2-Factor Authentication: Google- und Android-Account absichern in 10 Minuten

von Daniel Schraeder am , 19:00 Uhr

Passwörter und Sicherheit? Unsexy. Niemand möchte sich mehr damit auseinandersetzen als unbedingt nötig, aber es hilft ja nichts. Wer bereit ist, etwa zehn Minuten seiner Zeit zu investieren, bekommt bei Google künftig mit der 2-Wege-Identifikation aber ein Werkzeug an die Hand, was die Sicherheit gravierend steigert – und den Aufwand in Grenzen hält. Wir zeigen, was das heißt und wie es funktioniert.

Zugegeben, das Thema ist nicht sonderlich sexy. Es macht auch viel mehr Spaß, über hochauflösende, gestochen scharfe Smartphone [1]-Displays, 3D-fähige Spielekonsolen oder Megazoom-Kameras zu schreiben. Aber mit Passwörtern ist es nun mal so wie mit Backups oder Virenscannern: Was schert mich das Geschwätz! Bis zu dem Zeitpunkt, zu dem die Festplatte die Grätsche macht und die Hochzeits- oder Urlaubsfotos dahingesiecht sind. Oder der Virus zugeschlagen hat und sämtliche Dokumente unbrauchbar gemacht hat. Oder jemand doch tatsächlich ein zu schwaches Passwort erraten oder ein anständiges Passwort per Keylogger ausspioniert hat.

Letzteres ist mir vor wenigen Monaten tatsächlich passiert. Bis dahin war mein Umgang mit Passwörtern wohl nicht großartig anders als der des Durchschnittsmenschen. Okay, ich weiß, wie Brute-Force-Attacken funktionieren, und deswegen beinhalten meine Kennwörter weder Worte, die im Duden stehen, noch Geburtsdaten, Telefonnummern oder ähnlich leicht erratbaren Murks. Ich weiß auch, dass man Passwörter für wichtige Accounts oder für Dienste, bei denen Geld im Spiel ist, nicht einfach so an fremden oder gar öffentlichen Rechnern eintippt. Aber so ist das nun mal in der Praxis. Es hilft ja nichts, ich musste mich in einem Internet-Café in mein Google [2]-Konto einloggen, um eine E-Mail zu drucken. Das Drucken hat auch geklappt – aber es hätte mich fast mein E-Mail-Konto gekostet.

Wie Passwörter geklaut werden

Was ist passiert? Vermutlich hat ein Möchtegern-Hacker auf eben jenem Computer, den ich zum Drucken benutzt habe, einen Keylogger installiert oder angeschlossen. Keylogger kommen entweder als kleine, virusähnliche Programme oder als ein Stück Hardware daher, die zwischen Tastatur und Computer gesteckt wird. Fortan wird einfach jeder Tastendruck gespeichert oder gleich ausgewertet und versendet.

Der Empfänger der auf den ersten Blick sinnlosen Zeichenanhäufung macht sich dann an die Auswertung. Dabei helfen Scripte und Programme, aber auch einfach nur das Auge. Wer beispielsweise die Webmail-Seiten von Google, Yahoo, Web.de, 1&1 oder anderen Providern aufruft und damit etwa mail.google.com eintippt, gibt danach höchstwahrscheinlich seinen Benutzernamen gefolgt vom Kennwort ein. Das gleiche gilt für eBay, für PayPal, Online-Banking-Seiten, das Miles-and-More-Konto und so weiter. Auf ähnliche Weise lassen sich natürlich auch Konto- oder Kreditkartennummern abgreifen.

Einfach dazwischengesteckt: Dieser USB-Keylogger kostet knapp 70 Euro und merkt sich alle Tastenanschläge. <i>Foto: www.keylogger-spion.de</i>“ title=“Einfach dazwischengesteckt: Dieser USB-Keylogger kostet knapp 70 Euro und merkt sich alle Tastenanschläge. <i>Foto: www.keylogger-spion.de</i>“ ><br /><i>Einfach dazwischengesteckt: Dieser USB-Keylogger kostet knapp 70 Euro und merkt sich alle Tastenanschläge. <i>Foto: www.keylogger-spion.de</i></i></p>
</p>
<p style=Alternativ dazu können zwischengeschaltete Computer oder manipulierte Router die Zugangsdaten direkt aus dem Internet-Datentransfer fischen. Oder versteckt installierte Tools oder Browser-Plugins greifen die Daten auf dem lokalen Rechner ab.

