Google und Sicherheit: Erschreckend wenige Nutzer aktivieren 2FA
Viele Dienste bieten heute einen verbesserten Schutz von Benutzer-Konten an. Manche Accounts lassen sich mittels Hardware-Dongle absichern, die mittlerweile gängige Variante im Bereich der normalen Anwender ist die so genannte Zwei-Faktor-Authentifizierung. Hier muss der Nutzer an neuen Geräten nicht nur seinen Nutzernamen und sein Passwort eingeben, sondern meistens eine „One Time Password“.
Ein Zahlencode, der per SMS zugeht oder standardisiert aus einer App wie Authy, dem Google Authenticator oder dem Passwort-Manager selber. Hat ein Angreifer Nutzernamen und Passwort, so kann er dennoch nicht ins Konto eindringen, weil der besagte Code fehlt.
Ich habe in den letzten Jahren bei allen Diensten, die die so genannte 2FA anbieten, diese auch aktiviert, zudem im Blog des Öfteren darauf hingewiesen, wenn Dienste diese zusätzliche Sicherheitsmöglichkeit anboten.
Nun gab Google mal interessante Einblicke, auf der Konferenz Enigma 2018 sprach man über Sicherheit und wie die Nutzer darauf anspringen. Die Zahlen sind enttäuschend. Unter 10 Prozent aller Google-Konten wurden von den Betreibern mittels 2FA zusätzlich geschützt. Nebenbei verwies er auf eine Studie von 2016, die besagt, dass nur 12 Prozent der US-Amerikaner einen Passwort-Manager nutzen.
Pretty brutal numbers in this Google talk about authentication at #enigma2018:
-67 million valid Google credentials found in breaches
-less than 10% of active Google users have 2FA— kate conger (@kateconger) January 17, 2018
Gründe gegen die aktivierte 2FA? Ich denke, das ist auf der einen Seite Unwissen der Nutzer, auf der anderen Seite auch eine Usability-Geschichte. Nutzer finden es vielleicht kompliziert oder aufwendig. Dabei sind im besten Falle ja nur die eigenen Geräte ab und an mal dran, nach einem zweiten Faktor zu Fragen, bei der Neueinrichtung oder so. Zumal man es bei Google noch bequemer hat, denn hier kann man eine Anmeldung mittlerweile einfach per Klick in der Google-App bestätigen.
Google selber hat auch eine gute deutschsprachige Seite zum Thema 2FA, die man sich vielleicht durchlesen kann. Und wenn man sich dazu entschließt, die Bestätigung in zwei Schritten zu aktivieren, dann doch auch gleich bei allen genutzten Diensten. Wer 2FA anbietet, kann beispielsweise auf dieser Seite eingesehen werden.
Leider bieten 2FA noch viel zu wenig Anbieter an. Klar, alles was mit Banking zu tun hat ist dabei, Paypal leider nur per SMS, nicht per Google Authenticator. Den habe ich bei Amazon, google und Github im Einsatz. Bei ebay hatte ich es mal mit Symantec VIP probiert, das hat leider nur so halbgut funktioniert. Nachteil ist natürlich, dass man sich nirgendwo einloggen kann, wenn man das Handy nicht dabei hat, besonders wenn man wie ich mit jeder Browsersession auch alle Cookies löscht.
Hat noch einer das Problem der 2FA auf zwei versiedenen Geräten nutzt, dass nach der Aktivierung des zweiten Gerätes nur noch eine funktioniert? Habe noch keine Möglichkeit gefunden das Problem zu lösen…ganz viel habe ich aber zugegeben auch noch nicht versucht.
Google oder Amazon funktionieren nur, wenn man seine Handynummer angibt. Wenn man das nicht bräuchte, würde ich 2FA nutzen, wie ich es beispielsweise auf GitHub nutze.
@kOOk: Bei Paypal benutze ich auch den „VIP Access“, funktioniert problemlos. Wird nur beim Handywechsel problematisch, aber auch das ist lösbar.
