Mehr Sicherheit: Facebook mit dem Google Authenticator nutzen
Bereits letztes Jahr berichtete ich hier über die Möglichkeit, Facebook zweistufig abzusichern. Hierbei wird zusätzlich zum Passwort ein Sicherheitscode abgefragt, der auf ein Mobilgerät gesendet wird. Diesen Vorgang müsst ihr nur einmal an euren Geräten durchführen.
[werbung]
Der Grund für den Einsatz dieser Sicherheitsmöglichkeit sollte klar sein: niemand kann sich in euren Account einloggen, selbst wenn er euer Passwort hätte. Vor einem Jahr gab es noch nicht die Möglichkeit, den Code via Authenticator-App zu generieren, bislang gab es nur die Variante des Codes per SMS oder über einen Code, der innerhalb der Facebook-App im Code-Generator angezeigt wurde.
Hat man diese Sicherheitsfunktion aktiviert, dann kann man aber auch ganz einfach den Google Authenticator nutzen, denn vielleicht wünscht man sich alle Codes an einer Stelle.
Bei bereits eingerichteter doppelter Sicherheit „der alten Art“ ist die Vorgehensweise einfach. Man begibt sich in die Sicherheitseinstellungen von Facebook und sucht dort den Code Generator auf. Hier wählt man aus, dass man eine andere Art möchte, die Sicherheits-Codes zu erhalten.
Klickt man diesen Punkt an, dann bekommt man einen QR Code, den man mit der Google Authenticator-App scannen kann. Diesen, über die App generierten Code, müsst ihr fortan immer zusätzlich an Geräten zusätzlich zum Passwort eingeben, an denen ihr noch nicht authentifiziert wart.
Als Alternative zur Google Authenticator-App unter iOS empfehle ich HDE OTP. Interessant finde ich übrigens Kommentare, die bei vergleichbaren Beiträgen zur doppelten Sicherheit bei Google, Dropbox, Microsoft, Evernote und Co abgegeben wurden. Hier wird immer argumentiert, dass die Einrichtung und die Nutzung zu kompliziert sei, sodass man eben nicht die gebotenen Sicherheitsmöglichkeiten nutzt. Ich persönlich finde den Aufwand nicht hoch und die verbesserte Sicherheit ist es mir einfach wert.
Sehr gute Idee von Facebook.
Irgendwie vertraue ich Google allerdings fast so wenig wie Facebook, warum auch immer. Hat nichts mit den Snowden-Enthüllungen zu tun und war auch nicht schon immer so.
Beobachtet jemand das selbe Phänomen?
Mal eine etwas abweichende Frage: Wie funktionieren eigentlich Tools wie der Google Authentificator? Ich meine, woher weiß die jeweilige App, welcher Code gerade auf meinem Display steht? Oder woher „weiss“ die App, für welchen Login gerade dieser Code benötigt wird?
@Luca: http://de.wikipedia.org/wiki/Einmalkennwort (engl. OTP) ist das Verfahren.
Ich finde die Nutzung auch umständlich, aber auf jeden Fall den Aufwand wert bei vielen Diensten. Und da ich Facebook nie meine Handynummer geben wollte (haben sie zwar leider ohnehin, aber das Prinzip zählt), kann ich das jetzt endlich auch absichern.
@sutadur Im QR-Code ist ein Schlüssel versteckt, zusammen mit der aktuellen Uhrzeit können dann Codes (die 6-stellige Zahl) erzeugt werden. Das wird auf beiden Seiten (bei dir in der App und auf dem Server gemacht), wenn die Uhrzeit und der Schlüssel stimmen kommt der gleiche Code raus.
Hier nochmal mit Pseudocode zum Google Authenticator: http://de.wikipedia.org/wiki/Google_Authenticator#Pseudocode
Kann es sein, dass das nicht funktioniert wenn man Facebook in einer anderen Sprache nutzt?
Alles klar, hat sich erledigt. Jetzt gehts. Danke für den Tipp.
Habe schon ewig vor dass für alle meine Konten einzurichten. Jetzt habe ich es endlich gemacht. Danke für die Anleitung und die vielen reminder hier im Blog 😉
Cool, da ich den schon für meinen Blog nutze, werde ich Facebook auch gleich darauf umstellen, dann macht die App auf meinem Smartphone gleich noch mehr Sinn.
Gibt es eigentlich irgendwie die Möglichkeit, den Authentificator auf dem Smartphone und dem Tablet einzusetzten? Also so, dassich wenn ich im Browser nach einem Code gefragt werde diesen sowohl vom Smartphone, als auch vom Tablet ablesen könnte?
nur durch zweimalige Einrichtung, leider
@ Holzkopf: Dann musst du einfach den QR Code sowohl mit dem Smartphone als auch dem Tablet abscannen.
Eine Möglichkeit ist auch jeweils einen Screenshot zu machen wenn der QR Code angezeigt wird und diesen dann an einem sicheren Ort abzuspeichern. Dann hat man gleichzeitig auch ein „Backup“ falls man mal ausversehen den Authenticator deinstallieren sollte oder das Handy verliert
Funktioniert auch mit dem Microsoft Authenticator für Windows Phone! Gerade ausprobiert.
Arbeiten beide wohl nach RFC 4226.
@caschy Weil du HDE OTP empfiehlst … hast du schon mal Authy getestet? Sieht eigentlich auch ganz vielversprechend aus. Ist halt die Frage, wie vertrauenswürdig die beiden Apps sind.
Funktioniert nur leider nicht wirklich das Ganze.
Der QR-Code wurde gescannt, Facebook sagt es hat geklappt, im Google Authenticator hab ich jetzt ein weiteres Konto – eben Facebook – kann mich jedoch normal mit meinem Passwort einloggen, ohne dass der vom Authenticator generierte Code abgefragt wird.