2-Factor Authentication: Google- und Android-Account absichern in 10 Minuten

Passwörter und Sicherheit? Unsexy. Niemand möchte sich mehr damit auseinandersetzen als unbedingt nötig, aber es hilft ja nichts. Wer bereit ist, etwa zehn Minuten seiner Zeit zu investieren, bekommt bei Google künftig mit der 2-Wege-Identifikation aber ein Werkzeug an die Hand, was die Sicherheit gravierend steigert – und den Aufwand in Grenzen hält. Wir zeigen, was das heißt und wie es funktioniert.

Zugegeben, das Thema ist nicht sonderlich sexy. Es macht auch viel mehr Spaß, über hochauflösende, gestochen scharfe Smartphone-Displays, 3D-fähige Spielekonsolen oder Megazoom-Kameras zu schreiben. Aber mit Passwörtern ist es nun mal so wie mit Backups oder Virenscannern: Was schert mich das Geschwätz! Bis zu dem Zeitpunkt, zu dem die Festplatte die Grätsche macht und die Hochzeits- oder Urlaubsfotos dahingesiecht sind. Oder der Virus zugeschlagen hat und sämtliche Dokumente unbrauchbar gemacht hat. Oder jemand doch tatsächlich ein zu schwaches Passwort erraten oder ein anständiges Passwort per Keylogger ausspioniert hat.

Letzteres ist mir vor wenigen Monaten tatsächlich passiert. Bis dahin war mein Umgang mit Passwörtern wohl nicht großartig anders als der des Durchschnittsmenschen. Okay, ich weiß, wie Brute-Force-Attacken funktionieren, und deswegen beinhalten meine Kennwörter weder Worte, die im Duden stehen, noch Geburtsdaten, Telefonnummern oder ähnlich leicht erratbaren Murks. Ich weiß auch, dass man Passwörter für wichtige Accounts oder für Dienste, bei denen Geld im Spiel ist, nicht einfach so an fremden oder gar öffentlichen Rechnern eintippt. Aber so ist das nun mal in der Praxis. Es hilft ja nichts, ich musste mich in einem Internet-Café in mein Google-Konto einloggen, um eine E-Mail zu drucken. Das Drucken hat auch geklappt – aber es hätte mich fast mein E-Mail-Konto gekostet.

Wie Passwörter geklaut werden

Was ist passiert? Vermutlich hat ein Möchtegern-Hacker auf eben jenem Computer, den ich zum Drucken benutzt habe, einen Keylogger installiert oder angeschlossen. Keylogger kommen entweder als kleine, virusähnliche Programme oder als ein Stück Hardware daher, die zwischen Tastatur und Computer gesteckt wird. Fortan wird einfach jeder Tastendruck gespeichert oder gleich ausgewertet und versendet.

Der Empfänger der auf den ersten Blick sinnlosen Zeichenanhäufung macht sich dann an die Auswertung. Dabei helfen Scripte und Programme, aber auch einfach nur das Auge. Wer beispielsweise die Webmail-Seiten von Google, Yahoo, Web.de, 1&1 oder anderen Providern aufruft und damit etwa mail.google.com eintippt, gibt danach höchstwahrscheinlich seinen Benutzernamen gefolgt vom Kennwort ein. Das gleiche gilt für eBay, für PayPal, Online-Banking-Seiten, das Miles-and-More-Konto und so weiter. Auf ähnliche Weise lassen sich natürlich auch Konto- oder Kreditkartennummern abgreifen.

Einfach dazwischengesteckt: Dieser USB-Keylogger kostet knapp 70 Euro und merkt sich alle Tastenanschläge. <i>Foto: www.keylogger-spion.de</i>” title=”Einfach dazwischengesteckt: Dieser USB-Keylogger kostet knapp 70 Euro und merkt sich alle Tastenanschläge. <i>Foto: www.keylogger-spion.de</i>” ><br /><i>Einfach dazwischengesteckt: Dieser USB-Keylogger kostet knapp 70 Euro und merkt sich alle Tastenanschläge. <i>Foto: www.keylogger-spion.de</i></i></p>
</p>
<p style=Alternativ dazu können zwischengeschaltete Computer oder manipulierte Router die Zugangsdaten direkt aus dem Internet-Datentransfer fischen. Oder versteckt installierte Tools oder Browser-Plugins greifen die Daten auf dem lokalen Rechner ab.

Das Ergebnis aber ist das gleiche: Fremde haben Zugriff auf private Daten. Je nach Intention der Täter nutzen sie das eigene E-Mail-Konto dann beispielsweise, um Viren und Trojaner mit scheinbar sicherem Absender an Kontakte aus dem Adressbuch zu verschicken. Oder sie versenden ganz ordinären Spam an hunderte, tausende, zehntausende E-Mail-Adressen. Oder sie nutzen die Passwort-Wiederherstellen-Funktionen von Bezahl- oder Shopping-Anbietern, um auf fremde Rechnung einzukaufen. Sie pushen vorübergehend die Bewertungen von E-Bay-Accounts, um dann mit vertrauenswürdig aussehenden Konten Schindluder zu treiben. Oder, oder, oder – die Möglichkeiten sind quasi unzählbar.

Wie man sich davor schützen kann

Ich hatte Glück. In meinem Fall war mein Googlemail-Konto betroffen. Die intelligenten Algorithmen des Suchmaschinenbetreibers haben prompt “merkwürdige Tätigkeiten” in meinem Account entdeckt und ihn sofort gesperrt. Nur unter Angabe meiner Handy-Nummer sowie mit Beantworten einer Sicherheitsfrage und durch Zusenden einer SMS konnte ich den Zugang wieder freischalten und ein neues Passwort festlegen. Aber solche Sicherheit kostet nun mal Geld und ist aufwändig – deswegen würde ich nicht die Hand dafür ins Feuer legen, dass so etwas noch einmal so gut verläuft. Oder dass es bei einem anderen Anbieter so gut verlaufen wäre.

Also, wie geht man damit um? Grundvoraussetzung ist ein sicheres Passwort. Denn wer sich mit seinem Geburtsdatum, dem Vornamen von Freundin oder Nachwuchs oder dem Namen der Lieblingsblume oder des Lieblingstiers einloggt, kann sich weitere Sicherheitsmaßnahmen von vornherein sparen. Denn für solche Accounts sind weder Keylogger noch Viren oder Trojaner nötig. Die öffnet das gemeine Script-Kiddie mal eben mit links.

Neueste Kommentare 

Noch keine Kommentare zu 2-Factor Authentication: Google- und Android-Account absichern in 10 Minuten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *