Google 2-Step-Verification und Application Specific Passwords

Bild: Google
Nachdem Google vor einiger Zeit den Passwortklau durch hinterlegte Telefonnummern erschwert hat, wurde dieser Service nun erweitert. Mit der "Bestätigung in zwei Schritten" wird es Angreifern nun fast unmöglich gemacht ein Account zu übernehmen. Da Google, nicht zuletzt auch durch Gmail, zu einer gewissen Zentrale für Alles geworden ist, ist dies auch zwingend notwendig. Würde ich beispielsweise meinen Google-Account verlieren, so wären nicht nur meine Emails, sondern auch mein Blog und mein Terminkalender in Gefahr.

Die Authentifizierung funktioniert, sofern der Benutzer das möchte, nun in zwei Schritten. Neben dem gewöhnlichen Passwort wird bei jeder Anmeldung an einem neuen PC auch ein Bestätigungscode per SMS oder Anruf zugestellt. Nur mit beiden Passwörtern wird der Zugriff gewährt. Der IT-Security-ler spricht hier von einer Two-Factor-Authentication (2FA). Dabei gibt es erstmal (Something you know) das eigentliche Passwort und dann noch (Something you have) das Telefon. Für den Fall das das Handy mal keinen Empfang hat kann man sich auch noch eine Authenticator-App runterladen und benutzen. Leider gibt es für Windows-Phone noch keine solche App. Auch für diesen Fall hat Google vorgesorgt. Auf der Webseite kann man sich ohne Probleme ein paar Einmalpasswörter für diesen Fall generieren lassen.
Ein weiterer Sicherheitsmechanismus sind die "Anwendungsspezifischen Passwörter". Dieses sind spezifische Passwörter für bestimmte Anwendungen. Für jede Anwendung die auf einen Google-Dienst zugreift wird ein einzigartiges Passwort von Google generiert. Mit diesem Passwort kann die Anwendung anschließend auf den Dienst zugreifen. Da diese Passwörter nur einmal eingegeben werden müssen besteht kein Anlass sie sich zu merken. Damit trotzdem nicht Passwörter wie der Mädchenname Ihrer Mutter benutzt werden werden diese auch von Google generiert und nicht von dem Benutzer.
Für alle die ihr Handy ständig bei sich tragen, wie etwa .... hmm jeder, und denen es egal ist ob Google ihre Handynummer kennt, was sich bei Andoid-Benutzern sowieso erübrigt, also eine gute Sache.

Bookmark and Share

0 Kommentare:

Kommentar veröffentlichen