X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Google Authenticator – Mehr Sicherheit für euer Google-Konto

Thomas Weissenbacher
42

Immer wieder hört man Horror-Meldungen von geknackten Online-Konten. Viele Android-Nutzer haben auf ihrem Google-Konto und den damit verknüpften Diensten Unemengen an Information gespeichert. Was, wenn das Konto geknackt wird? Ein Alptraum. Mit der 2-Schritt-Bestätigung und der App Google Authenticator schafft man sehr viel mehr Sicherheit für das eigene Google-Konto!

 

5 ★★★★★

Bewertung

Getestete Version Aktuelle Version
2.24 2.49

Funktionen & Nutzen

Testgeräte
Samsung Galaxy Nexus
Android Version: 4.1.1
Root: Ja
Modifikationen: Ja / Popcorn Kernel 11.5

Samsung Galaxy Tab 10.1
Android Version: 4.0.4
Root: Ja
Modifikationen: Nein

Details zur App
Verwendbar ab: Android 2.1
Apps2SD: Auf beiden Geräten nicht feststellbar
Größe nach Installation: Ca. 0.9 MB
Ice Cream Sandwich bzw. Jellybean optimiert: Ja
Tablet-optimiert: Nein, läuft aber problemlos

Berechtigungen
Netzwerkkommunikation
Hardware-Steuerelemente: Vibrationsfunktion

Fazit zu den Berechtigungen
Die Berechtigungen sind absolut ok und zeigen keine Auffälligkeiten.

Regelmäßig hört man, dass bei einem Online-Dienst wieder einmal gleich eine ganze Menge an Konten geknackt wurde. Es gibt sicher Dienste im Internet, bei denen das nicht allzu tragisch wäre. Aber das Google-Konto ist für viele Menschen enorm wichtig – besonders Android User nutzen die damit verknüpften Dienste oft sehr intensiv. Aber alleine schon ein Gmail-Account kann viele sensible und wichtige Informationen enthalten! Kaum vorstellbar, was man mit einem gehackten Google-Konto alles anstellen könnte. Ich nehme mich jetzt mal als Beispiel: Gmail, Youtube, Google Drive, Google+, Picasa – all das wäre in den Händen einer fremden Person. Vertrauliche Informationen, private Fotos (die z.B. von der Google+ App automatisch in einen privaten Ordner hochgeladen werden), Dokumente und Daten auf Google Drive – ein gehacktes Google-Konto würde ohne Übertreibung einem echten Einbruch in meine Wohnung gleichkommen.

Viele Dinge in der Cloud zu speichern ist sehr praktisch und ich möchte es nicht missen. Viele Experten warnen aber vor den massiven Sicherheitsproblemen, die das nach sich ziehen kann. Und das verstehe ich – nur: Es kann auch jemand mein Notebook stehlen und dort Daten auslesen. Cyber-Kriminalität ist aber viel anonymer und schwerer zu verfolgen. Lange Rede, kurzer Sinn: Mehr Sicherheit muss her! Und Google Authenticator ist eine hervorragende Möglichkeit, effektiv und einfach dafür zu sorgen. Das Prinzip ist einfach: Wenn man sich bei einem Google-Dienst mit dem Google-Konto anmeldet (Email und Passwort), wird man zusätzlich noch aufgefordert eine Zahlenfolge einzugeben. Diese wird direkt in der Google Authenticator App generiert. Der Google Authenticator wiederum ist synchron mit den Google-Servern, soll heißen: Google „weiß“, welcher Code in der App generiert wird und somit gültig ist.

Am besten ist es, sich die App auf einem oft benutzen Gerät herunterzuladen (ich habe sie auf meinem Galaxy Nexus). Das habe ich immer bei mir. Wird die App geöffnet, generiert sie am laufenden Band Zahlenfolgen, die 30 Sekunden lang andauern. Diese gibt man dann bei der 2-Schritt-Bestätigung nach dem normalen Passwort ein. Zuerst muss man das Gerät, auf dem der Google Authenticator läuft, natürlich erst bestätigen – am einfachsten geht das über eine bereits bestätige Telefonnummer, an die ein Code gesendet wird. Danach einfach in den Einstellungen des Google-Kontos im Browser unter „Sicherheit“ die 2-Schritt-Bestätigung aktivieren und bei den Geräten „Android“ wählen. Danach erscheint ein QR-Code, den man mit der Google Authenticator App einscannt – schon hat man die App eingerichtet. Dieser Schritt war mir zumindest auf den ersten Blick nicht ganz klar – ich fragt mich, woher man denn den QR-Code bekommt. Die Google Authenticator App hat eine einfache Erklärung integriert, das Generieren des QR-Codes in den Einstellungen des Google Konto wird aber nicht erwähnt. Natürlich liegt es nahe, dass man ihn in den Sicherheitseinstellungen des Google-Kontos findet – auch wenn man die Option leicht übersieht.

