Google Sicherheit: Das Smartphone zum Einloggen nutzen, auch mit aktivierter Zwei-Faktor-Authentifizierung

GoogleLogo150In diesem Beitrag soll es darum gehen, wie man statt eines Codes für die Zwei-Faktor-Authentifizierung oder eines Passworts einfach das Smartphone als Bestätigung für einen Login in ein Google-Konto nutzt. Das Ganze beschrieb ich schon einmal in zwei Beiträgen, doch Google hat sich leider dazu entschlossen, die Einträge zu verstecken, bzw. diese für Nutzer der Zwei-Faktor-Authentifizierung derzeit komplett auszublenden. Ich fasse mal die normalen Authentifizierungsmethoden von Google zusammen, die keine spezielle Hardware wie einen Token benötigen.

2fa-pixel

Nutzername und Passwort zum Login ist bekannt, die Zwei-Faktor-Authentifizierung auch. Hierbei wird neben dem Nutzernamen und dem Passwort noch ein Code benötigt, der typischerweise in einer App generiert wird. Dann gibt es noch die Bestätigung via Smartphone. Der Nutzer ohne die Zwei-Faktor-Authentifizierung hinterlegt ein Smartphone in seinem Account bei Google. Er muss dann bei einem Einloggen kein Passwort eingeben, stattdessen wird die Zahl benötigt, die das Smartphone zu der Zeit anzeigt.

Hat ein Kunde von Google die Zwei-Faktor-Authentifizierung aktiviert und sein Smartphone verbunden, dann muss er beim Einloggen Nutzername und Passwort eingeben, dazu auf seinem Smartphone bestätigen, dass er sich gerade einloggen will.

Klingt kompliziert? Ist es aber nicht, eher praktischer, da man hier in keiner App nach einem Code für die Zwei-Faktor-Authentifizierung wühlen muss.

Warum ich den Spaß noch einmal anderes schreiben muss als in meinen bisherigen Beiträgen: Es hat sich bei Google etwas geändert und es kann jeden treffen.

Nutzt man sein Smartphone und richtet ein neues ein, so wird man nicht zwingend gefragt, ob auch dieses für ein Login des Google-Kontos genutzt werden soll, zumindest war dies bei mir nicht der Fall, als ich mein Google Pixel einrichtete. Auch können iPhone-Nutzer in die Falle tappen, denn bei einem Backup und Restore auf ein neues iPhone funktioniert das Bestätigen über Google App auch nicht mehr.

Ich konnte auch keine Einstellungsseite finden, wie ich ein neues Smartphone als Sicherheitstoken hinterlege, zumindest nicht mehr da, wo sie vor einiger Zeit noch war.

Ersteinrichtung ohne Zwei-Faktor-Authentifizierung

Also habe ich mal gewühlt, fange aber erst einmal für alle Interessierten an, die keine Zwei-Faktor-Authentifizierung nutzen, zukünftig aber das Smartphone zum Einloggen nutzen wollen (Nutzernamen eingegeben gefolgt von der Zahl, die auf dem Smartphone angezeigt wird. Wie oben erwähnt). Besucht diese Seite und richtet es ein, wie von Google beschrieben. Unterstützt werden Android-Smartphones mit aktuellen Google Play-Diensten und das iPhone 5s und höher mit installierter Google App. Google hat dafür eine Hilfeseite parat.

bildschirmfoto-2016-10-21-um-13-31-17

Seid ihr in Schritt 2 der Einrichtung, so müsst ihr das betreffende Smartphone auswählen. Typischerweise euer Hauptgerät. Es muss eine Displaysperre haben damit sich ein Angreifer nicht so in euer Konto einloggen kann – denn er müsste nur die Adresse kennen, nicht aber das Passwort.

Ihr seid also in ein paar Minuten mit der Geschichte durch. Sicherer ist natürlich die Zwei-Faktor-Authentifizierung. Hier hat Google seit meinem letzten Beitrag aber wieder an den Kontoeinstellungen gebastelt, den alten Link totgelegt – erwähnte ich ja.

Dennoch ist es möglich, Smartphones zur Loginmethode hinzuzufügen, auch wenn 2FA genutzt wird. Dies geschieht über diese Seite. Hier seid ihr im zweiten Schritt, hab also die Möglichkeit die klassischen Backup-Codes für die Zwei-Faktor-Authentifizierung abzurufen, die Telefonnummer für einen Code zu ändern – oder eben auch um ein Smartphone hinzuzufügen (und natürlich entfernen). Sieht dann so aus (Punkt: Aufforderung von Google).

