Google mit besserer Sicherheit: Weniger sichere Mail-Apps lassen sich ab sofort sperren

Im April 2014 gab Google bekannt, dass man noch mehr Sicherheit für das Google Konto und für Gmail wolle. Konkret gab man damals schon Entwicklern mit auf den Weg, dass diese OAuth 2.0 in ihren Apps einsetzen sollen. Mittlerweile gibt es auch schon in den Kontoeinstellungen von Google einen Hinweis und die Option auf neue Sicherheitsmechanismen.

Google Sicherheit

Konkret bedeutet dies, dass der Nutzer weniger Sichere Apps explizit verbieten kann. Standardvorgabe ist derzeit, dass alle Apps funktionieren, auch die, die eine geringere Sicherheit zum Anmelden nutzen. Zu den Apps, die die neusten Standards nicht unterstützen, gehören:

  • Die App Mail auf dem iPhone oder iPad mit iOS bis Version 6
  • Die App Mai“ auf Windows Phone bis Version 8.1
  • Einige auf dem Android-Smartphone vorinstallierte E-Mail-Apps, die nicht von Google stammen
  • Einige Desktop-E-Mail-Clients wie Microsoft Outlook und Mozilla Thunderbird. Solltet ihr Outlook benutzen, so beachtet auch diesen Sicherheits-Hinweis von Microsoft.

Folgendes ist hierbei zu beachten: Die Einstellung „Weniger sichere Apps“ funktioniert nicht, wenn man bereits die Zwei-Faktor-Authentifizierung von Google nutzt. Hierbei muss vom Nutzer aktiv ein Passwort für die App erstellt werden. Wer sein Google Konto nicht so abgesichert hat, der findet die Möglichkeit vor, Zugriff für unsichere Apps zu verbieten. Ich persönlich empfehle weiterhin, das Google Konto mit Zwei-Faktor-Authentifizierung abzusichern.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

22 Kommentare

  1. Ich hab hier mal ne Frage zur Zwei-Faktor-Authentifizierung und wie ihr das löst oder ob ich nen Denkfehler habe oder irgend ein Feature nicht kenne…
    Ich habe auf Drive meine Kreditkartendaten und Sperrhotlines hinterlegt, eben für den Fall, dass das man ausgeraubt wird (ein Zettel in der Tasche/Koffer/Auto kann einem dann schon wieder herzlich wenig nützen, wenn der mit weg ist) und es einfach schnell gehen muss. An beliebigen PC/Handy/Tablet bei Google anmelden und Karten sperren, fertig,

    Das ganze funktioniert natürlich nur, solange nicht das Handy geklaut wird, selbst wenn ich statt der SMS diese Authentifizierung per App mache, dann komme ich nicht mehr an mein Konto dran, wenn Smartphone UND Tablet weg sind, bzw wenn ich mit den beiden nicht ins Internet komme.

    Also für den Urlaub die Zwei-Faktor-Authentifizierung doch wieder abschalten???

  2. Notfallcodes ausdrucken, die dir angeboten werden. Die erreichst du genau so schnell, wie einen Rechner 😉

  3. delirium83 says:

    könntest die Notfallcodes z.B. als PDF verschlüsselt an ein Familienmitglied und/oder vertrauenswürdigen Freund schicken. Dann kannst du im Notfall anrufen, ihnen das Passwort für die Datei sagen und sie geben dir einen Code. Beispielsweise im Urlaub nützlich, wenn man in allen Diensten 2-factor-auth hat, also z.B. auch in Dropbox wo man die verschlüsselte Datei sonst ablegen könnte und worauf man ohne geklautes Smartphone erstmal keinen Zugang hätte.

  4. War ja wieder klar das Microsoft der Drecksladen hier ganz vorne mit dabei ist, was unsichere Authentifizierungsmethoden und „neueste Standards“ angeht.

  5. Warum sollte man so was machen? Den größten Datendieb, Google selbst, wird man damit wohl kaum los.

  6. Oh, ich dachte Thunderbird sei sicherer. Was soll man denn für den Desktop dann nehmen?

  7. @Holgi: nutze doch die Zwei-Faktor-Auth mit Thunderbird.

