Google Sesame: dein Smartphone wird zum Passwort
von caschy | 22 Kommentare
Suuuuper! Eben von Google Sesame gelesen und hellauf begeistert. Ist man bei Kollegen, dann könnte man mal seine Mails oder so abfragen wollen. Bei Kollegen ist man schon vorsichtig, an öffentlichen Rechnern mache ich so etwas gar nicht, obwohl es ja Dinge wie Googles doppelte Anmeldesicherheit gibt, die ja das Smartphone zur Voraussetzung macht. (Eine Anleitung zu Googles doppelter Anmeldesicherheit bekommt ihr hier) Google Sesame finde ich aber auch super.
Ihr besucht die Seite goto.google.com/login und scannt den zu sehenden QR Code mit eurem Smartphone (Android, iOs, whatever) ab und bestätigt auf der zu sehenden Seite die Sicherheitsmeldung (siehe Screenshot). Was dann passiert? Der Browser am PC, in den ihr noch kein Passwort eingegeben habt, wird zu Google Mail weitergeleitet (oder für welchen Dienst ihr euch entschieden habt). Ohne Passwort, einfach durch Smartphone-Authentifizierung. Setzt natürlich euer Smartphone voraus, welches in eurem Account eingeloggt ist. Super Sache, werde ich sicherlich nutzen – denn ab und an ist es am großen Monitor besser als am Smartphone 🙂 (via)
Wird geladen ...
Okay, super Sache schon mal. Nur eine klitze kleine Frage hätte ich mal: Wieso sich auf fremden PCs einloggen, wenn man eh das Smartphone auf Tasche hat? Ist mir nur gerade mal in den Sinn gekommen…
Wenn ich doch aber eh mit dem tollen Smartphone online sein muss, dann kann ich den Ausnahmnsweise-Email-in-der-Fremde-Check doch auch gleich auf dem Smartphone selbst machen. Bis auf die Möglichkeit, ein größeres Display nutzen zu können, sehe ich da keinen echten Anwendungsfall.
Patrick:
Hab ich mich auch grad gefragt, aber vielleicht besteht ja (bald) die Möglichkeit, das auch mit anderen Diensten/Konten zu nutzen.
Ausserdem ist es manchmal doch recht fummelig eine längere Mail am Rechner zu schreiben.
Auf jeden Fall werd ich mir das mal genauer ansehen. Danke für den Tipp 🙂
Mir würde höchstens einfallen, wenn man schnell nen langen Text zurückschreiben muss und das nicht via Smartphonetastatur machen will. Ansonsten würd ich immer die App nehmen.
Naja, es gibt immerhin Sachen wie:
+ Datei vom Rechner aus als Anhang verschicken
+ Längere E-Mail schreiben
+ Komplexe Suche nach alten Mails
+ Andere Google Dienste nutzen (ist ja ein kompletter Login)
Also ich finde es mehr als praktisch 🙂
Wenn ich einen großen Bildschirm zu Verfügung habe warum sollte ich dann mein Smartphone verwenden? Außerdem gibt es ja noch google chrome portable somit kann ich mich per USB stick einloggen, vorausgesetzt die USB Anschlüsse sind freigeschalten
Jo, richtig. Längere oder viele Mails wären ein Anwendungsfall. Und eben ist mir noch einer in den Sinn gekommen: Roaming im Ausland. Mal kurz ne Verbindung mit’m Handy aufbauen kostet wohl weniger als alle hundert Mails herunterzuladen.
Nettes Feature 🙂
Siehe auch Android/iPhone-App eKaay unter http://www.ekaay.com – das wird in Zukunft wohl für viele Dienste funktionieren.
Hab das gerade mal getestet und es funktioniert bei mir nicht: Wenn ich den Code scanne komme ich bei meinem Smartphone, obwohl ich mit meinem Google-Account eingeloggt bin, auf die Login-Seite von Google und muss dort mein Passwort eingeben. Dann kann ich es ja gleich am PC eingeben.
funktioniert bei mir ohne Probleme. Nettes Feature, aber der Link passt nicht zum Service mMn. Könnte man was besseres machen.