Aber klappt das mit der App und der Bestätigung auch? Ja! Der Code erscheint für 30 Sekunden am Display, danach kommt ein neuer. Jeder Code ist aber für rund eine Minute gültig. Danach funktioniert er nicht mehr. Wirklich private Geräte kann man auch als „sicher“ bestätigen – die 2-Schritt-Bestätigung fällt dann weg. Tue ich das am Galaxy Tab 10.1 z.B. nicht, verliert das Gerät die Verbindung mit dem Google Konto und auch am Tab muss ich mich mit zwei Schritten anmelden. Sehr gut! Und wie holt man sich jetzt maximale Sicherheit für das eigene Konto? Meine Tipps:

  • Wirklich nur private Geräte als „sicher“ einstufen.
  • Auf fremden PCs oder Geräten wenn möglich im Inkognito-Modus surfen und anmelden und...
  • ... die Browser-Option „Passwort speichern“ nicht wählen.
  • Die Google-Option „angemeldet bleiben“ auslassen.
  • Nach beendeter Sitzung abmelden.

Diese Schritte, in Verbindung mit dem Google Authenticator, dürften die Sicherheit wohl um ein Vielfaches verbessern!

Fazit: Der Google Authenticator ist eine hervorragende Möglichkeit, das Google Konto effektiv aber dennoch ohne größere Umstände abzusichern. Ich kann die App und die 2-Schritte-Bestätigung wirklich nur jedem Leser ans Herz legen.

Hinweis: Die Wertung mag natürlich hoch – „zu hoch“ – erscheinen. Ich habe lange überlegt, ob ich sie wirklich so belassen soll. Tatsache ist aber: Die App tut genau das was man sich erwartet, sorgt für sehr viel mehr Sicherheit, funktionierte reibungslos und ist auch ansonsten hervorragend gemacht. Einen oder mehrere Punkte abzuziehen wäre darum wirklich unfair! Auch im Play Store wird der Google Authenticator mit 5 Sternen „belohnt“.
 

 

Bildschirm & Bedienung

Eine Google App und dazu im Holo-Design (das standardmäßige Ice Cream Sandwich und Jelly Bean Design, Anm.). Muss ich noch viel mehr sagen? Google Authenticator ist absolut einfach zu verwenden und bedient sich wie eine ins System integrierte Anwendung. Schlicht, einfach, gut.

 

Speed & Stabilität

Es gab währen des Testens am Google Authenticator absolut nichts zu bemängeln.

 

Preis / Leistung

Der Google Authenticator ist kostenlos und werbefrei im Play Store erhältlich.

 

Screenshots

Google Authenticator – Mehr Sicherheit für euer Google-Konto Google Authenticator – Mehr Sicherheit für euer Google-Konto Google Authenticator – Mehr Sicherheit für euer Google-Konto Google Authenticator – Mehr Sicherheit für euer Google-Konto

Vergleichbare Anwendungen

Vergleichbare Anwendungen sind uns derzeit nicht bekannt. Solltest Du aber eine kennen, so wäre es nett, wenn Du uns kurz eine Mitteilung schreiben könntest.

Entwickler

Google Inc.

Kommentare

Neuen Kommentar schreiben:
  • DaMaurice 26.08.2012 Link

    Benutze ich schon seit langem - einfach 1A !!

    0
    0
  • Benedikt S. 26.08.2012 Link

    Es heißt Albtraum, man träumt nicht von den Alpen

    0
    0
  • Thomas Weissenbacher 26.08.2012 Link

    @Benedikt S.: Nicht ganz richtig. Beide Schreibweisen sind korrekt, vor der Rechtschreibreform war sogar nur "Alptraum" gültig.

    0
    0
  • el_greto 26.08.2012 Link

    @Thomas Weissenbacher:
    wenn schon klugscheißen, dann lieber vorher nachlesen. die zweite Hälfte deiner letzten Aussage ist absolut falsch.

