Google Prompt wird Standard bei Zwei-Faktor-Authentifizierung
von caschy | 7 Kommentare
Viele Dienste bieten mittlerweile die Zwei-Faktor-Authentifizierung an. Diese empfehle ich seit Jahren. Neben dem Nutzernamen und Passwort wird ein dritter Faktor beim Einloggen in einen Account erforderlich, in den meisten Fällen ist dies ein temporär nutzbarer Code, der via SMS zugeschickt oder aus einer Generator-App generiert wird. Google selber bietet mehrere Möglichkeiten an, so kann man sich Codes via SMS senden lassen, oder aber auch welche aus der Generator-App nutzen.
Seit einiger Zeit ist es sogar noch eine Ecke praktischer, denn beim frischen Einloggen in den Google-Account benötigt man nicht mal mehr einen Code. Es langt, über eine verifizierte Google-App auf dem Gerät das Anmelden zu bestätigen.
Das nimmt schon einmal viel Arbeit vom Nutzer, der ja oft zu faul ist, sich um Dinge wie die Zwei-Faktor-Authentifizierung zu kümmern. Im Juli 2017 hat Google Nutzer eingeladen, statt SMS-Textnachrichten, den eben angesprochenen Google Prompt als 2-Stufen-Verifizierungsmethode (2SV) zu verwenden.
Google Prompt ist die laut Google einfachere und sicherere Methode zur Authentifizierung eines Kontos und er respektiert die auf den Geräten von Firmen-Smartphones implementierten mobilen Richtlinien. Vor diesem Hintergrund macht Google den Google Prompt nun zur ersten Wahl, wenn Nutzer 2SV einschalten (zuvor war SMS die erste Wahl).
Sobald 2SV aktiviert ist, haben die Benutzer weiterhin die Möglichkeit, SMS, eine App wie den Google Authenticator, Backup-Codes oder den Sicherheitsschlüssel als zweiten alternativen Schritt einzurichten. Dies wirkt sich nur auf Benutzer aus, die 2SV noch nicht eingerichtet haben. Die aktuellen Einstellungen von 2SV-Benutzern bleiben davon unberührt. Wenn ein Benutzer versucht, 2SV einzurichten, aber kein kompatibles mobiles Gerät besitzt, wird er aufgefordert, stattdessen SMS als Authentifizierungsmethode zu verwenden.
Zu bedenken ist natürlich, dass eine Auth-App auch Codes generieren kann, wenn der Nutzer offline ist – der Prompt aber eben die Verbindung benötigt. Konkretes Szenario: Im Urlaub am Internet-Terminal kann man sich so nicht in das Konto einloggen, wenn das Smartphone offline ist – weil eben hier die Bestätigung nicht durchkommt.
Aber wie erwähnt: Da kann man immer auf den anderen Schritt zurückgreifen, nämlich den Backup-Code oder den Generator. Muss man dran denken, dass man am Prompt dann auf „Weitere Optionen“ anklickt (siehe Screenshot). Falls noch nicht geschehen: Nutzer können auf der Account-Seite 2SV einrichten. iOS-Nutzer müssen die Google-App nutzen, bei Android ist es eingebaut.
Siehe auch: Google Sicherheit: Das Smartphone zum Einloggen nutzen, auch mit aktivierter Zwei-Faktor-Authentifizierung
Wird geladen ...
Google hatte das bei mir auch mal aktiviert, die Funktion war so nicht brauchbar. Nach Freigabe auf dem Smartphone erfolgte keine Authentifizierung auf der Website, auch bei mehrmaligem Versuchen nicht. Ich bleibe bei der Authenticator App.
Beschäftige mich auch beruflich mit 2FA (Second Factor Authentication) und finde die Lösung von Google mal wieder eine der fortschrittlichsten – der große Vorteil ist, dass (1) mehrere Geräte gleichzeitig als 2FA Prompt Device genutzt werden (2) das Prompt Window durch die Integration mit Google Play Services keiner Installation/Wartung bedarf und (3) das Prompt Window wird schnell und ohne Zutun des Users direkt im Foreground angezeigt, sodass man direkt auf Yes/Approve gehen kann. Alle anderen 2FA Apps/Lösungen benötigen manchmal aktiven Start einer App und mehrfaches klicken, das ist Murks. Auch Authenticator oder sonstige Code Auslieferungen via SMS und manuelle Eingabe halte ich für einen absoluten UX Albtraum.
Weiß jemand wie man den standardmäßig gesetzten Haken vor „Auf diesem Computer nicht mehr fragen“ standardmäßig weg bekommt? Also dauerhaft? Das wäre für mich noch eine feine Sache..
@Tannenpflaum
Ich sag mal, wer eine proprietäre Lösung toll findet, mag auch Alpträume. Wie war das noch mal mit dem gefälschten Passwort-Prompt bei Apple?
2FA ohne Generator in der eigenen Hand in Form einer überall funktionierenden Auth-Karte hat eher eine Entmündigung des Nutzers im Sinn, als seinen Schutz.
@Wolfgang D.
Nun, von der Sicherheit hat Tannenpflaum nicht wirklich geredet, oder? Ihm ging es um die User Experience und da hat Google halt einfach die Nase vorn. Da ich selbst auch genau in diese Richtung studiere, muss ich auch sagen: Die UX von Google ist nahezu ungeschlagen. Maximal Apple kann da annähernd mithalten, aber deren abgeriegeltes Öko-System schreckt mich eindeutig ab.
Was Sicherheit angeht ist klar, dass man besser offene Quellen hat, als was proprietäres, wobei sowieso nur die allerwenigsten die Quellen selbst checken, da sie einfach nicht die Fähigkeiten haben, um nachvollziehen zu können, was da für eine Magic abgeht.
Im Zweifel habe ich aber auch da in Google mehr Vertrauen als bspw. ins BSI, was aber nicht sonderlich schwer ist, wenn wir ehrlich sind.
@kOOk
bei mir ging es sofort nach einem Beitrag hier im Blog und entsprechender Umstellung von mir fehlerfrei – bis heute
Es soll ja immer noch Leute geben, die ihre E-Mails mit Thunderbird abrufen. Nach der Aktivierung der Second Factor Authentication bei Google funktioniert natürlich der Zugriff auf GMAIL für Thunderbird nicht mehr.
Die Lösung besteht aus der Generierung eines speziellen APP-Passwords:
https://support.google.com/mail/answer/185833?hl=en&visit_id=1-636440419998462302-2494017469&rd=1