Google macht das Smartphone ab sofort zum Sicherheitsschlüssel

Dass man ein Konto nicht nur mit Nutzernamen und Passwort absichern kann, ist sicherlich bekannt. Als weiteren Faktor bieten Dienste Zufalls-Codes an (OTP), senden diese per App, SMS oder auf dem Mail-Wege. Google selber bietet auch die Zwei-Faktor-Authentisierung an, hierbei muss man eben auch einen Code angeben, oder man bestätigt auf einem verifizierten Gerät, dass man sich anmelden will. Nun macht Google das Ganze noch einen Ticken besser, bzw. anders. Bekanntlich gibt es auch Sicherheitsschlüssel, die man an einen PC stöpseln muss, um sich am System mit diesem weiteren Faktor anzumelden.

Was macht Google also? Die machen das Smartphone zu einem Sicherheitsschlüssel. Wie das funktioniert? Zuerst einmal muss man überhaupt 2FA aktiviert haben und ein Android-Smartphone mit mindestens Android 7.0 zur Hand sein. Dann geht man über die verlinkte Seite auf  „Alternativen zweiten Schritt einrichten“ und wählt aus, dass man einen Sicherheitsschlüssel hinzufügen will:

Im folgenden Fenster kann man nun eines seiner unterstützten Smartphones auswählen:

Fügt man ein Smartphone hinzu, dann informiert Google über die Voraussetzungen: Zur Anmeldung sind Bluetooth und die Standortdienste erforderlich, damit überprüft werden kann, ob sich eure Geräte nah beieinander befinden. Integrierte Sicherheitsschlüssel funktionieren derzeit nur, wenn Anwender Chrome nutzen.

Meldet man sich zukünftig an, dann ist das nicht viel anders als sonst – ausser, dass eben das Smartphone in der Nähe abgefragt wird. Name und Passwort müssen angegeben werden – und auf dem Smartphone muss man auch „OK, das bin ich“ klicken:

Wichtig zu wissen: Sinn ergibt das Ganze natürlich nur, wenn man alte Methoden, wie das Anklicken in der App, also „Aufforderung von Google“ deaktiviert – denn sonst könnte sich ein Angreifer, der Namen und Passwort kennt sowie irgendwie den 2FA-Code phishen kann, ja dennoch anmelden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

39 Kommentare

  1. Warum GPS Abfrage, wenn die Geräte per Bluetooth verbunden sein müssen? Die Reichweite von Bluetooth ist doch nicht so groß und GPS ist in Gebäuden zu ungenau, um das zu kontrollieren. IMHO geht es eher darum für die personifizierte Werbung die Standortdaten zu erhalten.

    • Christian M says:

      Im Originalartikel wie auch hier steht nichts von GPS.

      Bei Android ist der Zugriff auf Bluetooth an die Standortberechtigung gebunden. Ob das schlau ist, sei mal dahin gestellt, aber die Logik dahinter ist folgende: durch Scannen der verfügbaren BT-Geräte, insbesondere von fest installierten Tokens und Bacons, kann eine Lokalisierung durchgeführt werden. Also kann eine App unter Umständen ein Bewegungsprofil erstellen, obwohl du den Zugriff auf den Standort verweigerst. Also erlaubt Android keinen Zugriff auf Bluetooth ohne Standortberechtigung. Gleiches gilt für WLAN-Scans.

      • Da können sie lang scannen, bei mir ist nämlich nur Bluetooth an wenn ich es benötige und wird anschließend wieder ausgeschaltet. Ich hab noch die Leute verstanden die alles mögliche an ihren Geräten anlassen und sich dann wundern warum Akku verbraucht obwohl sie nichts machen.

        • Christian M says:

          Bei mir hat das idlen von BT und WLAN praktisch keinen Einfluss auf die Akkulaufzeit, ich sehe also keinen Grund, das zu deaktivieren.

          Aber wenn du der App die Berechtigung gibst, dann kann sie die Suche auch ausführen, wenn Du BT und WLAN aus hast. In manchen Android-Versionen kann man das deaktivieren, bei neuern IMHO nicht mehr.

  2. Wolfgang D. says:

    Macht es Google ja noch einfacher, den Nutzer zu überwachen.
    Mir ist das mittlerweile einfach zuviel Gerätepark. Und dann steht man wie heute mit GPay an der Kasse, und das Handy meint „Wir müssen ihre Identität überprüfen“, für 26€ Zahlung. Ja, wie war noch mal das ultrasichere Passwort?

    Es ist schade, dass Paypal sein Konzept mit der Schlüsselkarte nicht weiter verfolgt. Ohne Batterie, kein Handy nötig, ich kann damit den Login unabhängig am PC, Notebook und Handy im Browser verifizieren, auch wenn das Handy gerade im Koma liegt…

    • die Qualen von Android. Die ApppleWatch kennt diese Problemchen nicht.
      Zum Artikel: langsam wird’s unübersichtlich. Ich habe für mich festgestellt, dass die Bestätigung auf einem anderen Gerät unpraktisch ist. Ein OTP ist für mich am praktikabelsten. Leider kann ich das bei Google nicht als Standard ändern.

