Vor- und Nachteile von Google Sesame
Vorhin haben wir über Google Sesame berichtet. Da Jens leider schneller war und ich gleich in den ersten Artikel auf die Vor- und Nachteile eingegangen wäre, gibt es nun einen weiteren Artikel.
Die Idee hinter Google Sesame ist eigentlich gut und auch das Konzept scheint durchdacht zu sein. Anstelle sein Passwort auf einem fremden Rechner einzugeben, gibt der Nutzer höchstens auf seinem eigenen Gerät das Passwort ein. Alles andere geschieht automatisch.
Natürlich muss der Nutzer auch weiterhin auf darauf achten wo er sich befindet. Vor dem Scannen sollte er schauen, ob der Code auch wirklich von https://accounts.google.com stammt. Zum anderen sieht er auch auf seinem Handy nach dem Scannen welche URL sind hinter dem QR-Code versteckt:
Der Nutzer muss diesen Code dann antippen und sich ggf. einloggen. Hierbei kann er natürlich wieder prüfen, ob er sich auch wirklich auf google.com einloggt. Nach dem erfolgten Login erscheint dieser Hinweis:
Nach dem Tippen auf einen der Buttons wird dann im Tab Google Mail geladen oder eben iGoogle. Der QR-Code ist nur einige wenige Minuten gültig und
Vorteile:
- Man braucht sein Passwort nicht auf einem fremden Gerät einzugeben. Selbst mit der Bestätigung in zwei Schritten kann ein Angreifer schon etwas mit dem Passwort machen. Da er dann nur noch im richtigen Moment einen richtigen Code eingeben muss. Diese Codes sind nach meinen Infos circa 45-60 Sekunden gültig.
- Bei langen und komplexen Passwörtern ist man schneller am Ziel.
Nachteile:
- Dritte können sich mit QR-Code und Android-Phone ins Konto einloggen, wenn man es man aus der Hand gibt.
- Funktion lässt sich derzeit nicht deaktivieren.
Mögliche Lösung:
- Nutzer mit der Bestätigung in zwei Schritten müssen zusätzlich im Browser einen Code eingeben, den das Handy generiert. Ein Angreifer hat dann nur eine 6-stellige Zahl in der Hand, aber nicht das Passwort. Schützt aber nicht vor Nachteil 1.
- Für Nachteil 1: Handy muss hierbei immer nach dem Passwort des Google Accounts fragen.
- Für Nachteil 2: Option integrieren und nur nach zusätzlicher Abfrage des Passwortes erlauben.
Habt Ihr weitere Vor- und/oder Nachteile?
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
As another PRO I would add that user are automaticly connected to their Google account on Android phone if it is running Android 3.1/3.2 or 4.0. Hence it is easy to use this feature to connect.
Sorry I do not speak German !
Eure mögliche Lösung macht in meinen Augen nicht viel Sinn, da kann ich ja gleich GAuthenticator nehmen?
Sonst freue ich mich auf Diskussion hier. Als Zweck sehe ich den von euch als zweit genannten als einzig nachvollziehbaren: Die Leute wollen sich überhaupt keine Passwörter merken.
Seit Jahren schon bekommen wir gesagt, nicht die gleichen Passwörter zu verwenden. Seit einiger Zeit kommt dazu, dass Passwörter zB 3von4 Eigenschaften haben sollen (groß, klein, zahl, sonderzeichen).
Vielleicht ist es daher ein Schritt von google zu beginnen, die Menschen vor passwörtern zu befreien.
Ich finde es ziemlich einfach und praktisch zumal es auch sehr sicher ist. In den Kommenateren vom anderen Beitrag kam die „Befürchtung“, jemand könnte einen anderen QR-Code einschleusen, NA UND. Das ist doch nichts anderes als einen Link anzuklicken, davon bekommt der „Angreifer“ keine Daten von mir, denn die rückt ja Google damit nicht einfach an 3. raus. Zusätzlich sehe ich ja den Link immer noch und nicht zu letzt ist der Komfort doch genial. Einen einzigen Link muss ich mir merken um mich bei meinen Google-Apps anzumelden. Schade das die Auswahl im Handy-Browser bislang auf Mail und Startseite beschränkt ist, da ist noch Potential
Dass jemand mein Handy stehlen könnte, stresst mich in diesem Zusammenhang nicht so. Denn das Erste, was ich dann tue, ist sowieso mein Google Passwort zurück setzen.
Praktisch wäre für sesame einen extra anwenndungscode in verbindung mit google googles vergeben zu können. sollte das handy geklaut werden könnte man einfach der anwendug die rechte entziehen und gut ist!
bei ICS muss man im browser kein Passwort angeben, man wird automatisch eingeloggt.
soweit man es aktiviert.
