Google und Sicherheit: Erschreckend wenige Nutzer aktivieren 2FA
Viele Dienste bieten heute einen verbesserten Schutz von Benutzer-Konten an. Manche Accounts lassen sich mittels Hardware-Dongle absichern, die mittlerweile gängige Variante im Bereich der normalen Anwender ist die so genannte Zwei-Faktor-Authentifizierung. Hier muss der Nutzer an neuen Geräten nicht nur seinen Nutzernamen und sein Passwort eingeben, sondern meistens eine „One Time Password“.
Ein Zahlencode, der per SMS zugeht oder standardisiert aus einer App wie Authy, dem Google Authenticator oder dem Passwort-Manager selber. Hat ein Angreifer Nutzernamen und Passwort, so kann er dennoch nicht ins Konto eindringen, weil der besagte Code fehlt.
Ich habe in den letzten Jahren bei allen Diensten, die die so genannte 2FA anbieten, diese auch aktiviert, zudem im Blog des Öfteren darauf hingewiesen, wenn Dienste diese zusätzliche Sicherheitsmöglichkeit anboten.
Nun gab Google mal interessante Einblicke, auf der Konferenz Enigma 2018 sprach man über Sicherheit und wie die Nutzer darauf anspringen. Die Zahlen sind enttäuschend. Unter 10 Prozent aller Google-Konten wurden von den Betreibern mittels 2FA zusätzlich geschützt. Nebenbei verwies er auf eine Studie von 2016, die besagt, dass nur 12 Prozent der US-Amerikaner einen Passwort-Manager nutzen.
Pretty brutal numbers in this Google talk about authentication at #enigma2018:
-67 million valid Google credentials found in breaches
-less than 10% of active Google users have 2FA— kate conger (@kateconger) January 17, 2018
Gründe gegen die aktivierte 2FA? Ich denke, das ist auf der einen Seite Unwissen der Nutzer, auf der anderen Seite auch eine Usability-Geschichte. Nutzer finden es vielleicht kompliziert oder aufwendig. Dabei sind im besten Falle ja nur die eigenen Geräte ab und an mal dran, nach einem zweiten Faktor zu Fragen, bei der Neueinrichtung oder so. Zumal man es bei Google noch bequemer hat, denn hier kann man eine Anmeldung mittlerweile einfach per Klick in der Google-App bestätigen.
Google selber hat auch eine gute deutschsprachige Seite zum Thema 2FA, die man sich vielleicht durchlesen kann. Und wenn man sich dazu entschließt, die Bestätigung in zwei Schritten zu aktivieren, dann doch auch gleich bei allen genutzten Diensten. Wer 2FA anbietet, kann beispielsweise auf dieser Seite eingesehen werden.
Hab gestern einen Arbeitskollegen versucht von einem Passwort Manager und auch von 2FA zu überzeugen. Sein Totschlagargument war „und wenn jemand dein Masterpasswort in die Finger bekommt oder dein entsperrtes Handy?“ Nach einer Stunde hab ich es aufgegeben…
2FA nutze ich nicht weil es mir zu aufwendig ist. Dafür habe ich LastPass mit Fingerabdruckscan wobei ich für die Passwörter möglichst lange und komplizierte aussuche, da ich sie mir ja nicht zu merken brauche.
@Micha: Klar, so kann es auch laufen, aber da sind schon ein paar Dinge zusammen gekommen, die in der Konstellation sicherlich nicht so häufig vorkommen. Und wenn ich so darüber nachdenke, bei welchen Diensten ich 2FA aktiviert haben möchte, ist gerade mein Haupt-E-Mail-Account derjenige, bei dem ich das aus Sicherheitsgründen nicht mehr missen möchte.
@Axel: Die restlichen 90% nutzen ihren Google-Account oftmals gar nicht aktiv, jedenfalls nicht bewusst. Der wird häufig eingerichtet, weil es für die Einrichtung eines Android-Smartphones notwendig ist, und anschließend nie wieder benutzt. Und wenn man ein neues Smartphone da ist, wird eben fix ein neuer Account angelegt.
Ich kenne auch Dutzende Gmail-Nutzer, die seit Jahren auf dem Handy eine Session offen haben und sich gar nicht mehr an ihr Passwort erinnern, weil sich Ihr Browser das schon merkt. 2FA ist unbequem, vor allem aber ist es für sehr viele Menschen in meinem Bekanntenkreis ein absolutes Tabu, die Handynummer an Google zu geben. Sie gehen davon aus, dass 2FA ein Manöver ist, um die Daten für Werbeanrufe weiterzuverkaufen.
Passwörter, so komplex sie auch sein mögen, bringen nichts, wenn die Datenbank des Anbieters gehackt wird. Insofern ist der zusätzliche Schutz schon sinnvoll.
Ist doch wie immer: solange es keinen Vorfall gibt, ist Sicherheit immer zu lästig. Und hohle Argumente dagegen werden sowieso gefunden.
Es ist auch immer die Frage, was man mit 2FA bzw. mit einem Passwort da eigentlich absichert. Für wichtige Accounts nimmt man vielleicht 2FA und ein komplexes Passwort, aber wenn ich mich bei einem Online-Shop oder einer Webapp registrieren muss, dann ist es mir prinzipiell egal, ob jemand meinen Account kapert, dann reicht „passwort123“. Wie viele Accounts bei Google nicht wirklich wichtig sind und z.B. nur als OAuth-Account für andere Webseiten, als Spam-Mail-Adresse oder ausschließlich zum Abspeichern der Google-News-Einstellungen genutzt wird lässt sich aus der Statistik nicht rauslesen.
