Google: Aber sicher mit Bestätigung in zwei Schritten

Unser digitales Leben ist an Passwörter gebunden. Überall muss man eines eingeben. Diese Zugänge können wichtig oder eben weniger wichtig sein. Allerdings ist der Schutz mit eMail Adresse und Passwort auch einer Gefahr ausgesetzt – den bösen Hackern. Das Horroszenario schlecht hin, ein Hacker bekommt Zugriff auf euer eMail Konto und kann damit dann fleissig bei anderen Diensten eure Passwörter zurücksetzen. Der Ärger der daraus resultiert, könnt ihr euch sicherlich vorstellen.

Jetzt sagt ihr, kann mir nicht passieren, denn ich benutze ein sicheres Passwort. Euer sicheres Passwort besteht aus Buchstaben, Zahlen und Sonderzeichen und ist mindestens 12 Stellen lang und natürlich setzt Ihr dieses sichere Passwort nur EINMAL ein und bei jedem Dienst ein anderes sicheres Passwort. Aber neben einem sicheren Passwort, ist es ein gutes Gefühl zu wissen selbst WENN euer Passwort rauskommen würde, dass der Dieb damit nichts anfangen kann – zumindest wenn ihr Bestätigung in zwei Schritten einsetzt.

Google bietet diese Möglichkeit schon sehr lange an. Dropbox (exakte Vorgehensweise hier noch nicht bekannt) wird es in Kürze ebenfalls anbieten. Ich kann diese zusätzliche Sicherheit nur empfehlen!

Was ist Bestätigung in zwei Schritten überhaupt?

Dafür zitiere ich einfach Mal Google direkt

Neben Ihrem Nutzernamen und Ihrem Passwort geben Sie außerdem einen Code ein. Diesen Code sendet Google Ihnen per SMS oder Sprachmitteilung im Verlauf der Anmeldung zu.

 

Durch die Bestätigung in zwei Schritten verringert sich deutlich das Risiko eines Diebstahls der personenbezogenen Daten in Ihrem Google-Konto. Warum? Hacker benötigen dann nicht nur Ihr Passwort und Ihren Nutzernamen, sondern auch Ihr Telefon.

Neben der Möglichkeit einer SMS oder Sprachanruf gibt es auch für diverse Mobiltelefone einen kostenlosen Google-Authenticator.

Und was bedeutet das nun?

Melde ich mich z.B. an einem fremden Rechner bei GMAIL (oder einer der anderen Google Dienste) an, verlangt Google nach der eMail Adresse und dem (sicheren) Passwort einen Code – erst durch diesen Code gelangt man in das GMAIL Account. Man kann beim Login entscheiden ob sich Google diesen Computer 30 Tage lang merken soll, oder wenn ihr bei einem Bekannten seit nur für die Session die gerade läuft.

Ein Hacker der also euren Zugang und Passwort für Google hat, kann letztendlich ohne den Code nichts damit anfangen.

Aber was ist mit Mobile-Apps?

Natürlich kann das Code-Abfrage Fenster nur in einem Webbrowser angezeigt werden. Was also tun wenn ihr eine App auf eurem Telefon einsetzt die nur euer Google Adresse und Passwort verlangt?

Auch hier hat Google vorgesorgt und bietet sogenannte Anwendungsspezifischen Passwörter (versuch das 5 mal schnell hintereinander zu sagen!) an. Diese Passwörter generiert ihr auf der dafür bereitgestellten Website.

Mein Mobiltelefon ist weg, was nun?

Da euer Mobiltelefon nun der Schlüssel zu eurer Google-Welt ist, was tun wenn ihr dieses vergessen habt, oder noch schlimmer es wurde euch geklaut?

