Freitag, 4. Januar 2013

Mehr Sicherheit bei Google ...

... der eine oder andere hat bestimmt schon von Googles neuem Sicherheitsverfahren bei der Anmeldung gelesen. Hinter dem Namen "2 Wege Authentifizierung" verbirgt sich ein Prinzip, dass in seiner Logik auch ohne IT Kenntnisse zu verstehen ist: Um sich gegenüber einem Dienst anzumelden, kann ganz allgemein geprüft werden, ob der Nutzer er selbst ist, ob er etwas bestimmtes weiß oder ob er etwas bestimmtes hat.

Um zu prüfen welcher Benutzer vor dem Gerät sitzt, könnten biometrische Daten, beispielsweise das Gesicht, der Fingerabdruck oder die Iris gescannt werden. Leider sind die hierzu nötigen Geräte sehr teuer und könnten manipuliert werden. In der Praxis ist dieses Kriterium schwer umsetzbar.

Mittels Passwort oder PIN wird typischerweise das Wissen um einen Zugangscode abgefragt. Nur wer das Passwort weiß, kann sich mit einem Benutzerkonto anmelden. Dieses Verfahren ist typisch für Internetdienste, die Gefahr eines Passwortmissbrauchs ist aber allgemein bekannt. Findige Betrüger habe sich zahlreiche Methoden überlegt, um die Passwörter von Nutzern zu stehlen.

Die Dritte Möglichkeit ist der Besitz eines Zugangsmediums, sozusagen eines Schlüssels. Dieser Schlüssel ist an den physischen Besitz, beispielsweise einer SmartCard oder einer Tan-Liste gebunden.

Um nun die Sicherheit zu erhöhen, fragt Google für seine Dienste zusätzlich zum bekannten Passwort alle 30 Tage und pro zugreifendem System einen Code ab, der auf das Mobiltelefon gesendet wird und kombiniert so das Wissen eines Passwortes mit dem Besitz eines bestimmten Telefons. Im Ergebnis kann ein Internetbetrüger mit einem gestohlenen Passwort nur zugreifen, wenn er auch das zugehörige Mobiltelefon hat. Dazu gehört dann schon eine Menge kriminelle Energie und wäre im großen Maßstab nicht denkbar.



Die 2 Wege Authentifizierung kann für Google Dienste unter folgendem Link aktiviert werden: Klick

Für jede Anwendung, die Auf den Google-Account zugreift muss im Nachgang ein anwendungsspezifisches Passwort generiert werden. Das hat mich noch mal 20 Minuten Zeit gekostet, verhindert aber dass eine App das Hauptpasswort unbemerkt weitergeben kann und schützt so zusätzlich vor Missbrauch. Der Aufwand lohnt sich und ich werde in meinem Umfeld Werbung machen und bei der Aktivierung unterstützen.