2fa

Lange Rede, kurzer Sinn: Google erlaubt das Einloggen per Smartphone. Bei aktivierter und bei nicht aktivierter Zwei-Faktor-Authentifizierung Das ist praktisch. Wechselt man das Telefon oder will ein neues hinzufügen, so sollte man die Links aus diesem Beitrag parat haben, vielleicht auch die ersten erklärenden Beiträge zum Thema lesen. Wichtig: Diese Login-Methode ersetzt keine App, die 2FA-Codes generiert. Diese oder zumindest die Backup- Codes solltet ihr immer irgendwo haben. Denn bei aktiviertem Login via Smartphone ist es dennoch möglich, eine der alten Varianten zum Login zu nutzen.

1google_konten

google_konten

In diesem Sinne: Beamt euch in Sachen Sicherheit ruhig eine Ecke höher, auch wenn es nur durch das Aktivieren der Zwei-Faktor-Authentifizierung ist.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

16 Kommentare

  1. Danny Harter says:

    Sehr gut vielen dank.
    Kommt mir wie gerufen deinen Beitrag.
    Ich hatte gestern das Problem das ich mein Handy nicht mehr fand und bei google dieses Orten bzw. Zum klingeln bringen wollte. Dummerweise ist durch meine konfigurierte 2FA es nicht möglich gewesen mich einzuloggen da Pin ja an das fehlende Handy geschickt wurde.
    Ungeschickt und ein zweites Gerät oder Festnetznummer konnte ich bisher nicht hinterlegen.
    Danke Carsten.

  2. Freut mich, dass ich dir helfen konnte.

  3. Habe mir die Google Ersatz-Codes (Backup-Codes) in 1Password unter meinem Google Login als pdf gespeichert, damit sie nicht verloren gehen.
    Diese ganzen zusätzlichen Sicherheitsmassnahmen sind heute zwar unerlässlich, aber irgendwie wird es auch immer komplizierter, da noch durchzublicken, bei Google genauso wie bei Apple etc. Jeder kocht hier gewissermassen sein eigenes Süppchen.
    Ich habe teilweise die Befürchtung, dass meine Konten so gut gesichert sind, dass ich u.U. selbst keinen Zugriff mehr darauf haben könnte. 😀

  4. Ziemlich Kompliziert, zu Kompliziert.
    Wenn ich meinen Account so absichern würde, dann bräuchte ich nach 2 Wochen keinen mehr bzw. hätte ich mich selber ausgeschlossen.
    Also gibt es 2 Wege?
    A) mit Mobile
    B) mit 2FA

    Jedes mal benötige ich ein Mobile?

  5. Hmm.. Wie funktioniert das Ganze bei Push-Mail oder auch bei zeitgesteuertem Get Mail – ob nun mit der GMail-App oder K9 oder einem beliebigem mail-Client?

    Wie ist es beim IPhone und dem orig. Mail-Client?

  6. Ich habe da mal ne allgemeine Frage zur 2FA. Zur Erzeugung der Codes können ja verschiedene Apps benutzt werden, nicht nur die des jeweiligen Dienstes. Wie erfolgt nun der Austausch der Codes zwischen App und Dienst, so dass sie als gültig erkannt werden? Und wo ist zusätzliche Sicherheit, wenn letztendlich jede beliebige App solche Codes erstellen kann?

  7. Mit dem Thema u. mehreren Geräten via 2FA habe ich mich vor Kurzem auch vergnügen dürfen. Google bietet da etwas mehr Optionen an als Andere, finde es aber noch nicht optimal. Zum Authenticator dann noch 4 weitere Anbieter hinzugefügt und seitdem ist auf jeden Fall eines sicher. Das ständige eingeben des 2FA Codes wenn man mal schnell hier u. da hin will. Manchmal nervt es, aber was tut man nicht alles für die „Sicherheit“.

