Zweistufiger Login macht Google-Dienste sicherer

Google hatte im Februar einen zweistufigen Login eingeführt, mit dem die Sicherheit der zahlreiche Web-Angebote des Suchmaschinenbetreibers verbessert werden soll. Nun steht diese Funktion in 40 Sprachen und über 150 Ländern zur Verfügung, heißt es ... mehr... Google Google

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
...und gleichzeitig erfährt Google meine Handynummer. Das finde ich nicht berauschend!
 
@Gizmor575: Stoert Android User sicher nicht :) und in einer Zeit von Whatsapp braucht man sich vor der Preisgabe von Handynummern bestimmt nicht fuerchten. Da Laed eh jeder sein Telefonbuch auf den Server
 
@Gizmor575: ...wer so denkt, sollte nicht mal einen Google Account haben.
 
@Gizmor575: damn right! Google kauft ja auch Handys etc. aber ein Schelm wer böses dabei denkt. Die Daten die sie auf den gekauften Handys finden/wiederherstellen sind mit Sicherheit nur ausversehen in ihrerer Datenbank gelandet. Ganz großes Kino :)
 
@Gizmor575: Wer ein Android Phone sein Eigen nennt braucht seine Handynummer nicht anzugeben. Der Google Authenticator machts möglich. Auch offline nutzbar!
 
@Gizmor575: Hast du also niemand deine Handy Nummer gegeben? Wozu hast du ein Handy wenn du die Nummer eh niemanden gibst? Oder hast du sie doch weiter gegeben? Dann muss dir ja klar sein, dass von den Leuten sicher einige dabei sind die Google Mail, Yahoo, MS Live oder weiss der Geier was, nutzt. Und somit mit hoher Wahrscheinlichkeit dich dein Name und stell dir vor, sogar deine Handy Nummer dort abgespeichert hat... demnach ist deine Nummer so oder so schon "im Umlauf". #Am besten in den Keller sperren, Alu Hut auf und Strom abmelden inklusiver aller technischen Geräte. Wer mit NICHTS in Verbindung gebracht werden möchte muss das wohl, anders geht es nicht.
 
@nodq: dann stehste aber sofort auf der Terrorliste da der staat keine elektronischen Daten über dich erheben kann...^^
 
@Gizmor575: google hat eh schon deine nummer :)
 
@Gizmor575: So 'n Scheiß aber auch. Seit ich die 2-Way Authentifizierung aktiviert habe, weckt mich Google ständig mit Anrufen mitten in der Nacht...
 
@Gizmor575: es ist mir 100 mal lieber wenn Google meine Daten besitzt wie der Staat! bei Google sind diese zumindest halbwegs in sicheren Händen! Auf die Server unseres Staates kommt ja wirklich jedes Nullachtfünfzehnscriptkiddi!!! Datensicherheit hat unsere Regierung nämlich noch nieeee groß geschrieben!
 
Ist zwar ein toller Ansatz, jedoch in einer welt von 10000 verschiedenen Logins und uebereinstimmenden Passwoertern ein Sicherheitsrisiko wenn der Angreifer eine Bestaetigung fuer die Echtheit des Passworts hat. Zwar kommt er nicht direkt in den E-Mail account - Jedoch kann er in Kombination mit "Name" -@gmail.com verschiedene Logins pruefen oder einfach mit der Emailadresse diese durchtesten
 
@-adrian-: Willst du mir gerade sagen Google sollte sich darum kümmern das die User nit so doof sind und ein pw für viele Accounts haben? So ein 2step log-in ist schon ziemlich sicher, aber im Endeffekt ist ein 25 steliges sicheres einmaliges Password und das tägliche starten der brain.exe genug. Solche Sicherheitsmaßnahmen werden ja nur verbessert weil die User faul bzw. unerfahren sind.
 
@Meach: Ich will damit sagen das es ein Sicherheitsrisko ist dem angreifer ein Bestaetigung fuer die Echtheit des passwortes zu geben
 
@-adrian-: Okay verstehe, du musst davon ausgehen das wenn er hier seine Bestätigung für die Echtheit hat, er ohne den 2ten Step schon Zugriff hätte, also wo ist jetzt das neu aufgetretene Problem?
 