Man freut sich so lang über 2FA, bis etwas Unvorhergesehenes passiert und man sich selbst ausgesperrt hat. Eine Freundin hat ihr Handy verloren, ihr Laptop ging ein paar Tage eher kaputt. Sie hat das Handy selbstverständlich sofort über den Provider sperren lassen und einen neuen Laptop hat sie mittlerweile auch. Ihre wichtigsten Passwörter hat sie im Kopf, alle anderen in einem Passwortmanager gespeichert. Nun steht sie allerdings vor dem Problem, dummerweise bei Yahoo ihre Haupt-Mailadresse zu haben – mit aktivierter 2FA. Ein bereits authorisiertes Gerät? Gibt es nicht mehr. Die ihre bekannten LogIn-Daten? Helfen nichts, ohne das 2FA-Handy, welches ja verloren ging. Bleibt noch die Wiederherstellungsmailadresse… der Yahoo-Account ist 15 Jahre alt, sie hat nicht einmal mehr eine Ahnung, welche Mailadresse sie da als Alternative angegeben haben könnte. Klar, letzteres hätte man natürlich vermeiden können, indem man ab und zu mal prüft, ob sämtliche angegebenen Daten noch aktuell sind. Hat sie nun aber leider nicht. Der Support bei Yahoo ist mittlerweile quasi nicht mehr existent. Die FAQ sagt einfach nur: Nutzen sie die gegebenen Wiederherstellungsoptionen, andernfalls können wir ihnen nicht helfen. eMails, mit denen sie möglicherweise nachweisen könnte, dass sie wirklich sie ist, bleiben einfach unbeantwortet. Und nachdem nun halt letztlich wirklich jeder Online-Service irgendwie beim LogIn oder spätestens beim Daten ändern (u.a. eben die Nummer für 2FA) ebenfalls an die Mailadresse gebunden ist, hat man danach eben ein richtiges und damit meine ich wirklich RICHTIGES Problem. Natürlich ist es unwahrscheinlich, dass einem die einzigen beiden LogIn-Geräte quasi gleichzeitig verloren gehen, klar. Aber bedenkt man, was da gleichzeitig noch für ein Rattenschwanz hinten dran hängt, hätte ich zumindest für den Mailanbieter 2FA wieder deaktiviert – Sicherheit ist wichtig, aber die Gefahr, sich selbst permanent auszusperren ist einfach zu hoch. Glücklicherweise bietet Google aber auch noch die Backup-Codes als weiteren Ausweg aus einer solchen Situation, weshalb ich auch weiter die 2FA nutzen werde. Wäre ich ein Yahoo-Nutzer käme mir das nicht in den Sinn…
@Lars:
Du nutzt aber schon den selben QR-Code für beide Geräte? Wenn du die Aktivierung noch einmal startest, wird nämlich der 1. QR-Code ungültig.
Die Ursache ist ganz simpel: Von den 10% Usern die das verwenden sind 2% IT Profis die wissen was sie tun und die restlichen 8% interessierte Laien die bereit sind sich in das Thema einzuarbeiten und das in den Griff zu bekommen.
Die restlichen 90% der User reagieren auf die Frage „Hast Du schon die 2 Faktor Authentisierung bei Google aktiviert?“ mit „Hä?“
@Micha: Wie so oft sitzt das Problem allerdings wenige Zentimeter vor dem Bildschirm.
Google z.B. kann man Backup-Codes ausdrucken, mit denen man wieder reinkommt.
Bei der Einrichtung einen Screenshot machen oder den alternativen Code aufschreiben und das dann in einen Ordner (nicht auf dem Rechner, sondern im Schrank) packen müsste auch reichen. Sehe das Problem nicht.
@Chip: Würde ich in dem Fall nicht mal unbedingt so unterschreiben. Der einzige Fehler war halt, die Wiederherstellungsadresse nicht zu aktualisieren. Aber hätte sie das gemacht und eben jener Account wäre genauso durch 2FA geschützt gewesen, wäre das Problem ja nur verlagert, aber nicht gelöst worden. Also nein, seh ich anders: in dem Fall lag das Problem wohl eher in miesem Support und einfach einer ordentlichen Portion Pech. Und wenn ein Anbieter miesen Support bietet, würde ich persönlich von 2FA absehen.
@Lars
ich würde, wenn Du weißt, dass Du zwei Geräte einrichten willst, den QR-Code bei der Ersteinrichtung fotografieren und diesen dem zweiten Gerät dann für die Einrichtung zeigen.
Denn oft ist es so, dass man nicht zwei Geräte gleichzeitig für 2FA haben kann und bei einem weiteren Gerät das erste ungültig gemacht wird.
Alternativ kannst Du Dir 2FA Apps suchen, die auf einen zentralen Server synchen. Ich nutze z.B. 1Password, aber es gibt auch andere wie Authy oder Bitwarden.
