Google bietet schon seit vielen Jahren die Möglichkeit an, den eigenen Account durch die Zwei-Faktor-Authentifizierung abzusichern und so den Einbruch in den eigenen Account deutlich zu erschweren. Auf Deutsch nennt sich das ganze Bestätigung in zwei Schritten und steht mit verschiedensten Methoden zur Verfügung. Eine derzeit noch beliebte Methode ist das Zusenden eines SMS-Codes, aber von dieser möchte Google die Nutzer nun zum Umstieg auf die Prompt-Methode motivieren.
Die Bestätigung in zwei Schritten funktioniert ganz einfach: Man loggt sich mit seinem Benutzernamen und dem Passwort in den Google-Account ein und bekommt anschließend noch einen dritten Schritt dazwischen geschoben. Dieser besteht darin, dass man auf einem anderen Gerät bestätigen muss, dass man sich tatsächlich einloggen möchte. Das ist zwar auch keine 100%ige Sicherheit, sorgt aber dafür, dass ein einfacher Passwortklau oder Hack nicht mehr den Zugriff auf den Account erlaubt.
Die beiden beliebtesten Methoden für diesen zweiten Schritt sind das Zusenden eines 6-stelligen SMS-Codes oder seit dem vergangenen Jahr die Abfrage über den Prompt. Bei dieser Methode muss der Nutzer dann keinen Code mehr abtippen, sondern lediglich auf JA tippen. Hat man sich nicht selbst eingeloggt, sollte man natürlich tunlichst auf NEIN drücken und dann den Schritten folgen. Seit einigen Monaten zeigt der Prompt deutlich mehr Informationen an und zeigt, woher der Login kommt.
Bisher haben die Nutzer die Wahl über die Methode, aber sowohl aus Usability-Sicht als auch aus Googles Sicht ist der Prompt der SMS überlegen. Aus diesem Grund möchte man die SMS-Nutzer nun dazu bringen, auf die modernere Methode umzusteigen. In den nächsten Wochen werden die Nutzer nach dem erfolgreichen Login per SMS-Code darauf hingewiesen, dass es noch eine andere Methode gibt. Mit einem Knopfdruck kann man diese Methode dann aktivieren und bekommt zur Bestätigung noch eine erneute Abfrage auf dem Smartphone.
Es wird wohl nur eine Frage der Zeit sein, bis die SMS-Methode komplett abgeschafft und nur noch der Login per Prompt angeboten wird. Erstmal wird man die Nutzer aber natürlich überzeugen wollen, bis dann alle freiwillig auf die sichere Methode umsteigen.
Der Grund für die Abwertung der SMS-Methode liegt vor allem in Sicherheitsbedenken. Laut Google können SMS einfacher abgefangen und mit den Codes Unheil angerichtet werden, als durch die einfache Abfrage mit den zwei Buttons. Diese kommt direkt über die Play Services und steht so unter der vollen Kontrolle von Google. Ein anderer Grund dürften aber wohl auch die Kosten oder die nötige Infrastruktur zum Versand der SMS sein.
Als Alternative gibt es auch immer noch die Methode über ausgedruckte Nummern als Backup-Lösung, der Einsatz einer speziellen App oder die Nutzung eines Security Keys. Auch diese Methoden stehen weiterhin zur Verfügung, und im Sinne der Sicherheit wird Google diese wohl auch beibehalten. Problematisch ist es bei der Smartphone-Methode natürlich, wenn das Smartphone verloren geht bzw. gestohlen wird, und man so die Abfrage nicht mehr bekommt.
Ein Problem der Prompt-Methode ist es allerdings auch, dass diese nicht überall funktioniert. Als aktuelles Beispiel fällt mir ein, dass die Backup and Sync-App mich auch nach mehreren Versuchen nicht hereingelassen hat. Erst beim Wechsel auf den SMS-Code konnte ich die App dann verwenden, und einigen anderen Nutzern soll es laut unseren Kommentaren ähnlich gegangen sein.
» Bestätigung in zwei Schritten aktivieren
» Ankündigung im G Suite-Blog