@Meach: Wo ist das Problem wenn ne Datenbank mit Emailadressen und Passwoertern leaked? Wenn du dir diese Frage beantwortest - dann weisst du welches Problem der User hat:)
 
@-adrian-: Wie kommst den jetzt da drauf? Wenn jem. ne Datenbank voller E-Mailaddy + Passwörter klaut kommt er bei G-Mail trotzdem nicht rein. Verfehlst du gerade das Thema? Es geht hier um den 2step Log-In von einigen Google-Services. Also red nit irgendwas von leaker DBs mit Accountdaten ..
 
@Meach: Deiner Meinung nach waer es ja auch nicht schlimm wenn jemand eine Email adresse und das Passwort von dir hat. Du musst auch mal weiter denken als gmail login. Naemlich so weit wie jemand denkt der die Datenbank ausgelesen hat
 
@-adrian-: Wenn jem. ne Datenbank klaut mit Accs und PWs, sagen wir von Yahoo. Was kann ich da bitte machen? Klar ist dann Yahoo Schuld. Und was denkt denn bitte jem. mit ner DB? Das er sie verkauft? hm? Was hat das mit dem 2step LogIn zu tun?
 
@Meach: Du verstehst nicht worauf ich heraus will. Passt schon
 
@-adrian-: Ich würde es gerne verstehen, wirklich, ich bin ja offen und nicht auf eine Meinung fixiert. Ich habe nur oben angesprochen das es mir nur ums Thema 2-Step-LogIn geht, und das es die Sicherheit hebt, und User, egal wie schlecht deren PW oder Virenschutz ist, vor einem Zugriff auf ihren GoogleAccount schützt. Und wenn in dieser Behauptung etwas falsch ist bitte teile mir das einfach mit und mal sehen.
 
@Meach: Wie ich im ersten Post geschrieben habe ist es toll wenn der Angreifer nicht direkt den Zugriff auf das Email postfach hat. Jedoch hat dieser Angreifer durch die 2. Sicherheitsabfrage die Bestaetigung dass das Passwort und emailadresse Korrekt sind. Demnach besteht die Moeglichkeit das der Angreifer sich diese Kombination zu nutze macht um andere Dienste - Ausserhalb von Google zu uebernehmen. Denn eine leaked DB die emailadressen und passwoerter behinhaltet - zb von Sony - warnt ja nicht die User zum wechseln des Passworts bei sony sondern zb das Passworts bei deinem emailaccount oder anderen Diensten welche du nutzt. Denn viele user - auch wenn es ausnahmen gibt die brain.exe (wtf) haben - nutzen ein passwort fuer mehrere logins. Und hier ist das Sicherheitsrisiko. Dein Passwort und deine Emailadresse mit echtheitspruefung in den haenden eines Kriminellen
 
@-adrian-: Das habe ich soweit auch verstanden : ) - Diese Echtheitsprüfung hat er aber so oder so, mit oder ohne 2-Steps. Und durch die 2-Steps bleibt immerhin ein Account verschont. Und wie du selbst schreibst, liegt ein Sicherheitsproblem auch hier bei den Usern die ihr Passwort bei mehreren Diensten gleich vergeben. Derzeit gibt es sowieso nur wenige Möglichkeiten 2-Steps zu übergehen.
 
@-adrian-: naja, die ersten 3-5 wahrscheinlichsten Versuchen - vielleicht. Aber dann wirds langwierig und eine so gestallteter "Hackversuch" könnte auch anhand der vielen Versuche erkannt und geblockt werden.
Ich denke auch das der zweistufige Ansatz ein Sicherheitsplus ist nur wann und wo es sinn macht bevor es nervt ist abzuwarten.
 
@Meach: Demnach soll Google seine User nochmal zur Schule schicken? *rolleyes* vielleicht solltest du selbst mal prüfen ob deine brain.exe noch funktioniert. Ich befürchte die Kommunikation mit dem Kernel klappt nicht ganz reibungslos. Du kannst nicht von Millionen User erwarten, dass sie deinen (Nicht-)Wissensstand teilen, der Mensch ist immernoch ein Individuum, auch wenn viele ach so schlaue User das nicht wahr haben wollen. Vielmehr sollten Betreiber div. Seiten die Programmierer anheuren, mehr wert auf Sicherheitsabfragen ansetzen statt auf "versehentlichen" Datenklau legen. Im Falle Google ist das passiert, wenn auch (meiner bescheidenen Meinung) sehr fragwürdig übers Handy.
 
@LOLwieERroflSAGT: Ich meine damit das 90% alles "hacks" einfach simple scams sind. Millionen von Usern mit den Standard-PWs wie 12345, password oder was auch immer. Millionen von Usern die bei 10 Accounts das selbe Passwort haben. Millionen von Usern die ihre Virenscanner nicht updaten bzw. erst gar keine haben. Und Firmen wie Google usw. müssen User halt zwingen Sonderzeichen in PWs zu benutzen, oder vorinstallierte Scanner am OS zu haben usw ..
 
