Zwei-Faktor-Authentifizierung bei Google: Doppelt gesichert mailt besser (2024)

Gewöhnlich sind Konten bei Onlinediensten genau einmal abgesichert, nämlich mitder Kombination aus Nutzernameund Passwort. Der Nachteil ist offensichtlich: Wer einmal dasPasswort kennt, kann sich automatisch Zugang verschaffen. Und dassviele Menschen ihre Log-ins direkt und ungesichert im Browserspeichern, macht es nicht besser. Die Zwei-Faktor-Authentifizierungdagegen schon. Wie der Name verrät,führt sie einen zweiten Faktor, also eine zweite Sicherheitsebene,für Log-ins ein. Statt nur das Passwort einzugeben, müssen sich dieNutzerinnen und Nutzer auf einem weiteren Weg verifizieren.

DieseVerifizierung kann mit einem Codegeschehen, derper SMS geschickt wird. Oder mit einer Authentifizierungs-App auf demSmartphone. Oder mit einem USB-Stick, den man bei jedem Log-in in denPC oder Laptop stecken muss. Um sich zueinem mit 2FA gesicherten Account Zugang zu verschaffen, benötigendie Angreifer somit nicht nur das Passwort, sondern auch noch Zugriffauf das Smartphone oder eben den USB-Key. Das macht es schwierigerfür Hacker – und somit sichererfür die Nutzer. Sicherheitsexpertinnen undauch das Bundesamt für Sicherheit in der Informationstechnikempfehlendeshalb den Einsatz von 2FA für möglichst viele Dienste.

Nochnicht, denn wiees auf der Website heißt, lässt sich das Verfahren auch wieder rückgängig machen. Google wechselt also gewissermaßen vom Opt-in-zum Opt-out-Modell: Bislang konnten die betroffenen Nutzerdie 2FA auf eigenen Wunsch aktivieren, nach der Umstellung müssensie diese von sich aus in den Einstellungen deaktivieren. Allerdings könnte dasVerfahren eines Tages tatsächlich verpflichtend sein: "Fürdie meisten Google-Konten ist die Bestätigung in zwei Schritten balderforderlich", deutetGoogle an. Dannwäre eine Nutzung ohne zusätzlicheAbsicherung nicht mehr möglich.

Sollte das Verfahren verpflichtend werden, dann vermutlich schon. Denn werjetzt dieZwei-Faktor-Authentifizierung bei Googleaktiviert, muss zunächst seinenAccount mit einer Mobilfunknummer verknüpfen, auf die einmalig einBestätigungscode geschickt wird. Erst danach lässt sich diegewünschte 2FA-Methode einrichten. Für alle Menschen, die ihreGmail-Adresse weitestgehend anonym verwenden, ist das natürlich einProblem, weil ihr Konto dann mit einer Telefonnummerverbunden ist, über die manidentifiziert werden könnte.Google versucht schonseit einigen Jahren zu erreichen,dass mehrNutzerinnen und Nutzer eine Telefonnummer hinzufügen; beim Erstelleneines neuen Kontos ist siemittlerweile sogar erforderlich.Sollte die Zwei-Faktor-Authentifizierung tatsächlich verpflichtend werden, müsstensich dann auchdie älteren Gmail-Kundenüberlegen, ob sie Google ihre Nummer geben wollen – oder obsie doch lieber zueinem anderen Mailanbieter wechseln.

Theoretischbietet Google mehrere Möglichkeiten an, sich zusätzlich zumPasswort zu verifizieren. Wer möchte, kann einen speziellen USB-Stick kaufen, den man bei jedem Log-in in den PC oder Laptop stecken muss, oder ein Gerät, das per Bluetooth den Log-in freigibt. Die gängigsten Varianten aber sind eine Bestätigung per App oder per SMS.

Aufforderungen: Für Nutzerinnen,die ihr Google-Konto mit einem Android-Smartphone verwenden, ändertsich durch die Umstellung am wenigsten. Zum einen haben sie ihr Kontoohnehin bereits mit ihrer Telefonnummer verknüpft. Zum anderenmüssen sie keine zusätzliche Authentifizierungs-App installieren,da die 2FA direkt in Android integriert ist. Sobald sie aktiviertwurde, schickt Google bei jedem neuen Log-in eineAufforderung in Form einer Benachrichtigung auf das mit dem Account verknüpfte Smartphone (oderauch auf mehrere Smartphones, die mit dem gleichen Google-Kontoverbunden sind): "Versuchen Sie sich gerade, bei einem zweitenComputer anzumelden?" Zur Auswahl stehen "Ja" oder"Nein, das bin ich nicht". Mit einem Klick wird der Log-in somitentweder authentifiziert oder abgelehnt. Diese sogenannten GooglePrompts gibt es auch für iPhones, hier muss aber zusätzlichdie Smart Lock App oder die Gmail-App installiert und eingerichtetsein.