    0
    0
  • Max Völker 26.08.2012 Link

    Pwnd!
    Die Legenden der Alb(ae) sind aber auch nen Traum ;-)

    0
    0
  • Thomas Weissenbacher 26.08.2012 Link

    @el greto: Erstens einmal: Man kann auch diskutieren ohne ausfallen zu werden. Zweitens: Mit "klugscheißen" hat das nichts zu tun, da es eine Antwort auf ein nicht richtiges Statement war. Drittens: "Das Wort leitet sich vom „Alb“ ab. Im Althochdeutschen stehen die beiden Schreibweisen „Alb“ und „Alp“ gleichberechtigt nebeneinander. Der Duden von 1991 nennt zwar sowohl „Alb“ als auch „Alp“, jedoch nur „Alptraum“. Nach der Rechtschreibreform stehen im neuen Duden auch für den Traum „Alptraum“ und „Albtraum“ gleichberechtigt nebeneinander." Quelle: WIkipedia

    0
    0
  • el_greto 26.08.2012 Link

    ok doch falsch. Österreich und brd unterscheiden sich da wohl etwas.

    0
    0
  • Ingo B. 26.08.2012 Link

    Gott sei Dank

    0
    0
  • PeterShow 26.08.2012 Link

    Der Duden gilt sowohl für Deutschland, Österreich als auch für die Schweiz.

    0
    0
  • Martin A. 26.08.2012 Link

    und in china ist gerade ein sack reis umgefallen...

    0
    0
  • LuBo 26.08.2012 Link

    OFF TOPIC!!!!

    0
    0
  • Dirk Richter 26.08.2012 Link

    Hallo Leutz
    Und vielen Dank....
    Ihr habt mir den Abend gerettet
    *grööhhl :-D

    0
    0
  • nica 26.08.2012 Link

    Jetzt mal was zum Thema ;-):

    Es fehlt im Test die wichtige Info, dass man die App "Google Authenticator" grundsätzlich auch für andere Anmeldungen außerhalb Google nutzen kann.

    Beispiel: Dropbox.

    Dropbox hat nun endlich (bisher in der Beta-Version) auch die 2-Schritt-Anmeldung eingeführt, diese ist mit der App "Google Authenticator" auch nutzbar.

    0
    0
  • Michel k. 26.08.2012 Link

    cool werd ich mir gleich holen

    0
    0
  • AR88 26.08.2012 Link

    Die App hatte ich vor einiger Zeit mal installiert gehabt - müsste ich doch direkt mal nachholen.

    Übrigens gab es bei mir mal Probleme bei der Einrichtung des Telefons (nach dem Flashen) als ich die 2-Schritt-Registrierung aktiv hatte. Da klappte nämlich die Anmeldung nicht ...

    0
    0
  • Claus Wehrs 27.08.2012 Link

    Mal eine kurze Verständnisfrage: Die App braucht eine Netzverbindung, damit die Google Server wissen welchen Code sie generiert hat!
    Wenn ich mich nun im Urlaub im Ausland an z.B. einem Hotelrechner an meinem Gmail Account anmelden will, und ich kein Datenromming mache, dann geht das nicht!? Richtig?
    Oder wie meld ich mich dann an?

    0
    0
  • Teracon 27.08.2012 Link

    Und was passiert wenn man sein Handy verliert?

    0
    0
  • nica 27.08.2012 Link

    Die App braucht eben KEINE Netzverbindung. :)

    Wenn man sein Handy verliert:
    - Man kann sich über einen PC anmelden, der als vertrauenswürdig eingestuft wurde für 30 Tage.
    - Anmelden mit einem der 10 Notfall-Codes, die man sich mal ausdrucken sollte.

    Und das verlorene Handy kann man mal eben per Klick aus Google ausschließen, ohne das Passwort ändern zu müssen und bei anderen Geräten alles ändern zu müssen.

    0
    0
  • Thomas G. 27.08.2012 Link

    @AR88:
    Bei der Anmeldung deines Handys während der Einrichtung, solltest du eines der einmalig generierten Passwörter verwenden, welches du in den Sicherheitseinstellungen deines Google Kontos generieren kannst.
    Die Zweischrittanmeldung mit dem Google Authenticator funktioniert nämlich beim Anlegen eines Google Kontos auf dem Androiden nicht. Dazu brauchst du ein einmaliges Passwort.

    0
    0
  • Patrick 27.08.2012 Link

    Als weitere Hinweis bzgl. der 2-way Auth fürs Google Konto sollte man vermerken, dass das System die Sicherheit nur etwas verbessert leider aber den Userkomfort erheblich senkt.
    Knackpunkt an der ganzen Geschichte sind nämlich die sog. App-spezifischen Passworte, die sind nämlich keineswegs spezifisch sondern erlauben alle Vollzugriff, ohne 2-way Auth.
    Der Sicherheitsgewinn daheim liegt nur in der besseren Übersichtlichkeit welches Programm einen Zugangscode gespeichert hat, die man im Zweifelsfall revoken kann. Im Internetcafe oder bei zwielichtigen Freunden is die 2-way Auth natürlich super, wenn man sich im Browser mal schnell mit seinem Google Account anmelden möchte.