Ich benutz das seit ein paar Tagen und es funktioniert wunderbar.
Ähnlich wie der Steam-Guard. Kann man nicht meckern.
 
@Speedball: Jepp. Stimme dir voll und ganz zu. Ich nutz es auch ohne Probleme seit einer weile. musste damals noch auf englisch umstellen um es zu aktivieren.
Mit der Android app + backup telefonnummer + liste mit backup-codes. VPN in firmen nutzen ähnliches mit secure-tokens... warum dann also nicht auch privat nutzen wenns nichts kostet. perfekt! :-)
 
@Speedball: Mein Beileid. Ihr seid die perfekten digitalen Litfaßsäulen, bereit um zugespamt zu werden. Für Google natürlich super, unter dem Vorwand der Sicherheit lassen sich natürlich wesentlich einfacher jede Menge Handy-Nummern von dummen Nutzern abgreifen.
 
@karacho: Also ich bekomme seit Jahren weder Spam Mails noch Anrufe von Werbefirmen noch sind sonst irgendwelche Belästigungen in irgendeiner Form irgendwo auf meinen Accounts etc vorzufinden. Irgendwas muss ich also richtig machen :-) Dieses ganze Datenklau und Spionagemüllgelaber ist schon seit Langem nur noch lächerlich... aber das wird auch dir noch auffallen.
 
@Speedball: Ach, google weiß meine handynummer eh. spätestens wenn andere leute sie im google/apple/abcxyz addressbuch speichern. ansonsten reicht es, im telefonbuch nach mir zu suchen. und mehr werbung wurde es nie, dafür aber mehr sicherheit. lohnt sich doch, oder?
 
...und wenn der Akku grad leer ist, oder man das Handy nicht dabei hat, bekommt man keine Emails mehr!
 
@JanKrohn: Doch bekommt man - Nur keinen Zugriff darauf :)
 
@-adrian-: Doch, es gibt noch ersatzcodes zum ausdrucken ;)

Edith sagt: mist zu spät :)
 
@JanKrohn: Man bekommt einige Codes die man sich ausdrucken kann. Diese kann man für den Login benutzen wenn man gerade das Handy nicht dabei hat oder der Akku leer ist. Jeder Code kann dabei nur ein einziges Mal verwendet werden.
 
@JanKrohn: Für den "ausnahmefall" dass die android app nicht geht oder das handy nicht erreichbar ist, gibts eine kurze liste mit wenigen 1x verwendbaren codes.
die sollte man irgendwo "sicher" aufbewahren... bsp 2 codes im geldbeutel, 2 codes zuhause, 2 codes im auto. dann hat man immer irgendwo einen zur sicherheit und um das konto bei verlust des handies zurücksetzen zu können.
 
@asd: Dann koennten sie auch sagen - Hier ein ausgewaehltes Passwort was 100 Bit Stark ist und dann haben sie es auch auf einem Zettel dabei. Kann auch keiner so leicht durch :)
 
@-adrian-: Das ist zu vergleichen mit dem Pin und Tan System beim Onlinebanking. Ohne Tan-Liste kann man mit der Pin (Passwort) nichts anfangen und Mit Tan-Liste aber ohne Pin geht auch nichts. Ist die Tan-Liste mal abhanden gekommen, kann man sich eine neue holen und die alte wird ungültig.
 
@-adrian-: naja, das 100bit "starke" passwort hätte auch nur 12.5 zeichen :-P aber zum verständnis noch was: diese codes braucht man generell nicht. es reicht ja, alle 30 tage am PC im büro und zuhause kurz mit dem smartphone oder per sms eine neuen code zu bekommen. das gilt wieder 30 tage, das reicht. :-) die papier codes sind wirklich nur für n notfall... handy verloren/geklaut/vergessen/akku leer. vergleicht man es mit der VPN einwahl per secure token, dann ist das noch relativ "entspannt" und verhindet wirklich nur, dass nicht jemand ganz fremdes aus nem dritte-welt-land per bruteforce und mit geknackten captchas zugriff bekommt. ganz nebenbei: Facebook bietet das auch an. melde ich mich an einem fremden PC mit facebook an (korrekter user/passwort) kommt die meldung mein passwort sei falsch. wenige sekunden später kommt eine SMS mit einem einmal verwendbaren passwort und ne info-mail, dass jemand zugriff per sms bekommen hat... :-)
 
@asd: 100bit kommt aber auf die verwendeten Zeichen an - nicht direkt auf die Anzahl der Zeichen
 
eh... das muss man aber jetzt nicht jedes Mal eingeben oder!? Das wäre extrem nervig.
 