SMS: Ebenfalls keineweiteren vorbereitenden Schritte benötigt die Authentifizierung per SMS, sofernGoogle bereits die Mobilfunknummer kennt. SMS ist dasStandardverfahren, wenn Google oder Gmail nicht auf einemSmartphone eingerichtet sind. Das könnte also alle Nutzerinnen und Nutzer betreffen, die etwa lediglich Gmail im Browser auf ihrem PC verwenden. DerUnterschied zur Authentifizierung über die Google Prompts besteht darin, dass man beim SMS-Verfahren den in der Nachrichtenthaltenen sechsstelligen Code bei einem neuen Log-in eingeben muss, manalso nicht bloß auf einen Link klicken kann. Es ist somit etwasmühsamer. Zudem muss eine Mobilfunkverbindung bestehen, wohingegen die Prompts auch dann funktionieren, wenn das Handy nur mit demWLAN verbunden ist. Gerade im Ausland, wenn man kein Roaming oder keinen Empfang hat,könnte die Verifizierung per SMS problematisch sein.

Authentifizierungs-App: Werseinen Google-Account nicht mit einem Smartphone verknüpft hat, wermehrere Gmail-Adressen gleichzeitig verwendet oder keineSMS erhalten möchte, muss auf einemSmartphone eine Authentifizierungs-App einrichten (eine genaue Anleitung finden Sie hier). Die bekanntestekommt direkt von Google selbst und heißt Google Authenticator, siegibt es sowohl für Androidals auch iOS.Ist die App installiert, kann man dortneue Konten per QR-Code hinzufügen, übrigens nicht nur für Google, sondern auch für andere Onlinedienste, die dieses Verfahren unterstützen. Man benötigt also nicht für jeden Dienst eine eigene Authentifizierungs-App. Den QR-Code für dasGoogle-Konto gibt es inden 2FA-Einstellungen. Einmalgescannt, ist das Konto in derAuthenticator-App gespeichert. Alle 60 Sekunden ändert sich hier dersechsstellige Code, den man, wie bei derSMS, beim Einloggen zusätzlich zum Passwort eingeben muss. DerVorteil der App: Die Codes werden offline erzeugt, das Smartphonemuss also nicht mit dem Internet oder Funknetz verbundensein.

Daswäre natürlich am sichersten, muss aber nicht zwingend sein. Beimersten Einloggenauf einem Gerät nach der Umstellung aufdie Zwei-Faktor-Authentifizierung kann manauswählen, dass auf diesem Gerät nichtmehr nach dem zweiten Faktor gefragt werden soll. Das kannhilfreich sein, wenn es sich etwaum den heimischen PC handelt, den manohnehin täglich nutzt und auf den niemand sonst Zugriff hat. IndenEinstellungen lassen sich alle vertrauenswürdigenGeräte später auch wieder widerrufen, wenn man den Überblickverloren hat oder die 2FA noch einmal komplett neu aufsetzen möchte.

Auf demSmartphone können Sie sich in vielen Apps direkt mit IhremGoogle-Account einloggen. Hier greifen die oben genannten Verfahren. Viele Mailprogramme auf dem PC, zum Beispiel Thunderbird, unterstützten den"Log-in mit Google" aber nicht und somit auch nicht dieZwei-Faktor-Authentifizierung. Um diese Programme trotzdem weiterhinzu nutzen, gibt es die Möglichkeit, sogenannte App-Passwörterzu erstellen. Diese Passwörter gibt man dann einmalig in denjeweiligen Programmen ein, wenn danach gefragt wird. Sie sindunbegrenzt gültig, man muss sie also nur einmal eingeben beziehungsweise so lange, bis mansie wieder im Google-Konto löscht. In Mailprogrammen wie Thunderbirdkann es sein, dass man sowohl für den Posteingang als auch denPostausgang ein eigenes App-Passwort anlegen muss.

"Siekönnen jederzeit einen anderen zweiten Schritt verwenden, den Sieeingerichtet haben." So steht es in den Google-Einstellungen.Doch offenbar stimmt das nicht, denn es gibt, zumindest in unseremTest, keine Auswahlmöglichkeit, um ein anderes Verfahren zumStandard zu machen. Google scheint die Reihenfolge vielmehr automatisch zu bestimmen: Die Google Prompts etwa scheinenimmer dann Standard zu sein, wenn der Account mit einem Smartphoneverknüpft wurde. Selbst wer anschließend die Authenticator-Appeinrichtet, kann diese nicht den Prompts vorziehen. Die Appgreift nämlich nur dann, wenn man sich bei allen aktiven Gerätenausloggt, was manche Nutzer irritiert. Die Authentifizierung-App ist also gewissermaßen die Back-up-Option.

Ähnlichist es bei der SMS: Wer zunächst dieZwei-Faktor-Authentifizierung per SMS einrichtet, aber anschließendden Authenticator installiert, macht automatisch diesen zum Standardund die SMS wird zum Back-up. Möglicherweise, weil dieAuthentifizierungs-App als sicherer als SMS gilt, die sich vergleichsweiseeinfach abfangen lassen. Dennoch ist die Tatsache, dass man dasgewünschte Verfahren nicht einfach anpassen kann, nicht wirklich nutzerfreundlich. Möglicherweise passt Google das aber noch an, vielleicht ja spätestens dann, wenn die Bestätigung in zwei Schritten wirklich für alle Nutzerinnen und Nutzer verpflichtend wird.