Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte

Sicherheit (Pexels, allgemeine Nutzung)Heute öffnen wir das letzte Türchen im Sicherheits-Adventskalender und widmen uns einem Sicherheitsthema. Google hat vor einigen Wochen die Zweifaktor-Authentifizierung (2FA) für seine Dienste eingeführt. Seitdem werden 150 Millionen Nutzer damit konfrontiert und es tauchen einige Fragen auf.


Anzeige

Die Kollegen von heise haben vor einiger Zeit den Artikel Google erzwingt Zwei-Faktor-Authentifizierung für alle – das müssen Sie wissen veröffentlicht, den ich zur Lektüre einfach an dieser Stelle mal verlinke.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte

  1. chw9999 sagt:

    Danke für die Info!
    Ich habe mich durch ziemlich viel Text im Heise-Artikel gekämpft, da ich das nun auch für meine Frau einrichten muss/will. Ich selbst habe das schon vor Jahren(!) als TOPT eingerichtet – als man auch noch nicht seine Telefonnummer *explizit* eingeben musste :) Damals GoogleAuth, jetzt andOTP. Und wo immer möglich, nehme ich auch heute TOPT! Paypal wollte das ja lange nicht, aber mittlerweile gehts. 1&1 kanns auch, Xing, zoom, Amazon… Das alles geht sogar noch mit einer kleinen App auf meiner ollen Pebble :D

    Neben dem Heise-Text habe ich auch noch mal in den Kommentaren gestöbert. Da sträuben sich mir manchmal die Nackenhaare, z.B., wie sehr die Leute doch noch an SMS für den 2.F zu kleben scheinen, dann klagen, dass man nur eine Nummer verwenden kann, und das entsprechende Handy dann im entscheidenden Moment auch noch zu Hause liegen lassen…

    Eines könnte man noch erwähnen, wenn man 2FA bei Google und Google-Mail mit einer Fremdsoftware verwendet: Man kann nicht einfach nur das Passwort bei Google ändern und im Mail-CLient nachtragen – nein, man muss dann ein *neu generiertes* Mail-Passwort im Mailclient eintragen, sonst kommt man nicht an seine Mails…

    • Frank sagt:

      Heisst das, Google generiert dieses neue Mailpasswort? Mit einem möglicherweise für Eingeweihte nachvollziehbaren Algorithmus? Oder wie ist das zu verstehen?

      • Allandanton sagt:

        Sobald man bei Google 2FA aktiviert, kann man sich mit ein vielen eMail-Programmen nicht mehr bei seinem Gmail-Postfach anmelden, weil diese keine 2FA-Anmeldung unterstützen (Thunderbird kann da übrigens mit umgehen, wenn Oauth2 als Auth-Methode eingestellt ist). Hierfür bietet Google an, App-Passwörter zu generieren – die man dann in sein Programm einträgt. Diese werden zufällig generiert und nicht vom vorhandenen Passwort abgeleitet. Sie lassen sich auch nicht ändern, stattdessen löscht man das bisherige App-Passwort und legt einfach ein neues in seinem Google-Konto an.

  2. Ärgere das Böse! sagt:

    2FA bringt nichts, wenn sich jemand von meinem gestohlenen Stupid-Phone aus in meinem Google-Konto anmeldet und dann ein SMS oder was auch immer auf ebendieses Stupid-Phone bekommt. Das dürfte wohl der Standard sein.

    2FA bringt nur etwas, wenn der 2. Code auf einem anderen Gerät erscheint, als auf dem, mit dem ich mich anmelde.
    Z.B. PC für E-Banking mit Passwort und 2. Code via SMS auf Stupid-Phone.
    Dass die 2FA keinen Sinn macht, wenn ich E-Banking via Stupid-Phone mache und aufs Stupid-Phone auch den 2. Code erhalte, sollte einleuchten.

    Wenn ich es richtig in Erinnerung habe, macht es Microsoft bei den Microsoft-Konten besonders schlau, um an die Stupid-Phone Nummer zu kommen, und diese mit dem Konto zu verbinden: Gewisse Einstellungen kann man nur ändern, wenn man seine Stupid-Phone Nummer hinterlegt hat.

    Steht bei der 2FA wirklich Sicherheit im Vordergrund? Ich glaube nicht.

  3. Blupp sagt:

    2FA schön und gut, nur wie bringt das was?
    Spätestens als Facebook zugeben musste, dass sie die angeblich nur für die Sicherheit eingesammelten Handynummern für Werbung mißbrauchen ist 2FA doch eigentlich tot. Abgesehen von sehr wenigen Ausnahmen bekommt mich keiner als Kunde wenn meine Handynummer eingefordert wird.
    Wenn auch eine Authenticator-APP geht, gibts auch als Addon für den Firefox, warum nicht. Blöd wird das aber dann, wenn man seine Mails mit Fetchmail einsammeln lässt.

  4. Micha sagt:

    2FA werde ich demnächst mit einem Reiner SCT Authenticator einrichten. (Ist bestellt aber noch nicht geliefert wurden) Bis zu 60 Accounts können angelegt werden. Das ist ein eigenständiges Hardwaregerät ohne Netzwerkverbindung. Den kann man laut Beschreibung noch mit einer Pin 5-12 Zeichen lang schützen. Nach der fünften Fehleingabe werden alle Daten im Gerätespeicher gelöscht.

    Wozu man für die Einrichtung von 2FA eine Telefonnummer brauchen soll erschließt sich mir nicht. Als wichtig wird immer nur angegeben den Backup QR Code auszudrucken oder verschlüsselt abzuspeichern. Das ist der mit dem der Reiner SCT Authenticator oder die Authenticator App eingerichtet wurde.

    Für mein Battle.net Account bei Blizzard konnte ich vor 6 Jahren auch den Battel.net Authenticator ohne Angabe einer Telefonnummer einrichten. Es handelte sich bei dem Gerät um einen Onespan Digipass GO 6.

  5. U.Kernchen sagt:

    Ich habe den Rainer SCT schon länger und kann ihn nur empfehlen.
    Der QR-Code der Anwendung wird genau so gescannt wie mit dem Handy auch.
    Ich scanne den OTP-Code generell auf einem Handy und auf dem Rainer SCT und habe damit Redundanz.
    Natürlich mache ich kein Banking oder ählichen Quatsch mit dem Handy.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.