News 13.07.2011, 11:44 Uhr

Wie Google jetzt Phishing vereitelt

Durch Phishing gehackte Konten gehören bei Google bald der Vergangenheit an. Wir haben die neue Zwei-Wege-Authentifizierung schon ausprobiert.
Google spendiert den Anwendern im deutschsprachigen Raum eine neue Sicherheitsfunktion, die vor dem Kapern von Accounts schützen soll. Ganz ähnlich wie mit dem mTAN-Verfahren beim Internetbanking kann sich der User beim Login einen Bestätigungscode aufs Handy schicken lassen. Wenn Sie diese Funktion aktivieren, kann sich ab sofort nur noch in Ihr Google-Konto einloggen, wer zusätzlich zu Ihrem Benutzernamen und Passwort auch noch Ihr Handy hat.
Wir empfehlen Ihnen unbedingt, die Funktion einzuschalten und zu nutzen. Sie funktioniert bestens. Wir habens vorab mit der englischsprachigen Version getestet; auf den deutschsprachigen Google-Einstellungsseiten wird die Funktion gerade aufgeschaltet.
So funktionierts
Hier gehts zu den Einstellungen
Loggen Sie sich mit Ihrem Google-Account ein, klicken Sie oben rechts auf Ihren Kontonamen und öffnen die Kontoeinstellungen. Im Bereich «Kontoübersicht» sollte «Verwendung der Bestätigung in zwei Schritten» erscheinen. Falls nicht, klicken Sie im unteren Teil der Seite auf «Vorherige Version der Google Konten-Seite anzeigen». Hier finden Sie den gleichen Link im Bereich «Sicherheit», siehe Screenshot.
In einem ersten Schritt tippen Sie jene Handy- oder Festnetznummer ein, an die Sie jeweils den Code als SMS- oder Sprachnachricht erhalten wollen. Nun landet schon die erste solche Nachricht (z.B. SMS) mit einem Code auf dem Gerät. Tippen Sie den Code wiederum im Browser ein, womit Sie bestätigen, dass dies Ihre eigene Telefonnumer ist.
Handys kommen gelegentlich abhanden. Deshalb erhalten Sie im nächsten Schritt eine Liste mit Reserve-Codes, die Sie unbedingt ausdrucken und an einem sicheren Platz verstauen müssen. Zu guter Letzt geben Sie (übrigens zwingend) eine zweite Telefonnummer an, z.B. die Festnetznummer oder die Nummer einer Vertrauensperson. Dorthin schickt Google den Code, falls die erste Telefonnummer nicht erreichbar ist.
Am Ende werden Sie vorübergehend aus allen Google-Diensten ausgeloggt und können sich ab sofort nur noch mit dieser 2-Wege-Authentifizierung einloggen: Sie tippen Ihren Usernamen und Ihr Passwort ein, erhalten ein SMS mit dem Code, den Sie ebenfalls eingeben; dann sind Sie eingeloggt. Das ist zum Glück nicht bei jedem Login nötig, sondern auf jedem Gerät einmal alle 30 Tage.
Wichtig: Die Authentifizierung wird in einem Cookie gespeichert. Wenn Sie Ihren Browser anweisen, bei Beenden alle Cookies zu löschen, erhalten Sie beim nächsten Login wieder einen Code.
Lesen Sie weiter auf Seite 2:
Klingt komplizierter, als es ist: Anwendungsspezifische Passwörter



Kommentare
Avatar
Gaby Salvisberg
13.07.2011
Hierzu auch http://xkcd.com/792/ ;)

Avatar
froeschli
13.07.2011
Wobei dieser Comic ja erst kürzlich ergänzt wurde (um den Google Teil). Habe ich auch auf Google+ so kommentiert.... Gruss froeschli