Wie sicher ist Ihr Google-Passwort? Haben Sie sich schon einmal gefragt, was passieren könnte, wenn jemand Ihr Google Konto knackt? Wenn Sie diese Fragen interessieren und oft auf fremden Rechnern surfen, dann sollten Sie die Bestätigung in zwei Schritten aktivieren.
Für den Login bei Google braucht man seine E-Mail-Adresse und ein Passwort. Die passende E-Mail-Adresse zu kennen, ist bei den meisten Leuten nicht schwer und wer etwas Social Engineering betreibt, findet vermutlich früher oder später auch das Passwort heraus, immer Vorausgesetzt, Sie gehören zu den rund 30 Prozent an Leuten, die den Namen des Hundes, der Katze oder eines Kindes als Passwort benutzen.
Eine recht sichere Lösung für einen unerlaubten Zugriff auf das Google Konto bietet Google selbst mit der Bestätigung in zwei Schritten an. Hier müssen Sie neben dem Passwort noch einen sechsstelligen Code eingeben, um sich bei Google anmelden zu können. Diese Methode sollten Sie in jedem Fall benutzen, wenn Sie sich des Öfteren auf fremden Rechnern anmelden, zum Beispiel in Internet Cafes. Der sechsstellige Code ist nur ein einziges Mal gültig, danach benötigen Sie einen anderen.
Bestätigung in zwei Schritten einrichten
Für Ihr Android-Gerät selbst bringt die Bestätigung in zwei Schritten keinen wirklichen Vorteil, aber das Android-Handy lässt sich als Schlüsselgenerator benutzen. Sitzen Sie also im Internet Cafe und möchten Ihre Mails nicht via Handy sondern über einen Computer checken (weil Sie zum Beispiel im Ausland sind und keine Roaming-Gebühren bezahlen möchten), dann generieren Sie einfach über das Handy den passenden Code. Die benötigte App heißt Google Authenticator.
Bevor es soweit ist, benötigen Sie aber einen Desktop-Rechner mit Browser und ein einfaches Handy. Im Browser rufen Sie diese Google-Seite auf und klicken auf Jetzt starten. Google möchte nun in Schritt 1 eine Mobilfunknummer haben. An diese wird ein Code verschickt, den Sie für die weitere Einrichtung benötigen. Auf Wunsch können Sie den Code auch per Sprachanruf erhalten, falls Sie keine Möglichkeit für den SMS-Empfang haben.
Nach einem Klick auf Bestätigen ist der Login in zwei Schritten aktiviert. Google prüft nun, welche Dienste und welche Geräte Sie benutzen und schlägt Ihnen anschließend vor, ein anwendungsspezifisches Passwort zu erstellen. Der Name ist etwas irreführend, da das Passwort nicht für eine spezielle Anwendung generiert wird, sondern als ganz normales One-Time-Passwort (also für eine einzige Anmeldung) dient. Dieses Passwort benötigen Sie, da Sie sich von nun an auf Ihrem Android-Gerät nicht mehr über den ganz normalen Login anmelden können. Klicken Sie also im neuen Fenster unbedingt auf den Eintrag "Passwörter erstellen".
Im folgenden Dialog geben Sie unten ein, um welches Android-Gerät es sich handelt und klicken anschließend auf Passwort generieren. Sie sehen nun ein aus 4×4 Zeichen bestehendes Passwort. Lassen Sie dieses Fenster geöffnet. Starten Sie auf Ihrem Android-Handy oder Tablet den Play Store, dann erscheint ziemlich sicher eine Fehlermeldung und Sie müssen sich neu anmelden. Hier geben Sie nun nicht das gewohnte Passwort ein, sondern das soeben erstellte. Ihr Android-Gerät sollte nun wie gewohnt funktionieren und Sie können den Google Authenticator herunterladen. Das eingegebene Passwort benötigen Sie nun nicht mehr.
Google Authenticator einrichten
Der Google Authenticator macht praktisch nur auf Smarpthones Sinn, da man wohl kaum ein Tablet stets mit sich herumschleppt. Aber das müssen Sie entscheiden, es gibt ja auch viele Leute, die mit dem Nexus 7 unterwegs sind. Der Google Authenticator kann gleichzeitig nur auf einem Android-Gerät installiert sein. Besitzen Sie mehrere Geräte müssen Sie sich also entscheiden, auf welchem der Code-Generator installiert sein soll.
Starten Sie den Google Authenticator und beginnen Sie die Einrichtung. Im ersten Schritt müssen Sie einfach auf Einrichtung starten klicken.
Im folgenden Schritt wählen Sie unter "Konto hinzufügen" die Methode mit dem Barcode-Scanner (benötigt ZXing Barcode Scanner) oder "Schlüssel eingeben".
Jetzt wechseln Sie wieder zum Desktop-Browser und rufen die Seite https://www.google.com/settings/security auf. Hier klicken Sie hinter dem Eintrag "Bestätigung in zwei Schritten" auf den Button "Einstellungen". Sie sehen nun zuoberst die vorhin angegebene Telefonnummer. Falls Sie diese nicht mehr benötigen oder es nur behelfsmäßig die Nummer eines Freundes oder einer Freundin war, können Sie die Nummer löschen. Darunter sehen Sie einen Eintrag für mobile Anwendung. Klicken Sie hier auf "Android".
Es erscheint ein Auswahldialog, um einen Barcode oder einen Code zu generieren. Wählen Sie hier Barcode und scannen Sie anschließend den angezeigten Barcode mit dem Google Authenticator.
Der Google Authenticator zeigt Ihnen nach dem Scanvorgang sogleich einen sechstelligen Code an. Diesen Code müssen Sie nun im Browser als Bestätigung eingeben. Beachten Sie, dass der Code nur für kurze Zeit gültig ist. Ist er bereits abgelaufen, geben Sie einfach den nächsten ein. Der Google Authenticator generiert im Minuten-Takt neue Codes.
WICHTIG: Backup-Codes drucken
Damit ist das Setup abgeschlossen und Sie müssen sich von nun an beim ersten Login auf einem fremden Rechner oder fremden Android-Gerät stets mit dem zusätzlichen Code anmelden. Falls Sie Ihr Handy dabei einmal nicht in Griffweite haben und aus diversen anderen Gründen sollten Sie stets eine Liste mit einem oder zwei Codes mit sich führen (zum Beispiel in der Brieftasche). Dazu bietet Ihnen die Einrichtungsseite den Punkt Backup-Codes im Druckformat an. Machen Sie davon Gebrauch, denn es kommt bestimmt einmal der Moment, an dem Sie sich dringend bei Google anmelden müssten, aber keine Möglichkeit haben, auf den Authenticator zuzugreifen. Die Backup-Codes selbst erlauben keinen Login, Sie müssen stets auch Ihr Passswort eingeben. Für solche Fälle lohnt es sich zudem auch, eine zusätzliche Telefonnummer oder E-Mail-Adresse hinterlegt zu haben. Damit können Sie im Notfall doch noch auf Ihr Konto zugreifen.
Über die Seite https://accounts.google.com/b/0/SmsAuthConfig können Sie später auch die Bestätigung in zwei Schritten wieder deaktivieren oder beim Wechsel des Smartphones die Rechte an ein anderes Handy übertragen. Wie eingangs erwähnt, lässt sich die App gleichzeitig nur auf einem einzigen Gerät nutzen.