[English]Google macht ab dem 9. November 2021 eine Zwei-Faktor-Authentifizierung (2FA) für seine Google-Konten verpflichtend. Im Mai 2021 hatte Google diesen Schritt in diesem Blog-Beitrag angekündigt. Mir ist am 3. November 2021 auf meinem Android-Smartphone die 2FA-Absicherung angeboten worden. Und diesem Artikel entnehme ich, dass es ab dem 9. November 2021 verpflichtend ist.
Anzeige
Was heißt das nun? Meine Telefonnummer bekommt Google nie und nimmer. Geht denn OTP?
OTP wurde mir nicht angeboten.
Verstehe ich jetzt nicht. Das ist doch die Standardmethode. Man bekommt ein Einmal-Paßwort auf eine Emailadresse oder ein Smartphon. Das gewählte Medium muß unabhängig vom Google-Konto sein.
2FA bei google:
– per SMS, auch auf Festnetz.
– beliebige TOTP App
– Hardware key, z.B. yubikey
– Android Telefon oder google Smart Lock App
– Ausgedruckte Backup Codes
Alles unabhängig von einander, man muss nicht seine Telefonnummer angeben.
Also kein Youtube mehr, igendwie auch etwas schade.
Youtube geht auch über INVIDIOUS völlig Datenschutz konform.
Irgendwie ist mir Google bisher zu egal gewesen, um mich damit allzu tief zu beschäftigen.
Wie ist das denn jetzt mit dem zweiten Faktor? Soll ich da das Telefon angeben, das ich gerade benutze?
Dann könnte ich das ja nicht mehr fernlöschen, wenn das weg ist. Oder erst, wenn ich ne neue SIM-Karte habe…
Oder kann ich für alle in der Familie das Festnetz angeben?
Irgendwie habe ich nur Fragezeichen im Köcher. Aber, bis auf eine Androhung hat mir Google bisher keine für mich nachvollziehbaren Informationen geliefert.
Vielleicht bin ich auch echt noch zu müde…
…google macht das schon länger…
…ich wollte vor längerer zeit mal ein video bei YTube
anschauen – war mit altersbestimmung (ab 18) gekennzeichnet…
google wollte eine verifizierung wegen des alters…
habe es damals aufgegeben da diese verifizierung nicht geklappt hatte…
…und das war lediglich der SONG Nineteen aus den 80er jahren
Ich habe 2FA bei Google schon sei Jahren. Erst gestern habe ich ein neues Android-Gerät installiert, da wurde ich nach 2FA gefragt (hier: über anderes Gerät legitimieren). Ansonsten habe ich noch TOTP als Anternative. Aber bei normalem Einloggen in den Account benötige ich nie 2FA, nur, wenn ich was gravierendes ändern möchte.
Wer seine Handynummer nicht angeben möchte, kann auch eine App als zweiten Faktor nutzen. Meiner Meinung nach, sollten in der heutigen Zeit viel mehr Anbieter dem Beispiel folgen und die 2FA zur Pflicht machen. Auf den ersten Blick für manch einen vielleicht kompliziert, aber dann fängt man auch mal an, sich mehr über die Sicherheit Gedanken zu machen.
"Wer seine Handynummer nicht angeben möchte, kann auch eine App als zweiten Faktor nutzen." und "Auf den ersten Blick für manch einen vielleicht kompliziert, [..]".
Das hat mit kompliziert wenig zu tun, sondern eher damit, dass das für die meisten Nutzer heißt, dass der zweite Faktor einen zweiten Faktor braucht. Und sich da halt andere Fragen auftun.
Mein Android-Telefon fragt mich also letzte Woche zwischen Tür und Angel nach meiner Telefonnummer und bietet auch direkt an, die Mobilnummer vom Handy zu nehmen, weil 2FA für den Account des Handys aktiviert werden soll.
Das ist halt in jeder Hinsicht schwachsinnig, weil damit Sicherheitsfunktionen wie z.B. Fernlöschen blockiert werden. Man kann halt kein Handy fernlöschen, wenn man das Handy dafür braucht…
Hier muss Google dringend seine Hausaufgaben machen und die Nutzer ordentlich über die Möglichkeiten informieren, anstatt hopplahopp die Mobilnummer einsammeln zu wollen.
Ich dachte, das Ende der Idiotie-Fahnenstange wäre mit Mobilapps als zweiter Faktor fürs mobile Banking auf dem selben Gerät erreicht. Jetzt werden die Leute aber reihenweise als zweiten Faktor genau das angeben, was sie nicht zur Verfügung haben, aber halt brauchen, wenn sie sich vor Identitätsdiebstahl und anderen schwerem Unbill schützen sollten.