      • Wolfgang D. says:

        @Dirk „die Qualen“
        Klar, 300-800 € Hardware, um noch besser Geld ausgeben zu können… Als ob in deinem Knast irgendwas besser ist.
        Versuch mal, 2FA bei Apple wieder zu deaktivieren. Ich hatte es mal vor nem halben Jahr eingeschaltet, und jetzt geht es nicht mehr zurück. Die haben echt einen Vogel mit ihrem Sicherheitswahn.
        Zu viel teure Elektronik, zu viel Passwörter und Konten, viel zuviel Gedöns. Bei den Kunden schreibt man alles auf, und in zwei Jahren ist der Zettel weg… Genauso wie der PIN Brief vom neuen Perso. Ich fahr das für mich jetzt mal nach und nach herunter, bis die Diensteanbieter sich auf was Ordentliches einigen.

        • Andreas H. says:

          Hmmm…. KeePass und co. ein Begriff für dich? Es ist kein Vorwurf, dass du und jeder andere Mensch eigentlich kein Überblick mehr über seine Zugänge hat. Auch Stift und Zettel… Murks außer man hat keine andere Lösung oder es handelt sich um wenige Zugänge.

          • Was bringen deinen Angehörigen KeePass, wenn du „spontan“ abliegst? Wird kaum einer Zugriff auf deine Konten haben. Daher .. CodeBuch und Stift. Alles sauber hinterlegen – so für die Liebsten.

            Und ja: Von der anderen Seite definitiv grünere Wiese.

        • aber teuer ist doch schon immer relativ gewesen. Sagt doch keiner, dass sich jeder immer alles leisten muss. wenn ich für mich aber einen Nutzen sehe, der den finanziellen Aufwand rechtfertigt, dann geht die Rechnung für mich auf. natürlich auch immer relativ zu den alternativen. in der Beziehung bin ich freiwillig im Apple-Knast, darf aber als Freigänger rein und raus, wie ich will.

      • TOTP habe ich bei google als Standard aktiviert, geht das bei dir nicht?

  3. Klaus Kleber says:

    ich verstehe nur Bahnhof

  4. ich verstehe nur Bahnhof

  5. Bahnhofversteher + Frauenversteher.

  6. RegularReader says:

    Klingt für mich eher umständlich.
    Ich mag die neue Login-Methode von Microsoft. Dazu benötigt man die MS-Authenticator App auf dem Smartphone. Habe ich letztens bei einer Windows-Neuinstallation zum ersten Mal gesehen.
    Ich gebe die Email-Adresse meines Kontos an, muss kein Passwort eingeben, stattdessen wird mir eine 2-stellige Nummer angezeigt. In der Authenticator-App muss ich diese Zahl aus drei Nummern auswählen, Face-ID, fertig -> eingeloggt.

  7. Ich bin ja mal gespannt wann die großen Dienste in #Neuland mitbekommen dass es so etwas wie 2FA gibt. Weder beim UI-Konzern, noch bei der Telekom oder den führenden Banken gibt es 2FA. Dafür aber bei allen bösen US-Diensten wie Google, Amazon, Microsoft, Facebook usw. Die Frage ist jetzt also böse und sicher oder lieb, doof und unsicher? Hmm

    • schon Mal vom TAN-Verfahren bei den Banken gehört? gibt’s da länger als die 2FA bei Google… ach was, länger als es Google gibt

    • Ich finde das System der ING gut gelöst, bei denen haben auch Keylogger z.B. keine Chance durch die Kombination aus Tastatur- und Mauseingaben

  8. Hää? Zum Einloggen in mein Konto brauche ich nirgendwo eine TAN.

    • Christian M says:

      Hier in der Schweiz ist es etwas anders als bei deutschen Banken. Wir brauchen tatsächlich den zweiten Faktor zum Einloggen. Je nach Bank und Einstellung gibt es da SMS, App, optical TAN oder Chip TAN. Dafür braucht man aber zum Überweisen keine weitere TAN. Ausser das System erkennt Abweichungen vom üblichen Muster, oder bei Auslandsüberweisungen oder zu hohen Beträgen (so ab 5000 bis 10000 Franken).

    • Zum einloggen nicht, aber um deine Transaktionen zu genehmigen brauchst du eine TAN oder deren Alternativen. Deswegen brauchst du beim Login auch keine 2FA.

  9. Nee, das ist mir zu heikel. Nutze den Google Authenticator für sämtliche 2FA. Da kann man nix exportieren und das finde ich schon bedenklich genug. Da ich allerdings immer roote und ein Backup der App jeder Zeit auf einem anderen Android Gerät wieder herstellen könnte, gehts. Natürlich könnte ich auch mal eine andere App verwenden, die Exportfunktionen anbietet (was auch auf der To Do steht).

    Aber direkt das Smartphone selbst? Nee, muss nun wirklich nicht sein. Ist mir zu viel Abhängigkeit von dem Gerät.