Der Kommentarthread hier listet (unfreiwillig) sehr gut auf, warum.
Man muss nur: Hier einstellen, dort einstellen, da einstellen. Dieses gut verwahren, das fotografieren, sich jenes merken. Bei Gerätewechsel dies, bei Geräteverlust das. Bei Geräteverkauf nicht vergessen,…jenes zu tun. Wenn man nicht aufpasst, landet das Foto vom Barcode bei Google Photos, oder die Textdatei mit dem Wiederherstellungsschlüssel in der Cloud. Wird mein Mailprovider gehackt, kann jemand Wiederherstellungsfunktionen missbrauchen. Wenn, falls, dies jenes. Und funktionieren wird es dann ohnehin bloß bei einigen Anbietern/Browsern/Sites.
Ich bin doch nicht mit dem Klammerbeutel gepudert.
Das geht doch komplett in die falsche Richtung!
Ich erwarte folgendes: Wenn ich mit dem Handy in der Hosentasche zum Rechner gehe, soll vom Bildschirmschoner über die Admin-Authentifizierung des OS bis zum Homebanking alles entsperrt sein. Und wenn ich weggehe, wieder gesperrt.
Ich will auf nix aufpassen. Weder USB-Devices noch Dateien mit Keys oder Fotos mit Barcodes.
Und dann wundert sich noch jemand über die Strategie „einfach überall dasselbe Passwort“?
@Michael
Wenn die Datenbank gehackt ist, bringt einem eine 2FA auch nichts mehr. Denn wo ist das Gegenstück/Schlüssel zur 2FA gespeichert? Richtig, in der Datenbank.
Ich habe überall wo es angeboten wird 2FA aktiviert. Denke aber auch, dass ich in der Minderheit bin. Ja, manchmal kann es etwas nerven. Aber Sicherheit ist manchmal etwas unbequemer. Sorgen, dass ich mich mal nicht mehr anmelden kann habe ich nicht. Ein zweiter Faktor geht immer. Authentifikator, SMS, E-Mail und ausgedruckte Wiederherstellungscodes. Google bietet sogar eine Sprachansage auf eine Festnetznummer an. Festnetznummern habe ich mehrere, sodass ich dafür eine separate nutzen kann. Auch habe ich noch nie Werbeanrufe oder ähnliches erhalten, die auf einen der Anbieter zurückzuführen wären.
PC „dicht“ dank BitLocker (nein, wurde noch nicht gehackt. Wer das behauptet, lügt.), ansonsten Fingerprint/PIN am iPhone. Ende. Wer dann trotzdem noch da rein kommt, ist halt ein Genie. Bislang hat es noch keiner geschafft.
Kleiner Tipp: 1Password unterstützt 2FA-OTPs(die 6-stelligen Code) und kopiert die nach dem ausfüllen einer Passwortanfrsge entsprechend direkt in die Zwischenablage, sodass man sie direkt einfügen kann. Das erleichtert den Umgang schon enorm.
Ansonsten muss man sich halt mal Gedanken machen und ein entsprechendes System überlegen, wenn man seine Accounts sicher haben will und auch an sie ran will, wenn man das Handy nicht dabei hat oder es weg ist.
Handy weg, Akku leer … sicher, kann alles passieren, aber wie wahrscheinlich ist es, dass das gerade dann der Fall ist, wenn man sich an einem neuen Gerät anmelden möchte? Klar bleibt da ein „Restrisiko“, aber wo gibt es das nicht?
Wenn es denn auch richtig unterstützt werden würde. Nette Idee, aber leider steckt der Teufel im Detail, um es unbrauchbar zu machen.
Eigentlich bräuchte ich es für meinen EA Account, aber … die generierte ID wird nicht aktzeptiert, Ergo sinnlos
Ich bin Software-Entwickler und auch ich mag 2FA von der Usability nicht gerade super. Erst seitdem ich Authy benutze und der zweite Faktor auch auf dem eigenen Rechner laufen kann (mir ist schonmal im Ausland mein Handy abgekommen) ist es einigermaßen erträglich und für die gesteigerte Sicherheit (Attacken von Außen auf den Account, nicht auf meinen Rechner!) sollte das wirklich jeder benutzen.
Handynummer an Google? oder Amazon?
Warum etwas so aufwändig sichern, indem man absolut nix gespeichert hat, was nicht auch die ganze Welt sehen dürfte?
@ClaudiaBerlin: Na wenn dir z. B. noch nicht mal dein Mailaccount wichtig ist, dann brauchst du wohl auch kein Internet.
So’n Quatsch. Wenn Du in meine Mails gucken dürftest, wärst Du nach 10 Minuten eingepennt.
„Ihre neue Telefonrechnung“, „Bringst Du bitte heute Brot und Käse mit?“ und „Ist ihre Altersversorgung noch aktuell?“.
Derjenige, der meinen IMAP-Zugang knackt, tut mir jetzt schon leid.
Ihr denkt doch aber nicht wirklich, dass es dabei nur darum geht, das Lesen von E-Mails zu verhindern, oder?