Das Ganze war mal ausgiebig Thema im C't-Magazin vom Heise Verlag. Die hatten da mal eine ganze Artikelserie in 2019/2020 und auch eine Folge ct-Uplink (FIDO2 – Das Ende des Passworts | c't uplink 28.9). Irgendwie wollten Sie das Ganze pushen und haben da schon ein wenig das Ende der Passwörter abgefeiert.
Nur sind Sie an dem Grundproblem der ganzen Sache auch nicht vorbeigekommen. Was ist, wenn mein Stück Hardware (für den 2. Faktor) kaputt oder weg ist?
Dann hat man nämlich ggf. richtig die Arschkarte. Man kommt nicht mehr online auf seinen Account und eine einfache Rücksetzmöglichkeit gibt es nicht.
Wer möchte schon zu einer Bank, bei der man einfach anrufen kann und sagen: "Hallo, ich bin es. Setzen Sie doch bitte mal den Zugang zu meinem Konto zurück."
Bei anderen Diensten ist es dasselbe. Das erfordert bei Verlust des 2. Faktors mindestens die Schriftform und einen Identitätsnachweis, bevor da etwas passiert.
Man sollte sich also zum Thema gründlich informieren, bevor man das Ganze einrichtet.
Stichworte dazu:
——————-
– Nutzung mehrerer, verschiedener 2FA-Geräte
– Backup von 2FA-Apps
– Backup von 2FA-Keys
– Wiederherstellungsmöglichkeiten / Sperrung des Zugangs bei Verlust 2FA-Gerät
Ist alles nicht so simple, wie man sich es wünscht. Sonst hätten es viele Banken schon längst eingeführt, die bis heute Passwörter aus 8 Ziffern erlauben.
2FA, OTP, Fido2 etc. ist ein großer Sicherheitsgewinn, aber wie immer auch das Gegenteil von einfach, schnell und und bequem eingerichtet und zu nutzen.
ich habe bei mehreren Diensten 2FA eingerichtet (u.a. Google und MS, Ebay). Läuft seit Jahren (?) problemlos. Nutze als 2. Faktor die Authenticator-Apps von Google und MS. Jeweils eine App auf dem Smartphone und eine App auf dem Tablet. Beide Geräte sind zur Authentifizierung angemeldet und aktiviert. Falls mir mal eines davon weg kommt, habe ich weiter Zugang über das zweite Gerät. So kann ich dann das verschwundene Gerät aus dem Account löschen und ggf. ein Neues hinzu fügen. Am Ende habe ich dann wieder den Ausgangszustand mit 2 Geräten.
Das wäre eine praktikable Lösung.
Inzwischen soll es bei verschiedenen Apps auch Backuplösungen für Keys geben, was aber streng genommen dem Sicherheitsverfahren widerspricht, da Backups bei Apps ja meistens über die Cloud laufen. Ich möchte den Master-Key zu meiner Authenticator-App nicht in der Cloud speichern, egal von welchem Anbieter!
Also ein Thema, für ein verregnetes Wochenende. ;-)
Freundliche Grüße
Paul B.
Erst werden uns Digitalisierung und Internet in den höchsten Tönen schmackhaft gemacht, dann werden unter dem Deckmantel "Höhere Sicherheit" persönliche Daten wie Telefonnummer vermehrt abgegriffen.
Ohne Handy bzw. Smartphone ist eine Nutzung des Netzes zunehmend nur noch eingeschränkt möglich (z.B. Online-Einkäufe mit Kreditkarte oder Paypal sind ohne 2FA und Smartphone nicht mehr möglich, ebay hat die Zahlungsoptionen Überweisung & Lastschrift gestrichen, die für mich einzig nutzbare Möglichkeit eines Hardware-Tokens, den ich beruflich nutze, wird kaum angeboten). Aus Rationalisierungsgründen wird in Kürze z.B. die Nutzung der DHL-Packstation ohne Smartphone nicht mehr möglich sein – DHL wälzt die Hardware auf den Kunden ab.
Wenn das denn am 09.11. mit Google so kommt, muß ich vorher meine Inhalte der letzten 15 Jahre auf dem Rechner sichern und dann meinen Google-Account löschen
(was vielleicht kein Fehler ist), da zu befürchten ist, daß danach kein Zugriff mehr möglich sein wird. Und erreichbar sind Konzerne wie ebay, paypal, Google etc. zwecks Problemlösung sowieso nicht.
Das ganze Thema wird auch von der EU-Kommission entsprechend vorangetrieben. Den lieben langen Arbeitstag ist man dabei, sich irgendwo (doppelt) zu authentifizeren.
Es sieht nach dem Weg zurück aus.