@nick1: laut dem Video kann man auf ein und dem selben Gerät für 30 Tage "geprüft" bleiben
 
@DIZA: Na dann ist ja gut. ^^
 
Viel zu aufwändig! Einfach ein vernünftiges Passwort (nicht "passwort", "12345" oder "vorname"), ein bisschen mitdenken und man tut schon mehr als 80 % der Standard-User.
 
@Turk_Turkleton: Aufwendig ja ... aber viel zu aufwendig. Ne ... weil ... 2 Stufen sind sicherer, als eine ... da man nur mit Passowort nicht reinkommt und nur mit dem Code auch nicht reinkommt. Die Sicherheit wird eben durch die zwei Stufen erzeugt ... und nicht durch ein sicheres Passwort, das durchaus mal jemandem in die Hände fallen könnte ...
 
@JoePhi: das stimmt schon, trotzdem sehe ich mein privates eMailkonto nicht als sooo wahnsinnig wichtig & brisant an, als dass ich mir da sorgen machen müsste dass sich jemand reinhackt :)
 
@JoePhi: Das ist zu unkomfortabel. Außerdem tröste ich mich damit, daß ich viel zu unbedeutend bin, als daß sich jemand für meine Mails interessieren könnte.
 
Lustig, dass Google in in seinem Video ein iPhone zur Demonstration verwendet und kein Android-Handy. Aber ansonsten eine nette Sache.
 
@Runaway-Fan: Hab mich auch aufgeregt. Mac + iPhone für Demonstration n1....
 
Ich fänds sinnvoller, wenn ich nur den Code vom Handy eingeben müsste. Dann kann ich mich einloggen, auch wenn ich nicht darauf vertraue, dass der Rechner eines Freundes virenfrei ist.
 
Wow, hoffentlich kommen die nicht irgendwann auf den bekloppten Gedanken das als Standard vorauszusetzen. Wäre extrem nervig mindestens einmal die Woche eines meiner Accounts bestätigen zu müssen. Nichts gegen Sicherheit, aber dieser ganze Handy-Quatsch geht mir langsam aber sicher auf den Zeiger.
 
@Johnny Cache: Das macht doch auch kein normaler Mensch mit. Google würde das niemals wagen. Absolut bekloppt. Vermutlich stellen sie diesen Blödsinn in < 12 Monaten wieder ein, weil es niemand nutzt. Sollte ich nur 1x mit einem derartigen Quark behelligt werden, schliesse ich den (bezahlten!) Account bei Google und gehe woanders hin.
 
@Xerxes999: Das hat meine eine Bank nicht davon abgehalten dieses System verpflichtend für meine Visa-Karte einzuführen. Das bedeutet daß ich zwingend mein Handy griffbereit haben muß wenn ich irgendwo was kaufen möchte. Glücklicherweise scheint bisher nur ein geringer Teil der Händler dieses System zu nutzen...
 
Das mit den extrapasswörtern für Programme funktioniert mit meinem iCal nicht :( schade..
 
Hrhr, wenn Goggle das als Standard einrichtet, wird die "Firma" massiv Kunden verlieren. Meine Handynummer geht Goggle einen feuchten Sch... an. Noch ein Grund mehr keine Google Dienste zu nutzten, aber ist ja auch nicht nötig, gibt genügend Alternativen. "Die Karawane zieht weiter"
 
@karacho: Viel Spaß im Hotfail-Land wünscht dir die Oase ;)
 
@karacho: Recht hast du. Dann sollte Google lieber eine Art Tan Liste einrichten oder eine LogIn Card bereit stellen. Aber mir kommt es auch vor, als wenn sie nur möglichst viele NutzerDaten sammeln wollen. Sollte sich diese Art der Einwahl durchsetzen, werden weitere folgen, wodurch nur die Beschwerdenliste immer großer wird. Irgendwann sollte mal Schluß sein. Stasi Zeiten sind lange vorbei und was Google unter Sicherheit versteht, sind letztendlich StaSi Methoden.
 
Ich schlage als dritte Sicherheitsstufe noch ein Post-Ident Verfahren vor!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles