Google Authenticator: Mehr Sicherheit für Online-Konten

Funktionalität: In den letzten Wochen und Monaten wurden mehrere prominente Webseiten geknackt, meist gingen diese Zwischenfälle mit dem Diebstahl von Passwörtern einher. Neben dem regelmäßigen Ändern der Zugangsdaten und dem Verwenden starker Passwörter können Nutzer nur in seltenen Fällen zusätzliche Sicherheitsmaßnahmen ergreifen. Eine solche Initiative kommt von Google. Der Konzern entwickelt mit dem Google Authenticator ein Open-Source-basiertes System, dass die One-Time-Password-Vorgaben der Initiative for Open Authentication implementiert. Einfacher gesagt: Google liefert eine Software-basiertes Passwort-Token für eine Zwei-Faktor-Authentifizierung.

Google unterstützt die Zwei-Faktor-Authentifizierung sowohl bei den "normalen" Google-Konten, die etwa an Google Mail gekoppelt sind, wie auch bei den Google Apps for your Domain. Die Spezifikationen des Dienstes stehen zudem unter Open Source, andere Dienste können sich also hier anschließen. Dies macht sich beispielsweise der Passwort-Dienst LastPass zu Nutze, zudem gibt es ein Plugin für Wordpress-basierte Blog-Systeme. Andere Blogger beschreiben, wie sich der Authenticator mit Amazon AWS oder einem SSH-Server koppeln lässt.

Installation: Der Google Authenticator ist dabei die App, mit der der Nutzer konkret interagiert. Die Anwendung wird auf dem Smartphone installiert, zu den offiziell unterstützten Betriebssystemen gehören Android, iOS und Blackberry. Die App lässt sich aus dem jeweiligen virtuellen App-Store oder über diese Seite herunterladen und installieren. Alternativ kann man die Token-Funktion auch per SMS einrichten, dann unterstützt Google Authenticator jedes Mobiltelefon. Aber Vorsicht: es gibt auch eine alte Version des Authenticators, diese lässt sich nicht einfach so upgraden, sondern die neue Version muss neu installiert werden.

Im zweiten Schritt muss die Zwei-Faktor-Authentifizierung im Web-Dienst aktiviert und mit der App gekoppelt werden. Bei Google finden sich die entsprechenden Optionen in den Kontoeinstellungen im Bereich Sicherheit, bei LastPass erledigt man dies über den Tresor, genauer gesagt in den Settings.

Bedienung: Nach der Einrichtung muss man als Nutzer nichts mehr tun. Bei jedem Login wird nun neben Nutzername und Passwort auch das aktuelle Einmalpasswort abgefragt, dass die App auswirft. Diese Passwörter sind jeweils 60 Sekunden gültig, dann erstellt die App ein neues Kennwort.

Bei Google-Konten kommt allerdings noch eine Besonderheit hinzu: Nicht alle Anwendungen, die auf die Konten zugreifen, kommen mit der Zwei-Faktor-Authentifizierung zurecht. Daher kann man in den Kontoeinstellungen Einzelkennwörter erstellen, die jeweils einer speziellen Anwendung oder einem Gerät zugewiesen werden. Diese lassen sich über "Konto - Sicherheit - Autorisierung von Anwendungen und Websites einrichten oder löschen".

Sollte der Authenticator einmal nicht vorhanden sein, kann man während des Setups einen Satz Einmalpasswörter anlegen und ausdrucken oder das Passwort per SMS anfordern.

Fazit: Zugegeben, die Zwei-Faktor-Authentifizierung bringt zusätzliche Komplexität in den Anmeldevorgang. Allerdings ist das eigene Konto bei Google, LastPass oder Wordpress damit deutlich besser geschützt. Diese Sicherheit für die zahlreichen persönlichen Daten, die in Mail-Konten oder im LastPass-Tresor schlummern, ist die Eingabe der zusätzlichen Zahlenkette in jedem Fall wert. (mje)