  8. Hab mich gerade durchgerungen die zwie Faktor Authentifizierung einzurichten und muss sagen: Nö. Nachdem der Google Authenticator auf dem Handy keine brauchbaren one-time Passwörter generierte ist das für mich gestorben. Eine Frage habe ich dann aber doch noch: Was macht man wenn man sein Handy verliert? (Zwingend zweites Telefon einrichten?!)

  9. @caschy, delirium83
    Vielen Dank, die Notfallcodes waren wir bisher unbekannt bzw ich hab deren Sinn falsch verstanden. Die Idee mit vertrauenswürdiger Person ist sehr gut!
    Ich denke halte es immer noch für sicher genug, die Codes unverschlüsselt in meiner Nur-Passwort geschützten Owncloud zu hinterlegen.

    @gschmid: Mag sein, dass du mit solchen Parolen an deinem Stammtisch punkten kannst, in Foren wie diesem disqualifizierst du dich jedoch direkt als Inkompetent. Der Ausdruck „Datenkrake“ ist ja schon affig genug, aber einem Dienstleister Diebstahl zu unterstellen, ist einfach nur dumm!

    @stefan:
    Siehe oben, Notfallcodes! 🙂

  10. @Stefan: Was funktioniert konkret nicht? Und fürs verlieren: QR Code sicher aufbewahren + Notfallcodes.

  11. @caschy: Alles gut, im zweiten Anlauf hat es funktioniert – Fehler bleibt unklar (im Zweifel war es der user also ich)

    Notfallcodes und ausgedruckte QR Codes… irgendwie fühlt sich das alles nicht nach 20. Jahrhundert an (jaja, klar Seitenkanal schaffen, mir ist schon klar warum das sinnvoll ist). Aber sehe ich das richtig: ich kann nur ein Gerät als Token verwenden?

  12. bevor hier über Firmen geschimpft wird, schaut auch das ganze mal genauer an:
    http://hueniverse.com/2012/07/26/oauth-2-0-and-the-road-to-hell/

  13. @stefan ja richtig nur ein Gerät kann Codes generieren. Aber du kannst die Geräte die du täglich benutzt als vertrauenswürdig einstufen, dort musst du dann nicht jedes mal einen Code eingeben. Ferner kannst du bei Google alternative Verifizierungsemethoden anlegen, wie ein weiteres (Festnetz-)Telefon für Codes per Anruf (Sprache) oder SMS, falls du auf dein Primärgerät nicht zugreifen kannst.

  14. Notfallcodes erzeugt, und von SMS auf die App umgestellt… danke für alle Tipps!!!

  15. @Tom: Interessanter Artikel, danke für den Tipp

  16. Interessanter Artikel, Tom, danke für den Tipp

  17. Sorry für den Dopelpost, irgendwie spielt die „doppelter Kommentar“-Funktion dieses Blogs verrückt

  18. Also wenn mein Standard IMAP E-Mail-Client kein OAuth kann ist das unsicher? ^^

  19. @Eddie

    Ist mir immer noch völlig unklar wieso man sich Sorgen um seine DATEN bei Goolge machen sollte. Wenn man DATEN bei Google lagern will, sollte es einem egal sein wer das sieht. Wichtig Daten lagert ich doch nicht in der Cloud.

    Nicht dazu gelernt in den letzten Monaten, was? Leider ist Bequemlichkeit wohl das wichtigste.

  20. @Dominik Conrads: Funktioniert auch auf mehreren Geräten parallel. Anleitung hier: https://support.google.com/accounts/answer/1066447?hl=de

  21. DieMathematik says:

    »Einige auf dem Android-Smartphone vorinstallierte E-Mail-Apps, die nicht von Google stammen«
    Ich bin chronischer Apfelnutzer, aber das interessiert mich jetzt mal:
    Auf Android gibt es mehrere vorinstallierte Mailapps oder wie?

  22. Gegenfrage: Was gilt denn dann noch als sicherer Desktop-Client?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.