Google und Sicherheit: Erschreckend wenige Nutzer aktivieren 2FA
Viele Dienste bieten heute einen verbesserten Schutz von Benutzer-Konten an. Manche Accounts lassen sich mittels Hardware-Dongle absichern, die mittlerweile gängige Variante im Bereich der normalen Anwender ist die so genannte Zwei-Faktor-Authentifizierung. Hier muss der Nutzer an neuen Geräten nicht nur seinen Nutzernamen und sein Passwort eingeben, sondern meistens eine „One Time Password“.
Ein Zahlencode, der per SMS zugeht oder standardisiert aus einer App wie Authy, dem Google Authenticator oder dem Passwort-Manager selber. Hat ein Angreifer Nutzernamen und Passwort, so kann er dennoch nicht ins Konto eindringen, weil der besagte Code fehlt.
Ich habe in den letzten Jahren bei allen Diensten, die die so genannte 2FA anbieten, diese auch aktiviert, zudem im Blog des Öfteren darauf hingewiesen, wenn Dienste diese zusätzliche Sicherheitsmöglichkeit anboten.
Nun gab Google mal interessante Einblicke, auf der Konferenz Enigma 2018 sprach man über Sicherheit und wie die Nutzer darauf anspringen. Die Zahlen sind enttäuschend. Unter 10 Prozent aller Google-Konten wurden von den Betreibern mittels 2FA zusätzlich geschützt. Nebenbei verwies er auf eine Studie von 2016, die besagt, dass nur 12 Prozent der US-Amerikaner einen Passwort-Manager nutzen.
Pretty brutal numbers in this Google talk about authentication at #enigma2018:
-67 million valid Google credentials found in breaches
-less than 10% of active Google users have 2FA— kate conger (@kateconger) January 17, 2018
Gründe gegen die aktivierte 2FA? Ich denke, das ist auf der einen Seite Unwissen der Nutzer, auf der anderen Seite auch eine Usability-Geschichte. Nutzer finden es vielleicht kompliziert oder aufwendig. Dabei sind im besten Falle ja nur die eigenen Geräte ab und an mal dran, nach einem zweiten Faktor zu Fragen, bei der Neueinrichtung oder so. Zumal man es bei Google noch bequemer hat, denn hier kann man eine Anmeldung mittlerweile einfach per Klick in der Google-App bestätigen.
Google selber hat auch eine gute deutschsprachige Seite zum Thema 2FA, die man sich vielleicht durchlesen kann. Und wenn man sich dazu entschließt, die Bestätigung in zwei Schritten zu aktivieren, dann doch auch gleich bei allen genutzten Diensten. Wer 2FA anbietet, kann beispielsweise auf dieser Seite eingesehen werden.
Ich nutze überall 2FA, habe aber Angst vor dem Vorfall, den @Micha beschreibt.
@Henk: für dich scheint es nur Google-Mail zu geben. Ich aber nutze immer schon Mail über selbst gehosteten Webspace/eigene Domain und zusätzlich einen deutschen Anbieter.
Schon irre, dass dein Internet nur aus Google besteht!
Kein Wunder – wer will GOOOGLE immer zusätzlich noch seinen aktuellen Standort mitteilen bzw.mit stillen SMS bombardiert werden bzw. seine WLAN Umgebung gleich mit ausspionieren lassen???
2FA kann nervig sein, je nachdem, zu welchen Gelegenheiten man abgefragt wird. Wenn jeder Login per Google App abgesegnet werden muss und man das bei dutzenden Logins eingerichtet hat, macht es nicht mehr viel Spass, sich im Netz zu bewegen, weil man ständig mit dem Handy rumfuchteln muss. Und wie hier sehr treffend bemerkt, wenn mal was ist mit dem Handy, steht man dumm da und hat u.U. eine Menge Ärger oder hat sich sogar ganz ausgesperrt. Ich hatte einen CEX Account mit 2FA, das dummerweise vergessen, Handy zurückgesetzt und verkauft, und dann Jahre später…. nichts geht mehr. Es hat Monate gedauert, bis ich wieder in mein Konto kam. Und das hätte auch schief gehen können. Angenommen, da hätten ein paar Bitcoins gelegen…. Aber ja, 2FA ist ja so toll… Im Passwort-Manager stapeln sich schon mehr als 700 Login Daten…. ein paar Passwörter sind mittlerweile auch geleakt worden…. Und die Sicherheitsmaßnahmen steigen immer weiiter…. Um zB Apple ME Mails mit einem Mail-Client unter Windows, Android, Linux abzurufen, MUSS 2FA aktiv sein. Ich kann noch immer nicht fassen, dass das so ist. Das ganze Sicherheitsthema artet immer mehr aus. Auf manchen Exchange Seiten muss mittlerweile 2FA, Email Check, PIN, Master Passwort und SMS Check eingerichtet sein und selbst dann kann es sein, dass man nochmal extra mit Cam / Ausweis geprüft wird…. Es geht immer weiter so, bis wir uns irgendwann vor lauter Verzweiflung die Chips in den Körper schießen lassen, nur um endlich unsere Ruhe zu haben.