Das Ergebnis aber ist das gleiche: Fremde haben Zugriff auf private Daten. Je nach Intention der Täter nutzen sie das eigene E-Mail-Konto dann beispielsweise, um Viren und Trojaner mit scheinbar sicherem Absender an Kontakte aus dem Adressbuch zu verschicken. Oder sie versenden ganz ordinären Spam an hunderte, tausende, zehntausende E-Mail-Adressen. Oder sie nutzen die Passwort-Wiederherstellen-Funktionen von Bezahl- oder Shopping-Anbietern, um auf fremde Rechnung einzukaufen. Sie pushen vorübergehend die Bewertungen von E-Bay-Accounts, um dann mit vertrauenswürdig aussehenden Konten Schindluder zu treiben. Oder, oder, oder – die Möglichkeiten sind quasi unzählbar.

Wie man sich davor schützen kann

Ich hatte Glück. In meinem Fall war mein Googlemail-Konto betroffen. Die intelligenten Algorithmen des Suchmaschinenbetreibers haben prompt „merkwürdige Tätigkeiten“ in meinem Account entdeckt und ihn sofort gesperrt. Nur unter Angabe meiner Handy-Nummer sowie mit Beantworten einer Sicherheitsfrage und durch Zusenden einer SMS konnte ich den Zugang wieder freischalten und ein neues Passwort festlegen. Aber solche Sicherheit kostet nun mal Geld und ist aufwändig – deswegen würde ich nicht die Hand dafür ins Feuer legen, dass so etwas noch einmal so gut verläuft. Oder dass es bei einem anderen Anbieter so gut verlaufen wäre.

Also, wie geht man damit um? Grundvoraussetzung ist ein sicheres Passwort. Denn wer sich mit seinem Geburtsdatum, dem Vornamen von Freundin oder Nachwuchs oder dem Namen der Lieblingsblume oder des Lieblingstiers einloggt, kann sich weitere Sicherheitsmaßnahmen von vornherein sparen. Denn für solche Accounts sind weder Keylogger noch Viren oder Trojaner nötig. Die öffnet das gemeine Script-Kiddie mal eben mit links.

Ein anständiges Passwort ist lang, besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Man wendet es nur einmal an und schreibt es nicht auf. Aber wie soll man sich Kennwörter wie Ilgd2.AaC! überhaupt merken? Eine Möglichkeit sind Merksätze. Das vorige Passwort könnte etwa heißen: „Ich lese gerade den 2. Artikel auf CNET!“. Man nimmt von jedem Wort den Anfangsbuchstaben – und fertig ist die Laube.

Und dieses Passwort sollte man hüten wie einen Schatz. Man sollte es weder anderen Personen „leihen“, die sich auch einfach einen eigenen Account für Ebay oder E-Mails anlegen könnten, noch an öffentlichen Orten nutzen oder an fremden Computern. Aber vor allem letzteres ist natürlich leichter gesagt als getan, wie ich auch selbst feststellen musste.

Anmeldung in zwei Schritten schützt

Um einen, naja, nicht gerade sorglosen, aber zumindest nicht übertriebenen Umgang mit Zugangsdaten zu ermöglichen, gibt es die sogenannte 2-Step Verification. Oder 2-Factor. Oder Authentication statt Verification. Gemeint ist aber immer das gleiche: Man benötigt zwei Dinge, um sich anzumelden. Eines davon muss man wissen, das andere muss man haben. Zunehmend bieten diverse Online-Anbieter diese Möglichkeit der Sicherheit an, beispielsweise Paypal und Google.

