News
13.07.2011, 11:44 Uhr
Wie Google jetzt Phishing vereitelt
Durch Phishing gehackte Konten gehören bei Google bald der Vergangenheit an. Wir haben die neue Zwei-Wege-Authentifizierung schon ausprobiert.
Google spendiert den Anwendern im deutschsprachigen Raum eine neue Sicherheitsfunktion, die vor dem Kapern von Accounts schützen soll. Ganz ähnlich wie mit dem mTAN-Verfahren beim Internetbanking kann sich der User beim Login einen Bestätigungscode aufs Handy schicken lassen. Wenn Sie diese Funktion aktivieren, kann sich ab sofort nur noch in Ihr Google-Konto einloggen, wer zusätzlich zu Ihrem Benutzernamen und Passwort auch noch Ihr Handy hat.
Wir empfehlen Ihnen unbedingt, die Funktion einzuschalten und zu nutzen. Sie funktioniert bestens. Wir habens vorab mit der englischsprachigen Version getestet; auf den deutschsprachigen Google-Einstellungsseiten wird die Funktion gerade aufgeschaltet.
So funktionierts
Loggen Sie sich mit Ihrem Google-Account ein, klicken Sie oben rechts auf Ihren Kontonamen und öffnen die Kontoeinstellungen. Im Bereich «Kontoübersicht» sollte «Verwendung der Bestätigung in zwei Schritten» erscheinen. Falls nicht, klicken Sie im unteren Teil der Seite auf «Vorherige Version der Google Konten-Seite anzeigen». Hier finden Sie den gleichen Link im Bereich «Sicherheit», siehe Screenshot.
In einem ersten Schritt tippen Sie jene Handy- oder Festnetznummer ein, an die Sie jeweils den Code als SMS- oder Sprachnachricht erhalten wollen. Nun landet schon die erste solche Nachricht (z.B. SMS) mit einem Code auf dem Gerät. Tippen Sie den Code wiederum im Browser ein, womit Sie bestätigen, dass dies Ihre eigene Telefonnumer ist.
Handys kommen gelegentlich abhanden. Deshalb erhalten Sie im nächsten Schritt eine Liste mit Reserve-Codes, die Sie unbedingt ausdrucken und an einem sicheren Platz verstauen müssen. Zu guter Letzt geben Sie (übrigens zwingend) eine zweite Telefonnummer an, z.B. die Festnetznummer oder die Nummer einer Vertrauensperson. Dorthin schickt Google den Code, falls die erste Telefonnummer nicht erreichbar ist.
Am Ende werden Sie vorübergehend aus allen Google-Diensten ausgeloggt und können sich ab sofort nur noch mit dieser 2-Wege-Authentifizierung einloggen: Sie tippen Ihren Usernamen und Ihr Passwort ein, erhalten ein SMS mit dem Code, den Sie ebenfalls eingeben; dann sind Sie eingeloggt. Das ist zum Glück nicht bei jedem Login nötig, sondern auf jedem Gerät einmal alle 30 Tage.
Wichtig: Die Authentifizierung wird in einem Cookie gespeichert. Wenn Sie Ihren Browser anweisen, bei Beenden alle Cookies zu löschen, erhalten Sie beim nächsten Login wieder einen Code.
Wichtig: Die Authentifizierung wird in einem Cookie gespeichert. Wenn Sie Ihren Browser anweisen, bei Beenden alle Cookies zu löschen, erhalten Sie beim nächsten Login wieder einen Code.
Lesen Sie weiter auf Seite 2:
Klingt komplizierter, als es ist: Anwendungsspezifische Passwörter
Klingt komplizierter, als es ist: Anwendungsspezifische Passwörter
auf Klingt komplizierter, als es ...
Anwendungsspezifische Passwörter
Ihr Chat- oder Mailprogramm kann wahrscheinlich nicht nach Bestätigungscodes fragen. Darum erzeugen Sie für jede solche Anwendung, die Sie mit Ihrem Google-Konto benutzen, ein separates Passwort. Das kopieren oder tippen Sie einmal in der Anwendung ein und speichern es. Sie müssen sich das zum Glück nicht auch noch merken.
So gehts: Öffnen Sie Kontoeinstellungen/Kontoübersicht/Verwendung von Bestätigung in zwei Schritten und klicken auf Anwendungsspezifische Passwörter verwalten. Für den Aufruf dieser Seite werden Sie normalerweise nach Ihrem normalen Google-Passwort gefragt.
Jetzt tippen Sie unter «Neues anwendungsspezifisches Passwort generieren» stichwortartig ein, für welche Anwendung Sie das benötigen. Zum Beispiel «Pidgin-Chatprogramm im Büro» oder «Thunderbird zuhause». Nach dem Klick auf Passwort generieren erscheint es auf einem gelben Feld. Das ist das Passwort, das Sie nun in Ihrem Chat- oder Mailclient für Ihr Google-Konto speichern. Sie können es nachträglich übrigens nicht mehr einsehen. Erstellen Sie bei Bedarf einfach ein neues und löschen Sie jene, die Sie nicht mehr brauchen, indem Sie auf Aufheben klicken.
Genauso wie die SMS-Authentifizierung haben wir auch die anwendungsspezifischen Passwörter mit mehreren Geräten und Anwendungen getestet; es traten keinerlei Probleme auf.
Genauso wie die SMS-Authentifizierung haben wir auch die anwendungsspezifischen Passwörter mit mehreren Geräten und Anwendungen getestet; es traten keinerlei Probleme auf.
13.07.2011
13.07.2011