Bestätigung in zwei Schritten: Wenn Googles Sicherheit zur Falle wird – so erhaltet ihr eure Notfall-Codes

google 

Google wird in diesen Tagen die Bestätigung in zwei Schritten für alle Nutzer zur Pflicht machen und diese ohne große Übergangsfrist für jedes Konto aktivieren. Das wird die Sicherheit der Google-Nutzer ohne Frage erhöhen, kann in Einzelfällen aber auch zu Problemen führen, für die man sich VORHER wappnen sollte. Heute zeigen wir euch eine wichtige, aber von Google kaum beworbene, Methode, mit der die Bestätigung in zwei Schritten dank Notfallcodes nicht zur Falle wird.


Die Bestätigung in zwei Schritten ist für viele Nutzer ein zweischneidiges Schwert, denn sie steigert nicht nur die Sicherheit, sondern in einigen Fällen auch den Aufwand für den Login. Dieser Aufwand ist allerdings fast zu vernachlässigen und den kleinen Zwischenschritt sollte jedem Nutzer der Schutz der eigenen Daten auf jeden Fall wert sein. Andere haben aber auch Bedenken, dass sie sich selbst von ihrem Konto aussperren könnten – und diese Bedenken sind nicht unberechtigt.

google security logo

Ein sicheres Passwort ist die eine Sache, die zusätzliche Bestätigung mit dem zweiten Schritt eine andere. Die Nutzung des Smartphones als zusätzlicher benötigter Schlüssel ist bequem und steigert die Sicherheit, kann aber auch zu Problemen führen. Über diese Probleme machen sich allerdings nur die wenigsten Nutzer Gedanken und auch Google tut erstaunlich wenig dafür, die Nutzer vor einem endgültigen Aussperren aus ihrem Google-Konto zu bewahren.

Die Bestätigung in zwei Schritten erfordert es, beim Login über unbekannte Geräte, Orte oder an besonders sensiblen Stellen zusätzlich zum Passwort noch einmal die Identität per Smartphone zu bestätigen. Dazu gibt es verschiedene Methoden von der SMS über den Prompt bis zur Authenticator-App oder dem Smartphone als Hardware-Sicherheitsschlüssel. In allen Fällen wird ein zusätzliches Gerät benötigt – hoffen wir also, dass es vorhanden ist.

Aber was ist, wenn das Smartphone verloren wurde, gestohlen wurde oder defekt ist? Dann steht man plötzlich vor verschlossener Tür. Wieder eine kleine Analogie: Ihr habt eure Wohnungstür mit zwei getrennten Schlössern gesichert, habt aber nur einen Schlüssel. Trotz Schlüssel müsst ihr leider draußen bleiben. Gut, wenn ihr ein Duplikat des zweiten Schlüssels an einem sicheren Ort aufbewahrt.




Das Szenario
Ihr benötigt das Smartphone zum Login in das Google-Konto, könnt es aber aus diversen Gründen nicht verwenden. Ob es nun verloren oder gestohlen wurde, ob es defekt ist oder aus sonstigen Gründen aktuell nicht nutzbar ist – ihr kommt nicht mehr an eure Daten hinter dem Google-Account heran. Wer nun keine zweite Handynummer hinterlegt habt, das haben vermutlich die allerwenigsten, hat nun ein großes Problem. Ist das Smartphone dauerhaft nicht mehr nutzbar, wird das Problem umso größer.

Die Lösung
Google hat für dieses Szenario die Notfall-Codes geschaffen, die mittlerweile “Back-up-Codes” genannt werden und sozusagen den Zweitschlüssel für euer Konto darstellen. Bei diesen Codes handelt es sich um Einmal-Passwörter, die ihr zur Bestätigung nach dem Login mit dem Passwort angegeben habt. Die Codes ersetzen nicht das Passwort, sondern lediglich den zweiten Schritt. Habt ihr also das Smartphone verloren UND euer Passwort vergessen (wie wahrscheinlich ist das…?), helfen euch die Codes auch nicht weiter.

google signin codes

So erstellt ihr die Backup-Codes

Die Notfall-Codes könnt ihr direkt in den Einstellungen der Bestätigung in zwei Schritten herunterladen. Ihr erhaltet eine Liste 10 Codes, die jeweils nur einmal gültig sind – ähnlich zu den früher verbreiteten TAN-Listen beim Onlinebanking. Habt ihr alle Codes verbraucht, müsst ihr eine neue Liste erstellen. Achtung: Das Erstellen einer neuen Liste deaktiviert automatisch alle älteren Codes.

Back-up-Codes erstellen und ansehen

  1. Öffnen Sie Ihr Google-Konto.
  2. Klicken Sie im Navigationsbereich links auf Sicherheit.
  3. Klicken Sie unter “Bei Google anmelden” auf Bestätigung in zwei Schritten.
  4. Klicken Sie unter “Back-up-Codes” auf Einrichten oder Codes anzeigen. Sie können die Codes ausdrucken oder herunterladen.

Damit Back-up-Codes verfügbar sind, müssen die Bestätigung in zwei Schritten aktiviert und die Einrichtung abgeschlossen sein. Wenn “Über das Smartphone anmelden” aktiviert ist, müssen Sie die Option deaktivieren, damit die Bestätigung in zwei Schritten aktiviert werden kann. Wenn Sie vermuten, dass die Ersatzcodes gestohlen wurden, oder wenn nur noch wenige Codes übrig sind, wählen Sie Neue Codes erhalten aus. Ihre alten Back-up-Codes werden automatisch inaktiv.




Mit einem Back-up-Code anmelden

  1. Gehen Sie zu Ihren Back-up-Codes.
  2. Melden Sie sich in Gmail oder einem anderen Google-Dienst an.
  3. Geben Sie Ihren Nutzernamen und Ihr Passwort ein.
  4. Wenn Sie aufgefordert werden, Ihren Bestätigungscode einzugeben, klicken Sie auf Weitere Optionen.
  5. Wählen Sie Einen der achtstelligen Back-up-Codes eingeben aus.
  6. Geben Sie den Back-up-Code ein.

Tipp: Da jeder Code nur einmal verwendet werden kann, empfiehlt es sich, bereits verwendete Codes zu kennzeichnen.

Natürlich müsst ihr diese Codes erstellen und herunterladen, BEVOR ihr vor dem oben beschriebenen Problem steht. Denn habt ihr euch erst einmal ausgesperrt, dann ist es zu spät. Wieder eine Analogie zum besseren Verständnis: Wenn der Zweitschlüssel IN der Wohnung liegt, wird er euch draußen vor der Tür nicht viel nützen. Warum Google die Nutzer der Bestätigung in zwei Schritten nicht auf dieses Problem und die Möglichkeit zur Erstellung der Backup-Codes hinweist, ist für mich nicht nachvollziehbar.

Weil Google das Ganze nun in Kürze standardmäßig aktiviert, sollte jeder Nutzer eine solche Liste mit Back-up-Codes anfordern und an einem sicheren Ort lagern. Im besten Fall ausdrucken (und nicht offen liegen lassen), denn man weiß ja nie, welches digitale Gerät verloren geht. Mittlerweile sollte bekannt sein, dass ihr von Google kaum Hilfe erwarten könnt, wenn ihr mal Zugriff auf euer Konto verliert.


Keine Google-News mehr verpassen: Abonniere den GoogleWatchBlog-Newsletter
GoogleWatchBlog Newsletter abonnieren


Teile diesen Artikel:

Facebook twitter Pocket Pocket