Bestätigung in zwei Schritten: Zusätzliche Sicherheit über Google Prompt wird zum Standard
Wer Wert auf die Sicherheit seiner Daten und des Google-Accounts Wert legt, der sollte die Bestätigung in zwei Schritten aktivieren bzw. längst nutzen. Google bietet verschiedene Möglichkeiten für diesen zweiten Login-Schritt, ändert nun aber die standardmäßig verwendete Methode. Statt auf SMS setzt man nun auf die Prompt-Methode, die nicht nur sicherer sondern auch viel komfortabler ist.
Die Bestätigung in zwei Schritten funktioniert ganz einfach: Man loggt sich mit seinem Benutzernamen und dem Passwort in den Google-Account ein und bekommt anschließend noch einen dritten Schritt dazwischen geschoben. Dieser besteht darin, dass man auf einem anderen Gerät bestätigen muss, dass man sich tatsächlich einloggen möchte. Das ist zwar auch keine 100%ige Sicherheit, sorgt aber dafür, dass ein einfacher Passwortklau oder Hack nicht mehr den Zugriff auf den Account erlaubt.
Die beiden populärsten Methoden für diesen Login sind der Versand einer SMS mit einem PIN-Code oder die Prompt-Methode. Diese wurde bereits letzten Sommer eingefüht und funktioniert ohne zusätzliche App auf jedem Smartphone. Möchte man sich mit seinem Google-Account einloggen, bekommt man unmittelbar danach eine Abfrage auf dem Smartphone, ob man diesen Login zustimmen möchte oder nicht. Mit einem Touch auf JA geht es direkt weiter, mit einem Touch auf NEIN wird der Vorgang abgebrochen.
Schon seit einigen Monaten versucht Google die SMS-Nutzer von der Prompt-Methode zu überzeugen, und jetzt geht man den nächsten Schritt. Während bisher die Textnachricht Standard war, ist nun die App-Version zum Standard erklärt worden. Alle Nutzer haben auch weiterhin die Möglichkeit sich eine Methode auszusuchen, wer aber diesen zusätzlichen Schritt einfach nur einrichtet ohne sich weitere Gedanken zu machen, bekommt nun eben den Prompt statt die SMS.
Bestehende Nutzer sind von der Änderung nicht betroffen, Google dürfte aber wohl auch in Zukunft weiter sanften Druck ausüben um die Nutzer von der modernen und sicheren Methode zu überzeugen.
Der Grund für die Abwertung der SMS-Methode liegt vor allem in Sicherheitsbedenken. Laut Google können SMS einfacher abgefangen und mit den Codes Unheil angerichtet werden, als durch die einfache Abfrage mit den zwei Buttons. Diese kommt direkt über die Play Services und steht so unter der vollen Kontrolle von Google. Ein anderer Grund dürften aber wohl auch die Kosten oder die nötige Infrastruktur zum Versand der SMS sein.
Die Prompt-Methode funktioniert auf allen Android-Smartphone über die Play Services und benötigt keine zusätzliche App. Auf dem iPhone kommt dafür die Google-App zum Einsatz, die wohl auch >90 Prozent aller Nutzer installiert haben – so kann man sagen, dass es keine zusätzliche App benötgt.
Tatsächlich gibt es auch noch zwei weitere Methoden: Nämlich der Login über einen physischen Hardware-Stick oder gar über ausgedruckte TAN-Nummern, wobei diese Methode aber wohl die unsicherste von allen ist.
Erst vor wenigen Tagen hat Google auch das Advanced Protection Program eingeführt, mit dem man den Account zusätzlich absichern kann, dafür aber auch auf einigen Komfort und Freiheiten verzichten muss.
» Bestätigung in zwei Schritten aktivieren
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Hm, das liegt wohl eher weniger an der „unsicheren“ SMS, sondern eher an der vergleichsweise teuren SMS im Vergleich zur komplett internen und damit kostenlosen Lösung.
Irgendwie ist das alles für mich noch immer nicht tauglich, denn mein Hauptproblem wird damit nicht gelöst: Der Verlust des Smartphones
Hypothetisch: Geht mein Android verloren oder wurde gestohlen, bin ich im Normalfall unterwegs und nicht zu Hause. Um es dann schnellstmöglich zu lokalisieren und/oder zu löschen, müsste ich mich also unterwegs von einem fremden Rechner auf mein Google Konto anmelden, um den Zugriff zu erlangen… nur wie denn, wenn ich die Bestätigung nur geben kann, wenn ich das Smartphone dabei habe?
Und aus diesem Grund nutze ich weder den Weg über SMS noch werde ich die neue Variante einsetzen.
Das Risiko, dass das Smartphone verloren geht ist im Normalfall überdurchschnittlich höher, als ein unerlaubter Anmeldeversuch.
Wenn du als zweiten Faktor die Authenticator-App verwendest und die Notfall-Codes in der Geldbörse mitführst, kannst du dich im Notfall auch unterwegs ohne Smartphone einloggen.
Es gibt auch noch den Google Authenticator. Und den werde ich weiter benutzen, zumal es inzwischen eine ganze Menge anderer Seiten (angefangen bei Amazon, aufgehört bei meiner Synology NAS Box), bei der man den Authenticator out of the box nutzen kann. Und es gibt auch ein PAM Modul, womit man jedes Linux System nocch zusätzlich absichern kann.