Android Messages: SMS-App erkennt Zwei-Faktor-Codes und vereinfacht deren Nutzung
Seit Jahren wird gepredigt, dass die Menschen sichere Passwörter verwenden sollen, unterschiedliche Passwörter verwenden sollen und am besten auch noch bei allen wichtigen Diensten die Zwei-Faktor-Authentifizierung aktivieren sollen. Bei letztem greifen viele Dienste auf die Zustellung eines PIN-Codes per SMS zurück, was zwar relativ sicher, aber nicht komfortabel ist. Googles SMS-App Android Messages hat nun eine kleine Verbesserung bekommen, mit der zumindest letztes etwas gesteigert wird.
Erst vor einigen Tagen wurde die Version 3.2 von Android Messages ausgerollt, die sowohl an der Oberfläche als auch unter der Haube einige Verbesserungen mitgebracht hat. Neben der Linkvorschau wurde nun noch eine weitere Verbesserung entdeckt, die vor allem den Nutzern zugute kommt, die sich häufig bei Diensten einloggen, die zur Zwei-Faktor-Authentifizierung noch auf die SMS setzen.
Die Zwei-Faktor-Authentifizierung funktioniert normalerweise nach folgendem Prinzip: Der Nutzer gibt seine Zugangsdaten und das Passwort ein, loggt sich dann ein und muss als zweiten Sicherheitsschritt einen Code eingeben oder eine Bestätigung auf einem anderen Gerät abgeben. Wenn der zweite Schritt aus einer SMS besteht, dann muss diese im Normalfall erst geöffnet, der Code gemerkt und dann an anderer Stelle auf dem Smartphone oder im Computer wieder eingegeben werden.
Android Messages macht das nun leichter: Die 2FA-SMS werden nun automatisch erkannt und der Code etwas anders behandelt: Direkt in der Benachrichtigung wird als zusätzlicher Aktions-Button das Kopieren des Codes angeboten, so dass er direkt wieder in einer anderen App eingefügt werden kann. Aber auch wenn man den Code auf einem anderen Gerät eingeben muss, profitiert man von der Änderung, denn der Code wird direkt im Titel des Buttons angegeben.
Viele Dienstleister neigen leider dazu, den Code selbst erst an das Ende der SMS zu schreiben, so dass bei eingeklappter Benachrichtigung häufig nur der Text, aber nicht der wichtige Code sichtbar ist. Diese neue Lösung kann das nun komfortabler lösen. Der Button erscheint übrigens auch direkt in der Konversation, so dass auch an dieser Stelle das Abtippen entfallen kann.
Android Messages ist bei weitem nicht die erste App, die eine solche Lösung anbietet, aber die erste aus dem Hause Google. Revolutionär ist das jetzt zwar nicht, aber dafür kann man sich doch einiges an Zeit ersparen. Da ich selbst einige solcher Dienste mit SMS-Authentifizerung häufig nutze, freue ich mich auf diese Verbesserung. Funktioniert übrigens auch genau so gut beim Onlinebanking.
Natürlich gibt es komfortablere Lösungen wie den Google Authenticator und andere Produkte der gleichen Sorte oder für den Google-Account auch die integrierte Lösung über die Play Services. Dennoch wird es wohl noch eine lange Zeit dauern, bis die SMS-Lösungen bei allen Diensten abgestellt werden. Damit würde dann vermutlich bei den meisten Nutzern auch das letzte Einsatzgebiet der SMS sterben – und das ist ja auch nichts schlechtes 😉
» Alle Artikel rund um Googles Bestätigung in zwei Schritten
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Ich finde es nicht gut, dass Google dieses „Feature“ anbietet.
Zum einen ist SMS als 2FA unsicher. (Für Details bitte googeln, ich konzentriere mich in diesem Kommentar auf anderes). Selbst Google entfernt sich von SMS 2FA und pusht die Promt Variante via App.
Sollte der 2FA-Code auf dem selben Gerät in einer App genutzt werden, wo auch die SMS empfangen wurde, bietet sich Google’s SMS Retriever API ([0]) an. Damit bekommt die App automatisch den Code aus der SMS ohne Zugriff auf die SMS haben zu müssen.
Wird der 2FA-Code auf einem anderen Gerät benötigt soll man halt schnell die SMS öffnen. Bei entsperrtem Gerät reicht schon ein Klick auf die Notification und man sieht die SMS mit dem Code.
Ich weiß nicht, ob der Notificationbutton mit dem Code auch bei gesperrtem Gerät angezeigt wird, aber ich hoffe mal nicht. Es hat schon seinen Sinn, dass in der SMS der Code ganz hinten steht. Denn so sieht man nicht den Code in der Notification auf einem gesperrten Gerät und ein Smartphonedieb kann nicht einfach alle Accounts des Opfers wo SMS-2FA genutzt wird kapern.
Es ist für mich völlig unverständlich, dass Google diesen Schritt unternimmt. Dadurch, dass SMS-2FA dadurch nun komfortabler ist, sehen Unternehmen evtl. davon ab andere 2FA Möglichkeiten als SMS anzubieten.
Auch finde ich es schade, dass Google seine SMS Retriever API nicht bewirbt. Zwar nutzen Apps wie Telegram X und Authy diese API für die Registration, aber WhatsApp und viele andere Apps nicht.
Google sollte sich darauf konzentrieren die API zu verbreiten, damit weniger Apps Zugriff auf SMS haben wollen. Netter Nebeneffekt ist, dass die SMS-2FA/-Code Eingabe viel komfortabler wird.
[0] https://developers.google.com/identity/sms-retriever/overview