Die 2FA hält höchstens Zufalls-Hacker ab. Und sie führt zu neuen Risikien. Auch mir ist es schon passiert, dass ich Dienste nicht mehr nutzen konnte, weil mein Handy im Hotel vergessen habe oder kaputt war – neben anderen Störungen. Und den Backup Code dann ausgedruckt mitzuschleppen – besser geht für Kriminelle nicht. Da wird man sich schon besseres Einfallen lassen müssen.
@mzcgn na da bin ich froh, dass es Zufalls-Hacker abhält. Weil mal zur Info, 99% der Anwender werden zufällig gehackt und nicht von NSA ausgewählt und mit einem Etat von 500 000 $ gezielt angegriffen. (dass in einem solchen Fall 2FA nicht hilft, stimme ich zu) 😉
Die oben beschriebenen Probleme sprechen wohl eher gegen Yahoo als gegen 2FA. Aber wenn ein paar unglückliche Sachen zusammenkommen, kann das echt zum Problem werden, da hat Micha schon recht.
Danke @TVB für den Tipp mit den Backup-Codes bei Google.
@Mario @Michael Vielen Dank für Eure Hinweise, genau dies wird das Problem sein. Werde ich testen!
Ja, ja, schon klar, wer sich hier herumtreibt brauch eh keine weitere Erklärung! Aaaaber, die nicht Tech-affinen Menschen, das sind die restlichen 90%, sind mit der 2FA überfordert! Allen(!) den ich versucht habe es zu erklären und einzurichten, haben’s abgelehnt! Zu kompliziert, zu umständlich, zu riskant (sich auszusperren), etc. pp…
Und, mal ganz ehrlich, ist man zb verreist und das Handy ist weg, hat man schon ein Problem. Google-Codes, hat man sie mit im Urlaub? Eher nicht… Zweit-Handy? Hat man es mit? Oder Zweit-Email hinterlegt, ist das auch 2FA gesichert? Was hat man da für ein Rückfall eingerichtet? Zugang von unterwegs möglich?… Und, und, und… Genau das, beschert dem 2FA-System keine gute Usability…
@max: Man könnte im Urlaub aber auch einfach mal Urlaub machen… 😉
@Micha: Es gibt wirklich noch Leute, die über Yahoo Mails laufen lassen? Nach den ganzen Datenlücken, nicht existierendem Support und, und, und?! Das Problem sitzt hier aber eindeutig vor dem Display.
Wie schon gesagt, bieten alle „korrekten“ Anbieter weitere Zugangsmöglichkeiten (z.B. Google mit Backup-Codes und Telefonnummer, Paypal mit selbst gewählten Sicherheitsfragen), so dass man auch bei Totalverlust wieder Zugang bekommt.
@Jörg: Soweit ich weiß gibt es noch eine Menge Yahoo-Mail-Nutzer. Spielt aber in dem Fall auch keine wirkliche Rolle, denn in der Tat könnte sich exakt das Problem auch bei den meisten anderen Anbietern stellen. Dinge wie Backup-Codes wie eben bei Google sind letztlich bei anderen (Mail-)Anbietern oft nicht existent, abgesehen davon wählt vermutlich niemand seinen Mailanbieter nach solchen Kriterien wirklich aus. Und welcher „normale Mensch“ da draußen weiß denn heutzutage überhaupt, dass Yahoo nicht mehr Yahoo ist, sondern eigentlich Oath? Die Messlatte von IT-Geeks für Normaluser anzulegen hat nie wirklich gut funktioniert.
Ich hatte es bei Google mal aktiviert, bin aber an zu vielen Stellen auf kleine (lösbare) Probleme gestoßen, sodass es mich zu sehr genervt hat. Ich bin viel unterwegs, momentan längerfristig im Ausland und werde nach Anmeldungen an meinem eigenen PC von z.B. Google immer wieder mal am Handy gefragt, ob ich das wirklich bin. Wenn sich also jemand in mein Konto einloggt, gehe ich einfach mal davon aus, dass die Vorkehrungen der mir wichtigen Dienste (gerade Google) schon clever genug sind. Meine Wiederherstellungsoptionen halte ich aktuell und ich habe ein Passwortsystem, sodass meine Passwörter immer unterschiedlich sind. Das sollte und muss für mich reichen.