  10. Habt ihr es echt geschafft den ganzen Artikel zu schreiben ohne mit einem Wort zu erwähnen auf welches Betriebssystem es sich bezieht (also das, wo die Berechtigung geprüft werden soll, das auf dem Mobil-Gerät Android laufen muss steht ja da)????

    • Christian M says:

      Du meinst zu erwähnen, dass es Chrome OS, macOS X oder Windows 10 voraussetzt?

      Trotzdem ist das ein guter Artikel, schön selber ausprobiert, statt einfach die Pressemitteilung zu kopieren.

    • Google Chrome gibt es für diverse Betriebssysteme. 😉
      Es geht doch um den Login in diverse Accounts. Nicht um eine Anmeldung an einem OS.

      • Christian M says:

        Das Ganze setzt aber einen Chrome auf einem der 3 genannten Betriebssystemen voraus. Linux zB ist (noch?) aussen vor.

        • Da es sich hierbei um eine Funktion einer Software und nicht um eine Software als ganzes handelt, denke ich, ist die Information, auf welchem Betriebssystem diese Software verfügbar ist, eher nebensächlich. Der Beitrag richtet sich daher an die Nutzer dieser Software, nicht an Nutzer eines bestimmten Betriebssystems.
          Ein Nutzer eines bestimmten Betriebssystems wird wissen, ob er auf diesem Chrome installieren kann, oder nicht.

          • Christian M says:

            Du meinst, Google schreibt umsonst „To activate your phone’s built-in security key, all you need is an Android 7.0+ phone and a Bluetooth-enabled Chrome OS, macOS X or Windows 10 computer with a Chrome browser.“? Ich würde mal eher vermuten, dass sie ziemlich hardwarenahen Zugriff auf die BT-Funktionen des Computers brauchen, und dieser erst für die drei genannten Systeme implementiert wurde.

  11. So, als Verständnisfrage: Wenn jetzt das Handy schrott ist, verloren oder was auch immer, ist ein Einloggen nicht mehr möglich, oder? Wie oder was soll mir das dann bringen?

  12. Andreas_Va says:

    Bei der Bestätigung in zwei Schritten gibt es nur ein Problem… Wenn man in weite Ferne verreist ist und das Phone welches als Schlüssel dient durch Verlust oder Defekt unbenutzbar ist, wird es unmöglich sich irgendwo einzuloggen. Man ist gezwungen, erst an seinen regulären Wohnort nach Hause zu reisen um eine Ersatz-SIM-Karte oder ein Ersatzgerät zu besorgen. So bei mir geschehen. EIn mehrmonatiger Auslandsaufenthalt musste ich abbrechen um erst mal wieder nach Deutschland zu reisen, um mir eine Ersatz-SIM zusenden zu lassen. Telefonanbieter weigerte sich, mir die Ersatzsim an meinen AUfenthaltsort im Ausland zu senden. Ebenso weigerte sich meine Hausbank mir übergangsweise wieder iTAN zur Verfügung zu stellen, und die Liste mir an meinen AUfenthaltsort zu senden. Somit war ich gezwungen meinen Aufenthalt abzubrechen und vorzeitig nach Deutschland zurück zu kehren. Daraus habe ich gelernt, NIEMALS wieder die Bestätigung in zwei Schritten zu nutzen und zwecks Banking ein Konto im Ausland zu führen, wo ich Ansprechpartner in der Bankfiliale vor Ort habe.

    Fazit:
    Diese Abhängigkeit von Technik wird immer schlimmer. Besser keine wichtigen Daten mehr in Mail-Postfächer oder sonstigen Online-Diensten speichern, mehr wieder offline erledigen, und dafür auf die Bestätigung in zwei Schritten komplett verzichten. DIe Nutzer werden schleichend immer mehr in eine „technische Abhängigkeit“ getrieben und finden das auch noch toll. Ich lebe inwischen wieder viel minimalsitischer und habe dadurch weniger Probleme.

    Mir würde als ergänzende Sicherheit viel besser gefallen, wenn man in seinem Account 5 Sicherheitsfragen frei definieren kann und dazu zusätzlich ein Passwort verwendet. Beim einloggen, wird nach dem Zufallsprinzip eine der Fragen gestellt, die beantwortet werden muss und zusätzlich muss das reguläre Passwort angegeben werden. Hat man sein Passwort oder eine Antwort auf eine der Sicherheitsfragen vergessen, müssen 4 Sicherheitsfragen beantwortet werden oder alternativ nur 3 Sicherheitsfragen und zusätzlich dann das Passwort. Slch eine Variante wäre mir 1000x mal lieber als diese Abhängigkeit von dem ganzen Gerätepark.

    Je mehr solche technischen umständlichen Verschlimmbesserungen eingeführt werden, verliere ich mein Interesse an Technik. Statt dass alles einfach bleibt, wird alle nur immer umständlicher. Ich hab darauf keine Lust mehr. Technisch gesehen minimalisiere ich mich immer mehr.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.