Google Authenticator: Doppelte Sicherheit gegen Datendiebe
Neue Google-Konten bestehen auf eine Anmeldung in zwei Schritten. Dabei reicht ein Login per Benutzername und Passwort allein nicht mehr aus. Zusätzlich müsst ihr Eure Identität mit einem Code aus einer Bestätigungsnachricht verifizieren. Der Google Authenticator soll dabei helfen. Wir geben Euch Tipps und Tricks zu Googles Sicherheitswerkzeug.
Google hat beschlossen, dass ein Login mit Benutzername und Passwort allein nicht sicher genug ist. Neue Accounts werden daher standardmäßig zusätzlich mit einem Bestätigungs-Code geschützt. Diesen könnt Ihr über eine praktische App namens Google Authenticator beziehen.
Für die Einrichtung müsst Ihr zunächst die Website zur Verwaltung der Zwei-Faktor-Authentifizierung aufrufen. Im Bereich Primäre Methode zum Erhalt von Codes seht Ihr das Logo des Google Authenticators. Klickt auf Zu App wechseln, um mit der Einrichtung zu beginnen.
Was sind die Vorteile des Google Authenticators?
Der Google Authenticator arbeitet komplett offline. Im Gegensatz zur Bestätigungs-SMS könnt Ihr den Google Authenticator auch auf Geräten ohne SIM-Karte verwenden oder Bestätigungs-Codes abrufen, wenn Ihr nicht mit dem Telefonnetz verbunden seid. Das ist im Ausland oder in Regionen ohne Handynetz wichtig.
Wie wechsle ich zum Google Authenticator?
Nachdem Ihr im Web-Interface auf Zu App wechseln geklickt habt, erscheint der Einrichtungsassistent. Dieser erläutert Euch Schritt für Schritt, wie Ihr die Authenticator-App bekommt und wie Ihr den 2D-Code einscannt, um die Installation fortzusetzen. Vergesst nach dem erfolgreichen Einscannen nicht, den ersten generierten Code auf dem Computer einzutippen. Es kann vorkommen, dass Ihr danach auf dem Computer ausgeloggt werdet.
Der Google Authenticator wird auch als Android-Wear-App installiert. Er zeigt Euch die Bestätigungs-Codes am Handgelenk an. Falls Euch das zu unsicher ist, könnt Ihr die Smartwatch-Codes in der Authenticator-App deaktivieren.
Was passiert, wenn ich das Gerät mit dem Authenticator verliere?
Bereitet Ihr Euch darauf nicht vor, kann es schwierig werden. Ihr müsst Euch gleich nach der Einrichtung der Bestätigung in zwei Schritten darauf vorbereiten, wenn Ihr das Bestätigungsgerät verlieren solltet. Google richtet sogenannte Ersatz-Codes für Euch ein, die Ihr dringend mehrfach ausdrucken und sicher verwahren solltet. Sie dienen als Plan B, wenn das Smartphone mit den Bestätigungs-Codes nicht einsatzbereit oder verfügbar ist.
Besonders praktisch sind die Backup-Codes, nachdem Ihr Euer Smartphone verloren habt. Denn wenn Ihr Euer verlorenes Smartphone mit dem Android-Gerätemanager finden wollt, darauf aber die Bestätigungs-Codes liegen, gibt es keine Möglichkeit, Euch damit zu verifizieren.
Habt Ihr keine Backup-Codes dabei, müsst Ihr einen Wiederherstellungs-Assistenten starten. Der damit verbundene Aufwand dauert laut Google drei bis fünf Werktage.
Google Authenticator in anderen Webdiensten
Nicht nur Google selbst nutzt den Google Authenticator. Ihr könnt die App auch für den Cloud-Speicher Dropbox und weitere Webdienste verwenden. Auch seid Ihr nicht auf den Google Authenticator als App für zweistufige Überprüfung angewiesen. Das verwendete Time-based One-Time Password (TOTP)-Protokoll findet sich auch in anderen Apps wieder, etwa in AWS Virtual MFA oder in Duo Mobile.
Kann ich die Bestätigung in zwei Schritten deaktivieren?
Ja, in Eurem privaten Google-Konto könnt Ihr die Bestätigung in zwei Schritten jederzeit wieder deaktivieren. Ein kleiner grauer Button unter dem Sicherheitsstatus Eures Google-Kontos ist mit Deaktivieren beschriftet. Erstaunlicherweise erfordert dieser Schritt keine weitere Bestätigung.
Fazit
Die Bestätigung in zwei Schritten ist einfach einzurichten und lohnt sich. Durch die zahlreichen Phishing-Angriffe per E-Mail oder gefälschte Werbung gelangen Eure Zugangsdaten schnell in die falschen Hände. Eine zweite Hürde erschwert es Passwortdieben, auf Eure Daten zuzugreifen.