Bin als Nexus-User ebenfalls schon auf 4.0, allerdings habe ich von dieser Option noch nichts gehört. Aber jetzt, wo du es sagst, fällt es mir auch auf, dass ich mich seit über einem Monat nicht mehr im Browser neu eingeloggt habe. Wo habe ich denn Zugriff auf diese Option?
Ich hab es gerade mal mit meinem ICS Android probiert.
Ich habe 2-Step-Auth in meinem Account aktiviert und muss jetzt jedesmal wenn ich diesen Barcode einscanne, mein Google Passwort und den 6 stelligen Code eingeben (was auf dem handy wo man den code nachgucken muss, echt nervig ist).
Und das obwohl ich ihm Browser auf meinen Handy eingeloggt bin. Wenn das so bei allen wäre, was ja nicht so zu sein scheint, wäre es eine gute und sichere, wenn auch umständliche Lösung um sich auf fremden Rechner einzuloggen.
Blöd ist, das manchmal die SMS recht lange braucht und dann ist die Session abgelaufen.
dann hast du definitiv was falsch gemacht!
Meine Theorie ist, dass diese Funktion früher oder später komplett im authenticator eingebaut ist (statt browser). Man geht bei einem willkürlichen Rechner zum Google login, hält die app vor den automatisch angezeigten QR code und ist sofort eingeloggt. Passt vom „feeling“ her wunderbar ins Konzept NFC und face unlock.
Eben mal ausprobiert (mit 2-fach-Authentifizierung).
Erste SMS kam gar nicht erst an (15 Min gewartet)
Zweiter Versuch: Nach exakt 14 Minuten kam die SMS an, Code war allerdings nicht mehr gültig.
Dritter Versuch: Nach nur 10 Minuten ist die SMS angekommen, Code war interessanterweise noch gültig (sehr sicher *hust*), nur nach Eingabe dann „an error occured. re-load the login page pn the pc and take a picture again“
Insgesamt schon 45 Minuten verbracht … ohne überhaupt nen „anständigen Login zu bekommen“.
In der gleichen Zeit bekomme ich von Microsoft Hotmail „200“ Verifizierungs-SMS und kann mich problemlos ein- und ausloggen.
Wie immer typisch Google… Idee gut. Umsetzung ungenügend.
liegt an deinem Netzbetreiber.
Habe das gleiche Problem: Bei VF kommt es oft nach einem halten Tag erst an. Telekom gar nicht und E-Plus nach 2-3 Stunden. Bei den zwei grössten Anbietern klappt es nicht?
Dumm nur, dass es selbst bei Google oft nicht klappt. Von 10 Versuchen kommen vielleicht bei 6 SMS bei Google Voice an. Man sollte denken, dass Google den eigenen Dienst besser unter Kontrolle hat 😉
Seither benutzte ich den Anrufservice von Google. Dauert zwar oft auch 10-15 Minuten, aber toi toi toi bei Google habe ich nichts wichtiges was innerhalb von „Sekunden“ erledigt sein sollte.
Etwas anderes: Bei den Apps (zahlender Kunde) kommen SMS in 30 Sekunden an. Ein Schelm wer böses denkt 😉
Warum nutzt ihr nicht die App? Kein Gewarte und ihr erhaltet ebenfalls einen Code, wenn ihr in einem Funkloch seid.
Vermute auch das es am Provider liegt ich muss bei Vodafon i.d.R. <1 min warten, bis die SMS kommt.
Kann auch an der Netzlast liegen. Ich persönlich halte SMS für nicht vertrauenswürdig, deswegen nutze ich auch kein mobile TAN. Früher waren IMSI-Catcher mal teuer, heute nicht mehr.
FYI: http://gwb.me/wpulXE
Mal ne Off Topic Frage welchen QR Scanner verwendest du denn ?
Danke !
Gruß
AntJOo
Barcode Scanner von zxing.
Google Goggles ist schneller
jein.
Google Goggles
Jein? 😉 Was denn jetzt genau? Habe mich oft schon gefragt ob richtige QR-Scanner einen Mehrwert bieten. Tun sie das?
Das Prinzip gibt es schon länger. Hat sogar eine Firma aus Deutschland entwickelt. click2pass heißt das Projekt – http://www.click2pass.net .
Vorteil bei Click2Pass ist, das jeder der eine Homepage hat das Loginsystem für seine Nutzer zur Verfügung stellen kann. Leider gibt es noch nicht so viele Anwendungen die das nutzen.
Gruß