Bauchschmerzen eines Handy- bzw. Smartphone-freien Linux-Nutzers, der in 20 Jahren Online noch nie ein Problem hatte.
Der Zweite Faktor muss meines Wissens ein unabhängiges Gerät sein. Auf dem gleichen Gerät bringt das nichts. Sofern das Gerät schon Kompromittiert ist kann der Angreifer das Einmalpasswort Remote mitlesen.
Für meinen Battle.net Account habe ich vor 6 Jahren ein "Battle.net Authenticator" gekauft. Das Gerät ist ein OneSpan (Vasco) Diggipass GO 6. Die Bedienung ist einfach.
Zuerst wurde das Gerät in der Accountverwaltung mit der Seriennummer registriert. Anschließend so konfiguriert das bei jedem Login der Zweite Faktor abgefragt wird. Generiert wird dieser durch drücken der Taste am Gerät.
Für andere Konten geht das leider nicht so einfach. Bei United Internet geht es nicht ohne APP. Die Möglichkeit ein Hardware Authenticator zu kaufen gibt es nicht. Wer ein Telefon ohne Android oder iOS nutzt kann das also nicht einrichten.
@Der Zweite Faktor muss meines Wissens ein unabhängiges Gerät sein. Auf dem gleichen Gerät bringt das nichts.
Seh' ich auch so. Ich habe es so eingerichtet, daß meine andere (alte) Email-Adresse (auf dem PC) der zweite Faktor ist. Bei Amazon bekomme ich das Paßwort auf mein Smartphone (bestellen tu ich dort aber nur vom PC aus) und bei meiner Kreditkarte muß mein uraltes Handy (unhackbar) als 2tes Faktorgerät herhalten. Sollte das ev. mal ausfallen ist es dort kein Problem eine neue Nr. zu generieren. Geht tel. indem man eine einmal-TAN per 1 Cent Überweisung anfordert.
"Ich habe es so eingerichtet, daß meine andere (alte) Email-Adresse (auf dem PC) der zweite Faktor ist."
Bin in einer ruhigen Minute mal durch den Google-Account gestromert und konnte bei 2FA die Option E-Mail nicht finden. Als Rücksetzoptionen gab es das. Ist aber was anderes, auch wenn das eine eigene Diskussion wert wäre, in Bezug auf Sicherheit.
Vom Prinzip her blieb als sinnvoll nutzbares 2FA aber nur der USB-Stick.
Vielleicht habe ich nicht lange genug gesucht..
Das hängt dann aber auch damit zusammen, dass mich schon wieder das Smartphone, also das einzige Gerät, mit dem ich den Account normalerweise nutze, wegen einem zweitem Faktor zur Aktion aufforderte. Das Smartphone, nicht das Notebook, wo ich gerade eingeloggt war.
Und da gab es überhaupt keine andere Option, als die Hinterlegung der Telefonnummer. Also wieder abgebrochen, hatte auch anderes zu tun.
Wenn das bei mir kein bedauerlicher Einzelfall war, dann werden die meisten Android-Smartphones da draußen also als zweiten Faktor die eigene Mobilnummer kriegen.
Standardszenario beim unbeleckten Smartphone-Fan ist dann also demnächst und bis auf Weiteres:
Banking, Ausweis, Führerschein, Krankenkassenkommunikation und Krankenscheine übers Handy. Zwriter Faktor für diese Dienste ist üblicherweise das selbe Handy. Und zweiter Faktor für das Handy ist.. das Handy.
Da kommen ja goldene Zeiten auf uns zu…
@Als Rücksetzoptionen gab es das. Ist aber was anderes
Du hast recht, ein dummer Fehler von mir :-( Naja, ich werd's schon noch lernen. Hab das Teil ja erst seit ein paar Wochen…
Bei vielen solchen "jetzt neu 2FA, total sicher" Anpassungen bei diversen Dienstleistern, Apps usw. entsteht der Eindruck, es geht eigentlich nur um das Abgreifen der Telefonnummer des Benutzers, um das bereits gesammelte Datengold weiter zu vergolden, statt um echte Sicherheit für den Benutzer mit einem tatsächlich vom Gerät getrennten Faktor.
Eigentlich wußten wir das ja längst – aber erst in diesem Zusammenhang bin ich zu dem Schluß gekommen, daß Google anscheinend ein massives Sicherheitsproblem bzgl. seiner Kundenkonten hat (auch hinsichtlich Datenschutz) und habe meinen GMail-Account deaktiviert und bin zu einem einheimischen Anbieter gewechselt.
Die 2FA an sich mittels Sicherheitsschlüssel (Hyperfido Token) funktioniert problemlos und läßt sich soagr für einen Computer als einmalige Aktion speichern (!) – wozu dann der ganze Aufwand?