  8. @Gast: Der Code der angeboten wird gilt nur dem einen Anbieter mit dem du dich mittelbar mit 2 Faktoren authentifzieren willst. Wurde der Code verwendet bekommt man innerhalb eines bestimmten Zeit einen neuen Code. Du besitzt also mind. 2 Dinge mit denen du bestätigen willst, dass du du bist. z.B. Hardware, Mail Adresse,Passwort, Code.
    (also wie z.B. Kreditkarte und PIN) Welche App zur Darstellung des Codes verwendet wird ist egal, weil sie ja nur den gelieferten Code darstellt. Würde ein beliebiger Code funktionieren, wäre das ja keine Sicherheit.

  9. @Bernd: Weiß nicht ob ich dich richtig verstanden habe. Mit div. Mail-Clinets und Push Mail ist es kein Problem. Anstatt des üblichen Account Passworts meldet man sich über eine eingeblendet Seite an, gibt seinen 2FA Code ein und ist dann in der Regel dauerhaft freigeschaltet. Musst also nicht bei jedem Mail Empfang erst den Code eingeben. War das die Frage?

  10. @HS
    Genau! Danke!

  11. Wieso machst du das nicht über die SMS Bestätigung, so bekommt man ja den Code zugesandt. Dies ist ja auch, wenn man die Simkarte in das neue Handy einlegt, unerheblich welches Smartphone es ist.
    Oder welcher Gedanke fehlt mir?

  12. Also wenn ich, mit aktivierter 2FA auf „diesen Link“ gehe bekomme ich „Die gesuchte Einstellung ist für Ihr Konto nicht verfügbar.“

  13. Bei mir funktioniert das mit dem Entsperren per Smartphone seit einigen Wochen sporadisch und so lala. Normalerweise authentifiziere ich mich per Google Authenticator, wenn ich mich im Web anmelde. Ab und zu erscheint auf dem Handydisplay die Entsperraufforderung, allerdings nicht immer (kann noch keine Faktoren ausmachen, warum das mal erscheint und mal nicht). Wenn die Meldung erscheint, funktioniert das Entsperren in ca. 50% der Fälle, wenn es nicht geht, passiert nix. Auch wenn ich dann im Browser nochmal auf „Aufforderung von Google erhalten…“ klicke, kommt zwar die Nachricht auf dem Smartphone an, aber das Entsperren geht nicht.
    Muss ich mich beizeiten wohl mal intensiver mit beschäftigen.

  14. Für das Einloggen mit Handy brauch ich *zwingend* eine Internetverbindung auf dem Handy. 2FA funktioniert auch offline. Daher ist mir das deutlich lieber, auch wenn es erstmal „komplizierter“ ist.

    @Gast: Bei 2FA werden aus einem „Geheimnis“ und der aktuelle Uhrzeit Codes erzeugt. Wenn du das Geheimnis in eine andere App packst, dann erzeugt diese die gleichen Codes.

  15. Ich (73) bekomm das nicht gebacken.
    Wenn ich im PC oder im Moto bei Google im Konto, das ich für Kontakte und alles Grundsätzliche benutze, über Caschys Link oben zu Anmeldung&Sicherheit > Bestätigung in 2 Schritten ‚Alternativen 2. Schritt einrichten/Aufforderung von Google > Tel hinzufügen‘ gehe, erscheint beim Moto nach Klick auf ‚Weiter‘ die Meldung ‚Wir konnten Sie nicht erreichen‘.
    Beim Tipo endet es bereits vorher: ’nicht online‘

    Ich nutze 2FA per Authy (PC, Tablet, Smartphone Moto X Play).
    Habe 4 gmail-Konten.
    In meinem Sony Tipo Dual, Android 4.04, werden 2 davon synchronisiert, in meinem Moto 3.
    In meinen beiden Handys: unter Sicherheit Display Sperre aktiviert: PIN, unter Geräteadministratoren/Gerätemanager Sperren/Löschen der Daten zugelassen, bei Standortdienste alles aktiviert.
    Mein Moto wird in 3 der 4 gmail Konten unter Android Geräte-Manager gefunden, mein Sony in KEINEM (jedoch in 2 angezeigt, ohne ‚Bild‘; das Sony meiner Frau, bei der ich ein Konto von mir eingerichtet habe und deren Konto im Moto synchronisiert wird, WIRD gefunden).

    Kann mir jemand helfen?

  16. Und nun bitteschön noch einen Beitrag mit U2F Dongle, damit die Leute in der Welt aufwachen und ihre Accounts absichern.