Kein Problem – nachdem ihr die Bestätigung in zwei Schritten aktiviert habt druckt ihr euch eine Liste mit Ersatzcodes aus. Diese bewahrt ihr aber BITTE nur zuhause oder an einer sicheren Stelle auf und nicht im Geldbeutel. Mit diesen Ersatzcodes könnt ihr euch wieder anmelden und z.B. die Bestätigung in zwei Schritten wieder abstellen, bis ihr ein neues Telefon habt.

Fazit

Google (und einige andere Dienste) machen es vor. Two-Factor Verification ist ein Schritt in die richtige Richung und ich würde mir wünschen das viel mehr Dienste diese Möglichkeit anbieten würden. Speziell im Onlinebanking Bereich wäre es extrem sinnvoll.

Bitte bewerte diesen Blog-Artikel. Dankeschoen!

Bewertung 3 Sterne aus 4 Meinungen

17 Kommentare » Schreibe einen Kommentar

    • Ja, das stimmt. Ist mir zwar nie selber passiert aber man sollte sein Mobilgerät dabei haben ;-)

      Ich persönliche mache immer den “iPhone, Schlüssel, Kippen und Geldbeutel Check) bevor ich das Haus verlasse. Wobei ich auf Schlüssel, Kippen und Geldbeutel verzichten kann – aber NIE das iPhone wenn ich unterwegs bin *g*

  1. Für das Vergessen des Handys gibt es ja die Möglichkeit sich ein paar Extra-Codes auszudrucken. Die kann man dann immer mal in der Laptoptasche/Geldbeutel haben und ist ohne Handy nicht direkt aufgeschmissen.

  2. Ich bin noch immer am Überlegen, ob ich mir das antun will.
    Wie lange hast du es schon im Einsatz?

    • Seit ca. einem Jahr wenn ich mich richtig erinnere, kann aber noch länger sein. Da man an seinem Google Account so ziemlich viele Dienste (Analytics, YouTube, Docs, etc.) hängen hat ist mir diese zusätzliche Sicherheit den extra Schritt (den man am lokalen Rechner ja nur alle 30 Tage einmal macht) es definitiv Wert.

      • habs auch seit Google+ am Laufen, vorher mal sporadisch getestet

    • ich habe es seit knapp einem halben Jahr im Einsatz. Es lohnt sich allein für die größere Sicherheit schon! Der Umweg über SMS oder App stört nicht!

  3. Hallo Bernd,

    Danke für den Tipp! Das kannte ich dort noch nicht! Ist jedoch bei vielen Onlinespielen auch möglich und Safe. Kann ich mir das also fast so vorstellen wie den Battle.net Authenticator?

  4. Pingback: Wochenrückblick KW31/2012 » koblow.com

  5. Ich benutze zwar nicht mehr so viele Dienste bei Google, habe das jetzt aber endlich mal eingerichtet. Danke für den ausführlichen Artikel und den symbolischen “Tritt in den Hintern” :)

  6. Hallo,
    zunächst: schöner Artikel!
    Auch ich nutze den Dienst seit einigen Wochen und habe jetzt etwas festgestellt, dass mich ewtas stutzig macht: Der Absender der SMS (die mir den Bestätigungs-Code nennt) wechselt!?! Ich bekomme diese SMS nun auch schon von normalen deutschen Handy-Nummern als Absender. Nicht immer, dann auch nicht immer von der gleichen!?! Kannst du mir / kann mir hier irgendjemand verraten ob das bei euch auch so ist und im Idealfall auch noch warum?
    Gruß Michael

    • Ich kann nur soviel sagen, bei mir kamen die SMS immer von einer ausländischen Nummer. Seit ich auf die Google Authenticator App umgestellt habe erhalte ich allerdings keine SMS mehr (da die App erst einmal benutzt wird). Ich denke es wird etwas mit der “Last” auf dem System zu tun haben, je nachdem welches frei ist wird von dort aus die SMS geschickt, wie gesagt nur eine Vermutung.

  7. Pingback: 2-Wege-Login für WordPress per Google Authenticator Plugin | Acky