Umstieg auf Googles 2-Faktor-Authentifizierung

Gestern habe ich mich endlich aufgerafft und in meinem Google Konto die ‘Bestätigung in zwei Schritten’ aktiviert. Das ist der Name, den Google für eine 2-Faktor-Authentifizierung verwendet: Sobald man diese zusätzliche Sicherheitsfunktion aktiviert hat, muss man sich an den Google Diensten nicht nur mit seinem Passwort anmelden, sondern braucht einen zweiten Faktor. Dieser zweite Faktor ist das eigene Telefon, auf welches ein Code per SMS oder auf anderen Wegen gebracht wird. Der Vorteil: Selbst wenn ein Angreifer das eigene Passwort bekommen hat, kann er sich damit nicht allein Zugang zum Google Konto verschaffen. Gerade wenn man voll auf die Google Cloud setzt sollte man auf diesen Sicherheitsgewinn nicht verzichten. Hier das kurze Protokoll meiner persönlichen Umstellung:

Der Start

Um die 2-Faktor-Authentifizierung (engl.: 2-step verification) zu aktivieren muss man in die Einstellungen seines Google Accounts:

https://accounts.google.com/security

Bevor man loslegt sollte man noch einmal überprüfen, ob man schon ein Handy und eine eMailadresse für die Zugangswiederherstellung hinterlegt hat. Das ist sowieso sinnvoll.

Danach geht man in die Einstellungsseite der 2-Faktor-Authentifizierung und aktiviert sie. Man bekommt auf das freigeschaltete Handy eine SMS mit einem Verifizierungscode und dann ist die Umstellung auch schon geschehen. Nun muss man noch ‘aufräumen’ und alle Geräte und Softwareprodukte, die das Google Konto brauchen, umstellen:

Das ChromeBook

Ich habe die Umstellung auf meinem ChromeBook vorgenommen. Das war insofern spannend, als das Login in das ChromeBook ebenfalls über das Google Konto erfolgt. Unmittelbar nach der Umstellung zeigt der Chrome Browser an, dass die Synchronisation nicht mehr funktioniert. Und in der Files App kann man das Google Drive noch sehen, aber keine Dateien mehr öffnen oder hineinschreiben.

Eine Abmeldung und erneute Anmeldung am ChromeBook soll hier helfen. Bei mir waren allerdings zwei Versuche notwendig, erst dann wurde ich nach dem zweiten Faktor gefragt und danach funktioniert das ChromeBook wieder wie gewohnt.

Die Android Geräte

In den beiden Nexus Geräten (Smartphone und Tablet) wird ebenfalls direkt nach der Accountumstellung ein Fehler in den Kontoeinstellungen in der Benachrichtigungsleiste gezeigt. Hier muss man sich ebenfalls neu anmelden. Auf dem Smartphone kommt dabei auch direkt die Verifikations SMS an. Das ist in gewissen Hinsicht eine reduzierte Sicherheit, da hier auf dem gleichen Geräte sowohl das Passwort wie auch die SMS vorhanden sind, aber alle anderen Lösungen wären vermutlich extrem umständlich.

Weitere Änderungen sind nach meinen Beobachtungen nicht notwendig. Der Chrome Browser bietet einem weiterhin eine Anmeldung an Google Diensten wie GMail an, ohne das man erneut ein Passwort oder gar einen Code eingeben muss.

Inbetriebnahme der App

Danach habe ich auf dem Nexus 4 erst einmal die Google Authenticator App in Betrieb genommen. Damit erspart man sich die eintrudelnden SMS und kann sich auch in solchen Fällen anmelden, in denen man keinen Netzempfang für das Telefon hat. Die App beschreibt selbst, wie man sie mit dem Konto koppelt. Sobald das geschehen ist kommen keine SMS mehr und man nutzt ab sofort die App um Verifikationscodes zu erhalten.

Die Windows PCs

Als nächstes standen zwei Windows PCs auf der Liste. Beim Login im Chrome Browser wird man nun zusätzlich zum Passwort nach dem Code gefragt. Dabei hat man die Option den aktuellen Rechner als vertrauenswürdig zu kennzeichnen, so dass die Google Dienste nicht mehr bei jedem Login nach einem Code fragen. Hier hat man die Wahl zwischen Bequemlichkeit, die für eigene Rechner angemessen sein kann, und Sicherheit, die für fremde Rechner passender ist.


Auf einem der PCs ist der Google Drive Client installiert. Hier fand ich es überraschend, dass dieser keine Änderung erforderte, sondern klaglos weiter seinen Dienst versah. Ob das anders ist, wenn man den Client neu einrichtet?

Generierung von Einmalcodes

Als letzter Schritt steht dann noch die Generierung von sogn. Backupcodes an. Das sind Einmalcodes, die man an Stelle der von der App generierten Codes verwenden kann. Z. B. wenn man das Telefon einmal nicht zur Hand hat. Man sollte sich die ersten zehn Codes ausdrucken und ggf. mit sich führen. Ein Angreifer kann mit den Codes allein nichts anfangen, daher sind sie nicht so sicherheitskritisch.

Was noch fehlt

Ein wichtiger Punkt für die Zukunft ist die Frage, wie man bei eventuell vergessenen Passworten vorgeht. Im entsprechenden Dialog der Google Seiten wird man gleich zu Anfang darauf hingewiesen, dass man sein Telefon bzw. die Einmalcodes braucht für eine direkte Wiederherstellung des Zugangs. Es könnte daher eine gute Idee sein diese Codes an einer sicheren Stelle aufzubewahren, damit man selbst einem Verlust des Telefons in der Lage ist zu handeln.

Fazit

Mein Fazit: Der Umstieg war deutlich einfacher, als ich mir das vorgestellt hatte. Aus meiner Sicht kann man jedem Nutzer von Google Diensten nur empfehlen diese Umstellung vorzunehmen. Selbst wenn man vorhat sein Google Konto nur von einem einzigen PC aus zu nutzen sollte man den Schritt machen, er ist dann auch besonders einfach und erfordert über die erste Einrichtung hinaus fast keine Arbeit mehr.

Wenn man hingegen die Google Cloud intensiv nutzt - wie ich - sollte man den Schritt besser früher als später machen, da man so mit geringem Aufwand eine ganze Reihe von Angriffsszenarien auf das eigene Konto unmittelbar abstellen kann. Die eigenen Daten sind so deutlich besser geschützt vor fremden Zugriffen und man kann auch mal an einem Rechner mit nicht völlig klarem Sicherheitsstatus ohne große Furcht in sein Google Konto gehen.

Das Risiko des Verlusts der Zugriffsmöglichkeit auf das eigene Konto - und damit des Verlusts aller dort gespeicherten Daten - ist durch die 2-Faktor-Authentifizierung ebenfalls reduziert, da selbst jemand, der das eigene Passwort kennt, es nicht ändern kann, da er gar nicht das Konto hinein kommt.

Also dann los: http://www.google.com/landing/2step/

Fazit nach einer Woche

Nach einer Woche der Nutzung hat sich das Fazit nur verstärkt, dass die 2-Faktor-Authentifizierung in der Art wie sie Google implementiert bei der normalen Nutzung der Google Dienste keine Probleme verursacht, nicht einmal Mehraufwand. Nach dem ersten Login und der Kennzeichnung der entsprechenden Rechner als vertrauenswürdig wurde ich bisher nicht wieder nach einem Code gefragt.