In beiden Fällen weiß man üblicherweise sein Passwort, zusätzlich benötigt man sein Handy. Wer diese zusätzliche Sicherheitsstufe bei Paypal aktiviert, bekommt nach der Anmeldung mit Benutzernamen und Kennwort einen Code per SMS zugesendet, den er eintippen muss, um die Konfiguration zu vervollständigen. Bei Google klappt das genauso, allerdings bietet der Suchmaschinenbetreiber auch zusätzlich eine Android [3]-App zum kostenlosen Download im Market an, die permanent die sogenannten Einmal-Kennwörter auf dem Display anzeigt. Wer sich einloggen möchte, geht also auf die Google-Webseite, tippt Usernamen und Kennwort ein, startet die App und tippt von dort eine sechsstellige Zahl ab.

Das ist doch nervig, oder? Naja, nicht ganz. Denn es gibt zwei Möglichkeiten, diesen zusätzlichen Schritt kontrolliert zu umgehen. Beim Einloggen zu Googlemail beispielsweise fragt die Webseite, ob der gerade genutzte Compter vertrauenswürdig ist. Wer das bejaht, muss von diesem Rechner aus für die nächsten 30 Tage nicht zusätzlich das Einmalpasswort eingeben. Außerdem gibt es die Möglichkeit, dauerhafte Kennwörter für bestimmte Anwendungen zu vergeben. Wer etwa Outlook nutzt, um auf seine Google-E-Mails zuzugreifen oder das Postfach mit seinem Handy synchronisiert, kann für diese Anwendungen jeweils ein einzigartiges Passwort generieren.

Einen Punkt gibt es dabei aber noch zu beachten: Die Gefahr, sich selbst dauerhaft auszusperren, steigt. Deswegen muss es immer noch eine zusätzliche Möglichkeit geben, an ein Einmalpasswort zu kommen, wenn beispielsweise das Handy verloren geht oder zurückgesetzt werden muss. Google speichert für diesen Zweck zusätzlich die Handynummer, an die es bei Bedarf einen Schlüssel per SMS schickt. Außerdem fordert es bei der Einrichtung dazu auf, zehn einmalige Zusatzpasswörter auszudrucken oder aufzuschreiben und an einem sicheren Ort zu verwahren.

Wie die Einrichtung der 2-Step Verification funktioniert, zeigen wir anhand der folgenden Bildergalerie.

Fazit

Zusätzliche Passwörter, Handy, SMS – das ist doch noch nerviger! Mag sein, aber es ist immer noch eine vergleichsweise angenehme Lösung. So kann man nämlich relativ sorglos auch an nicht vertrauenswürdigen Computern auf sein Google- oder Paypal-Konto zugreifen, denn sollte jemand an Benutzernamen und Passwort kommen, nützt ihm das nichts. Das beim Anmeldevorgang genutzte Einmalpasswort funktioniert beim nächsten Versuch nicht mehr.

Die einmalige Einrichtung sowie das gelegentliche Herauskramen vom Handy ist auf jeden Fall weniger zeitraubend als zu versuchen, wieder Zugriff auf ein übernommenes Konto zu erlangen. Oder den Freunden und Geschäftspartnern zu erklären, warum man Viren, Trojaner oder Spam verschickt. Oder sich mit seiner Bank auseinanderzusetzen, um das Geld wieder zu erlangen.

Ich habe jedenfalls sowohl bei Google als auch bei Paypal den zusätzlichen Schutz aktiviert. Und alle anderen Dienste nutze ich nur an meinem eigenen Computer.

Artikel von CNET.de: https://www.cnet.de

URL zum Artikel: https://www.cnet.de/41550485/2-factor-authentication-google-und-android-account-absichern-in-10-minuten/

URLs in this post:

[1] Smartphone: http://www.cnet.de/themen/smartphone/

[2] Google: http://www.cnet.de/unternehmen/google-inc/

[3] Android: http://www.cnet.de/themen/android/

[4] So funktioniert's: 2-Factor Authentication bei Google einrichten: https://www.cnet.de/41550496/so-funktioniert-s-2-factor-authentication-bei-google-einrichten/?pid=1#sid=41550485