@Matze: bist du denn auf deinem Smartphone auch im Browser bei Google eingeloggt? Ab ICS macht er das automatisch über den Telefonaccount, aber davor musste man sich im Browser separat einloggen (bin ich der Meinung).
Gerade ausprobiert – super!
Habs ausprobiert. Funktioniert bei mir einwandfrei aber leider hab ich die Zweifaktorauthentifikation aktiviert. Entsprechend muß ich bei Einloggen aus dem Browser raus und erstmal den Code beim Authentifikator mir merken und dann den wieder im Browser eingeben. 😉
@Matze:
Der Vorteil gegenüber dem Login auf dem Fremdrechner ist das kein Keylogger mitlesen kann.
Cool!
http://opensesame2.kkdevs.com/
^^Die Technik gibts schon länger.
Jo, funzt 1a, gefällt!
Hi there – thanks for your interest in our phone-based login experiment.
While we have concluded this particular experiment, we constantly experiment with new and more secure authentication mechanisms.
Stay tuned for something even better!
Dirk Balfanz, Google Security Team.
@stephan:
Mir wird auf kkdevs.com nicht klar, wie das technisch funktioniert, warum es sicher ist und wer meinen Login weiß. Also ja, die Funktionsweise ist wohl wie bei Google. Aber von Anfang an: der Account-Server liefert mir einen QR-Code. Da ich auch meinen Benutzernamen nicht eintippen muss, kann dieser nicht im Code (bzw. im darin enthaltenen Link drinstecken). Was aber in dem Beispiel von kkdevs.com aber tut (user_name=Dagobert.Duck). Versteh ich also schonmal nicht. Woher weiß der Server, dass ich mich als Dagobert Duck ausgeben möchte? Ich müsse dann mindestens den Usernamen also eintippen.
Gut, sagen wir, das hab ich gemacht und dann kommt der QR-Code mit dem Link drin. Dann kann ich das mit dem Handy öffnen und freischalten. Wo ist die Authentifizierung? Müsste nicht wenigstens das Handy mein eigentliches Passwort wissen? Davon steht nichts auf der Seite. Es steht sogar eine Alternative, indem ich ein Codewort eintippe. Aber DAS kann ja jeder, das authentifiziert nichts.
Sorry, aber dieses OpenSesame von kkdevs.com ist völliger Mumpitz. Das angeblich erklärende PDF wirft auch 404.
––––– Allgemein –––––
Bei Google scheint das zu funktionieren. Das Telefon ruft den Link im QR-Code ab und authentifiziert sich entweder durch die Eingabe von Name/Passwort auf dem Smartphone, oder es ist bereits durch ein Cookie authentifiziert. Mit meiner Bestätigung schalte ich dann diesen speziellen Aufruf frei, so dass das Cookie auf dem (z.B. öffentlichen) PC autorisiert wird, ohne weitere Eingabe genau diesen Account zu verwenden (bis ich mich manuell abmelde, das Cookie abläuft oder gelöscht wird). Find ich eine sehr schöne Idee. 🙂
Das sollte man allgemeingültig machen und mit OpenID verbinden. Vielleicht kann das dann doch noch höhere Verbreitung erlangen. Ich ärger mich ja gerade darüber, dass es nun auf gefühlt 5 Mio. Seiten „Facebook-Login“ gibt, was genau dasselbe Prinzip darstellt, aber kein OpenID nutzt. Naja, proprietärer Facebook-Kram, und alle Lemminge springen rauf. Warum hat das bei OpenID bloß nicht so geklappt?
Manchmal gibt es sogar einen Google-Login, was exakt OpenID ist – nur eben mit Google als voreingestelltem OpenID-Provider. Aber OpenID mit beliebigem Provider gibt’s dann wieder nicht auf der Webseite. Genau sowas kann ich dann nicht verstehen. 🙁
Mit der Eingabe der Adresse (goto.google.com/login) komme ich auf die normale Anmeldeseite von Google!
Mache ich da etwas falsch?