Google Sesame: Browser-Login über das Mobiltelefon
Gepostet von Jens am 16. Januar 2012 | 
20 Kommentare
Nach der Einführung der 2 Step Verification hat Google still und heimlich eine weitere sichere Login-Methode entwickelt: Der Login verläuft komplett über das Mobiltelefon und es ist an keiner Stelle die Eingabe eines Passworts nötig – damit haben auch Keylogger wie sie evt. an öffentlichen PCs installiert sein könnten keine Chance mehr.
Der Login läuft folgendermaßen ab:
1. Ruft die Seite goto.google.com/login im Browser auf
2. Scannt den QR-Code mit eurem Handy (Im Handybrowser müsst ihr bei Google eingeloggt sein)
3. Öffnet die Adresse die der QR-Code anzeigt und bestätigt die Warnung
4. Nach wenigen Sekunden werdet ihr im PC-Browser automatisch weitergeleitet und eingeloggt
Das mag jetzt furchtbar umständlich klingen, ist es aber eigentlich garnicht – und sicher ist es auch noch. Dieses System ist vorallem dafür nützlich, wenn ihr öffentliche PCs nutzt und euch dort in euren Google-Account einloggen wollt. Einfach kurz das Handy zücken und schon seit ihr eingeloggt. Aber vergesst danach natürlich trotzdem nicht euch wieder auszuloggen und die Cookies zu löschen 
Seit wann diese Funktion zur Verfügung steht ist nicht ganz klar, aber mindestens seit Ende letzten Jahres. Eine offizielle Ankündigung von Google zu diesem Feature gibt es derzeit noch nicht.
Tags: google accounts, google sesame, update
Thema vorschlagen
das ist echt umständlich… müsste über googleplus oder so laufen… ich musste im telefon mich jedesmal neu anmelden.. und dann noch die doppelte sicherheit…
ich hab für googlemail ein eigenes passwort und den GAuthenticator.. das muss reichen
Ja ist wirklich umständlich. Erstmal die lange Adresse… kann sich niemand merken. Warum nicht “login.google.com” oder direkt auf google.com unten ein Link “QR Code” oder ähnlich.
Und dank der 2-Wege-Authentifizierung ist es noch viel komplizierter, denn eigentlich speichert man ja keine Logindaten auf dem Handy… wenn doch.. braucht man auch keinen 2-fach Schutz.. der wärer ja widersprüchlich
Kann es sein dass du auch im Handy deine Cookies ständig löschen lässt? Normal solltest du dein Passwort dort nicht eingeben müssen (außer natürlich beim ersten mal)
Fantastisch. Ich bin eh immer eingeloggt mit dem Handy. Sont könnte ich ja keinen Google-Dienst über den browser vom Handy nutzen.
Das Einloggen mit dem QR Code ist viel schneller und sicherer. Vor allem unterwegs. Keylogger ade!
Sehr schön.
Das heißt jemand könne mir kurz mein Handy entwenden ohne das ich es mitbekommt und sich auf seinem Rechner einlochen? Da ist der bin vor meinem Handy aber kein großer Schutz. Macht mir Angst, kann man das deaktivieren?
Theoretisch ja. Aber auf sein Smartphone sollte man heutzutage schon aufpassen wie ein Schießhund…
Nein kann man nicht deaktivieren, aber du kannst dein Handy schützen.
sicher? Wohl kaum.
Eine Böse Seite leitet dich zu einem goto.google.com Fake, dann scannst du einen bösen QR-Code, und loggest dich am Handy ein. Damit hat die Seite natürlich dein Passwort bekommen.
Du musst natürlich schauen ob du dich auch wirklich auf google.com am Handy einloggst. Außerdem gibt es am Handy noch eine Abfrage
Mit Android 4.0 ist das am Handy anmelden schon viel besser, man kann den “Handy” account gleich nutzen, um sich in der web app anzumelden (das geht überall… google dashboard aufmachen, er fragt ob er den handynutzer anmelden soll und fertig).
Für alle Web-Sachen nutze ich mittlerweile auch den GAuthenticator. Das ist doch tausend mal einfacher als die oben genannte Methode? Auch das Problem, dass man im Ausland kein mobiles Internet hat, löst die QR Methode nicht. Wo sind denn dann die Vorteile? Nicht mehr 6 Zahlen eingeben zu müssen?
Ein Angreifer hat dann dein Passwort und kann sich in dein Konto einloggen, wenn er zufällig die 6-stellige Zahl errät. Dieser Code ist circa eine Minute gültig.
Sehe ich als weniger problematisch, als dass mir eine Schadsoftware ein falsches QR vorgaukelt.
Aber das ist dann Geschmackssache. Aktuell, so nehme ich einfach an, verwenden 2-Step eh ausschließlich Leute, die Wert darauf legen und sich ein klein wenig damit auseinander setzen. Und die können ja für sich das kleinste Übel auswählen.
Eigentlich ist das SMS verfahren “perfekt”, aber google braucht da immer bis die SMS versendet. Deswegen die App. Das einloggen per QR kommt mir noch viel langsamer vor als per sms oder app. Aber wie gesagt, jeder nach seinem Geschmack.
Naja, werd ich voraussichtlich nicht viel nutzen, allerdings hab ich so nun wieder einen neuen und einfachen Weg gefunden, schnell mal nen QR-Code zu erzeugen, ohne extra ne App zu installieren:
http://gwb.me/zFMzJ0
Also, besten Dank für den Hinweis!
Hm, verträgt sich so wohl nicht mit dem URL-Decoding deines URL-Kürzungsscripts. Mal sehen, ob es ohne die Skalierung geht:
http://gwb.me/xni2ml
Die Google Chart API gibt es schon ewig
http://www.googlewatchblog.de/tag/google-chart-api/
Naja, hat dann ja fast nur 4 Jahre gedauert bis auch ich das gefunden habe
Lieber spät als nie 
http://gwb.me/zzf9aP
Das war eine Super Idee von Google!! Hut ab!
Das Prinzip gibt es schon länger. Hat sogar eine Firma aus Deutschland entwickelt. click2pass heißt das Projekt – http://www.click2pass.net .
Vorteil bei Click2Pass ist, das jeder der eine Homepage hat das Loginsystem für seine Nutzer zur Verfügung stellen kann. Leider gibt es noch nicht so viele Anwendungen die das nutzen.
Gruß
Ist down.