    0
    0
  • Thomas G. 27.08.2012 Link

    Der Vollzugriff erfolgt aber doch nur für die jeweilige App und die ist ja auf deinem Handy.
    Das wäre nur ein Problem, wenn du es verlierst und dass ist eh immer ungünstig.
    Dafür kann man dann aber mit wenigen Klicks alle App spezifischen Passwörter entfernen und das Konto ist sicher.
    Würde jede App die zweifache Anmeldung verlangen, wäre man ja nur noch Codes am eintippen. Das macht schon Sinn.
    Der Mehrwert an Sicherheit liegt vor allem bei der Anmeldung im Browser.

    0
    0
  • Michael S. 27.08.2012 Link

    hat bei mir nicht funktionierte. aber Google bietet auch per telefonanruf die Authentifizierung an. ist auch kostenlos, sicher und noch einfacher zu handhaben.

    0
    0
  • Zlatan 27.08.2012 Link

    Seit ich Google Authenticator aktiviert habe, steht die Option nicht mehr zur Verfügung, dass ich den Code per Handy bekommen kann. Tritt der selbe Fall auch bei euch auf?

    0
    0
  • nica 27.08.2012 Link

    Ja. Du kannst jedoch auf "Sie haben Ihr Telefon nicht zur Hand?" klicken und den SMS-Versand veranlassen - etwas unlogisch .. :)

    Aber wenn man die App hat, braucht normalerweise man ja keine SMS.

    0
    0
  • Zlatan 27.08.2012 Link

    Brauchst sehr wohl in dem Moment, wo dir das Handy gestohlen wurde und kein anderer Weg möglich ist, in das E-Mail Postfach zu kommen. Deswegen ist die SMS praktisch, weil man eine neue SIM bekommt und die Handynummer gleich bleibt. Und dieses Google Authentication kannst dann im neuen Handy nicht installieren, weil du musst vorher in deinen Google Acc, in welchen du dann nicht hinein kommst.

    So. Ich habe jetzt auf "Sie haben Ihr Telefon nicht zur Hand" geklickt und es steht folgendes.

    Option 1: Ersatzcode
    Option 2: Ich kann auf keines meiner Telefone zu greifen.

    Ersatzcodes besitze ich keines. Und gehe jetzt zur Option 2 über. Da komme ich nie und nimmer an mein E-Mail Postfach ein. Habe alles mögliche versucht.

    0
    0
  • nica 27.08.2012 Link

    Ich habe als Optionen eingestellt:

    - Meine Handynummer
    - Eine Erstzhandynummer

    Klappt also prima, wenn das Handy gestohlen wurde. Und doch, du besitzt Ersatzcodes (Notfallcodes, siehe oben) - hier deine Einstellungen bei Google:
    https://accounts.google.com/b/0/SmsAuthConfig

    0
    0
  • Zlatan 27.08.2012 Link

    tja und wie komme ich jetzt an diese Codes ran?

    habe sie nirgendwo gespeichert und gedruckt

    0
    0
  • nica 27.08.2012 Link

    Dann mach das doch mal.

    0
    0
  • Zlatan 27.08.2012 Link

    Die Kommunikation über dieses Kommentarfeld, empfinde ich als sehr einschränkend.

    0
    0
  • nica 27.08.2012 Link

    Da hast du Recht.

    Ich weiß aber auch nicht, ob du theoretisch schreibst oder tatsächlich JETZT dein Handy gestohlen wurde, ohne dass du Ersatznummern angegeben hast und keine Ersatzcodes gedruckt hast.

    0
    0
  • Philipp K. 31.08.2012 Link

    ist das sowas wie der battle.net authenticator? einfach für sein google-konto?

    0
    0
  • Benjamin R. 02.09.2012 Link

    also ich bin denn einfach mal froh das ich schon ein ewiglanges unmögliches Passwort besitze an dem ich jedesmal eh schon genug zu tippen habe :-D
    ansonsten nutze ich einfach die Masterpasswort Funktion um gezielte apps bei Diebstahl zu schützen und anti Theft ist da auch hilfreich :-)

    0
    0
  • engländer 02.09.2012 Link

    Der Bericht ist genauso unverständlich wie der Text im Google-Market.
    Welche Einschränkungen habe ich z. B. im täglichen Gebrauch meiner Geräte? Solche Fragen sind für den "Normalnutzer" entscheidend. Die werden aber hier nicht geklärt.