Die Backup-Codes schützen Euch davor, dass Ihr Euch mit den erhöhten Sicherheitsrichtlinien selbst aussperrt. Deshalb können wir die Zwei-Faktor-Authorisierung uneingeschränkt empfehlen.
Ich nutze den Authenticatir schon seit über 2 Jahren & muss sagen, dass das echt praktisch & sicher ist.
Erst beim letzten Kommentar danach gefragt, und schon macht Ihr es, Kompliment! (Obwohl das Eine mit dem anderen nichts zu tun hat, ich weiß :-))
Wer eine Motivation für die "Bestätigung in 2 Schritten" braucht:
www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
Seitdem ich das gelesen habe, setze ich sie ein.
Inzwischen habe ich schon mehrfach sowohl Smartphone, Desktop PC und auch den Vertrag (und damit die Telefon-Nummer) gewechselt. Geht alles problemlos, wenn man sich seine Notfallcodes ausdruckt, ein anderes Endgerät (oder noch besser mehrere) hinterlegt. Das kann auch ein Festnetztelefon sein, dann bekommt man seinen Code durchgesagt. Man sollte sich aber schon die Zeit nehmen, das ordentlich zu machen, also alles durchlesen und die Anweisungen exakt befolgen.
Sicherheitsprobleme sehe ich keine, jedenfalls nicht technischer Art. Die Algorithmen sind die gleichen, die TAN- Nummern für Banktransaktionen erzeugen oder in den Hardware Token z.B. von RSA, die viele Leute benutzen, um sich in die Firma einzuwählen.
Inzwischen bieten auch andere die Nutzung des Google Authenticator an. DiscStations von Synology z.B., wie hier ein Vorredner schon geschrieben hat. Ich habe es auf meinen beiden Synology Discstations auch schon über ein halbes jahr in Benutzung. Ich hoffe, der Trend setzt sich fort.
wenn ich bei der app solche rezensionen lese. nein danke: "Wegen dieser App spinnt jetzt mein google play store und ich komm nicht mehr rein. bei der Anmeldung bricht er jedes mal ab
Nun, vielfach liegt es einfach auch an den Usern selbst, wenn sie mit einer App nicht zufrieden sind und eine schlechte Bewertung abgeben. Teilweise wird nämlich im Beschrieb der App nicht gelesen, wie z.B. die App zu handhaben sei, was für Voraussetzungen für die Funktionalität gegeben sein müssen, welche Einstellungen in Android zusätzlich getätigt werden müssen usw. Aber ja den Fehler nie zuerst bei sich selbst suchen ;)
da muss ich dir recht geben aber riskieren das ich nicht mehr in mein Konto komme möchte ich denn doch nicht.ein guter Entwickler gibt auf eine solche Rezension eine Antwort fehlt diese sagt mir das das sich um diese app niemand mehr kümmert.
Das letzte Update war im November. Da die APP tut was sie soll bedarf es nicht wirklich tägliche Updates. Ich hatte vor Jahren auch das Problem das mein Handy sich nicht anmelden konnte. Das war aber noch ein 2.3 Android. Für Programme die den Weg nicht können, kann man sich extra Passwörter erstellen die dann nur mit dem Programm funktionieren.
Ich geh lieber das Risiko ein ein paar Tage mal nicht auf den ACC zugreifen zu können, als das 3. den ACC missbrauchen. Mit den 10 Notfallcodes und der Ersatztelefonnummer ist das Risiko fast Null.
@markus riedberger:
Ich verstehe Deine Skepsis, doch die App, wenn man sie korrekt eingerichtet hat, funktioniert stets zuverlässig und verschafft tatsächlich einen Sicherheitsgewinn gegen Accounthacker.
Das von Dir aus der Rezension zitierte Verhalten rührt offenbar daher, dass jemand die Ersteinrichtung der App nicht korrekt abgeschlossen hat und dann eben erst mal vor "verschlossener Tür" stand...
Nach allem, was ich bisher von Dir lesen konnte, bin ich mir sicher, dass Du solche Probleme nicht befürchten musst.
2pass habe ich schon lange in Verwendung. Nutze es auch auf Dropbox, NAS, Facebook und Google. Die Authentifizierungsapp funktioniert perfekt. Ist die App mal nicht verfügbar, dann kann ich mir den Code auch auf ein Handy meiner Wahl senden lassen.
Und nächste Woche lesen wir dann hier das es eine Sicherheitslücken gibt und man es vorsichtshalber deaktivieren soll. TOLL !
*facepalm*
Habe ich seit gestern für die Anmeldung auf meinem NAS im Gebrauch. Funktioniert super ☺
nutze ich schon seit 2 jahren, bei verlust des pw´s muss man nicht zwingend die ersatz codes nehmen. Man kann auch eine zweite nummer hinterlegen z.b. vom lebenspartner das geht dann fix per sms :)
Guter Tipp!
dann solltet ihr den Artikel umschreiben.