwach von Google, dass die Android Apps nach über zwei Jahren immer noch keine 2FA unterstützen. So ist die 2FA mehr oder weniger Sinnfrei, da ich so immer noch Passwörter erzeugen muss, um die Apps zu verwenden. Ob die wirklich sicherer sind, als ein vor mir erzeugtes Passwort? Bei meinem Passwort bezweifle ich das.
So ist also immer eine Hintertür ohne 2FA vorhanden.