    0
    0
  • nica 02.09.2012 Link

    Was für "Einschränkungen" sollte diese App denn produzieren? KEINE.

    Sie bietet mehr Möglichkeiten als ohne die App für Leute, die die 2-Schritt - Anmeldung nutzen.

    Solltest du die 2-Schritt-Anmeldung grundsätzlich meinen: Die wird ja hier nicht getestet, es geht ja nur um eine App.

    Aber zur Beruhigung: Durch die 2-Schritt - Anmeldung grundsätzlich hat man eigentlich fast keine Einschränkung: An Browsern an fremden Geräten den Zusatzcode eingeben, an Browsern an vertrauenswürdigen Geräten dies alle 30 Tage.

    0
    0
  • User-Foto
    Marvin B. 02.09.2012 Link

    Schade das man für die App unbedingt einen Standrechner oder ein Zweitgerät braucht...
    Ich persönlich habe nämlich nur ein Gerät für alles(mein Samsung Galaxy S3).

    0
    0
  • nica 02.09.2012 Link

    Wieso sollte man für die App "einen Standrechner oder ein Zweitgerät" brauchen?

    Man kann doch alles auch über den Browser am Handy einrichten (Desktop-User-Agent), bequem ist es zugegebenermaßen nicht. Also einmalig das an einem Desktop-PC einrichten ist schon viel bequemer - nötig aber nicht unbedingt.

    0
    0
  • User-Foto
    Marvin B. 02.09.2012 Link

    Ich meinte das so, wenn einem dann aber das Smartphone kaputt gehen sollte. Dann kommt man doch überhaupt nicht mehr an seinem Google Account ran. Weil man ja keine Alternativen Geräte zur Verfügung hat.

    0
    0
  • nica 02.09.2012 Link

    Wenn dein Smartphone weg ist, brauchst du NATÜRLICH ein anderes Gerät, um in deinen Google-Account zu kommen. OHNE Gerät geht es nicht. :)

    Was für ein Gerät das ist, ist egal. Falls du keinen vertrauenswürdigen Browser irgendwo bereits definiert hattest, gehst du einfach mit einem deiner 10 Ersatzcodes in deinen Account. Egal mit welchem Gerät.

    0
    0
  • Lisa F. 02.09.2012 Link

    Dann gehst du ins Internetcafe und meldest dich dort mit den Ersatzcodes die du dir ausgedruckt hast an (so habe ich es jedenfalls gemacht). Die Ersatzcodes habe ich im Portemonnaie.

    0
    0
  • nica 02.09.2012 Link

    Oder mit dem neuen Handy.

    0
    0
  • Verbal Razor 09.09.2012 Link

    Ihr immer mit euer Sicherheit, habt ihr etwa immer noch nicht mitbekommen das ihr vollständig durchleuchtet seid? Man Online Flat, das ist wie ne unsichtbare Hundeleine und ihr hängt daran. Alles liegt den Leuten von euch vor, man kann in eurem Leben lesen wie in einem Buch. Facebook, "Gefällt mir" überall auf jeder noch so dämlichen Seite findet man "Gfällt mir" und dieser Klick stellt direkt eine Verbindung zu eurem Facebook Acount her, da finden wir dann ne Landkarte in der euer Wohnort plus allen Aktivitäten abgespeichert werden. Leute Leute...Sicherheit gibt es auf diesen Planeten nur für Menschen die es sich leisten können andere zu bezahlen, damit sie rund um die Uhr bewacht werden. Wir sind nur gute Konsumenten, solange wir Zahlungskräftig sind, sind wir das nicht, dann sind wir unnütze Esser, unsere Politik bereitet uns gerade darauf vor das diese Unnützen Esser ausgesondert werden, damit man den Gürtel nochmals enger Schnallen kann und dann sind die nächsten an der Reihe. Alles wird Automatisiert, alles! In der BRD verschwinden jedes Jahr 100.000 Menschen spurlos, in den USA 500.000! Denkt darüber nach, wie blöde diese Händy Sicherheits Apps gerade zu sind, ihr wisst gar nicht was euch Scant!

    0
    0
  • nica 09.09.2012 Link

    Du hast anscheinend gar nix kapiert. Es geht hier um den Schutz vor Hackern. Ob Google oder andere Organisationen oder staatliche Stellen mich "durchleuchten" oder nicht, ist etwas völlig anderes.

    Für Kommentare hier sollte man nicht nur schreiben können, sondern auch lesen.

    0
    0