sprachkonstrukt.de

Sichererer Google-Login mit fragwürdiger Usability

Es ist fast seit Anbeginn des Internets überall das gleiche. Soll eine Seite auf mich personalisiert werden, muss ich mich […]


Es ist fast seit Anbeginn des Internets überall das gleiche. Soll eine Seite auf mich personalisiert werden, muss ich mich „registrieren“ und dann bei jedem Besuch „Einloggen“. Ein Login besteht stets aus Nutzername (oder eMail-Adresse) und einem Passwort. Der Nutzername ist dabei mehr oder weniger öffentlich, das Passwort muss ich geheimhalten.

Bei Google ist seit einiger Zeit die Bestätigung in zwei Schritten am Start. Zusätzlich zum Passwort wird (optional) für jeden Login noch eine zweite Bestätigung in Form einer einmaligen PIN verlangt.

Eigentlich eine super Sache, zumal der Google-Account immer wichtiger und universeller wird. Findet so jemand das Passwort raus, kann er dennoch nicht auf den Account zugreifen.

Wie funktioniert das?
Entweder bekommt man bei jedem Login die PIN per SMS. Da SMS ein bisschen uncool ist, gibt es alternativ auch Apps für iOS und natürlich Android, die laufend neue PINs generieren.
Für den Fall des Handy-Verlusts gibt es auch noch ein paar PINs, die man sich ausdrucken und in den Safe legen kann.

Nun gibt es aber inzwischen viele Dienste/Anwendungen/Apps, die auf den Google-Account zugreifen (prominentestes Beispiel für Google-Mail-Nutzer dürfte ihr Desktop-Mailprogramm sein, aber beispielsweise fallen darunter auch Google-Reader-Clients oder Chatclients). Bei mir sind es momentan allein 14 Stück auf allen Geräten.
Da diese Clientanwendungen nach dem alten Login-Paradigma gebaut sind, können sie mit der Google-PIN nichts anfangen. Sie versuchen sich normal mit dem Passwort einzuloggen, was der Google-Server aber natürlich ohne PIN nicht akzeptiert.
Um dieses Problem zu lösen, kann man sich „anwendungsspezifische Passwörter“ erzeugen lassen. Diese kann man dann anstatt dem normalen Standard-Passwort verwenden.

In der Theorie ein gutes, sicheres System.

Allerdings ist es leider alles andere als praktikabel.
Zuersteinmal die Einrichtung: der durchschnittliche Internet-Nutzer wird sich kaum eine halbe Stunde hinsetzen und für jede auf Google zugreifende Anwendung ein Passwort generieren und eintragen. Vor allem vergisst man beim ersten Einrichten sowieso die Hälfte und wundert sich dann, dass Anwendung X plötzlich nicht mehr funktioniert.

Und dann noch der Umstand, dass prinzipbedingt bei jedem Login eine PIN benötigt wird. Zwar speichert Google den Login per Browser-Cookie. Wer diese allerdings regelmäßig löscht, wird ständig nach der PIN gefragt.
Außerdem scheint Google die Position bzw. IP-Adresse mit dem authorisierten Login zu verknüpfen, und wer häufig unterwegs ist, benötigt fast bei jedem Aufruf einer Google-Seite eine neue PIN.

Wie so oft geht also die höhere Security auf Kosten der Usability. Und so wird die Bestätigung in zwei Schritten ein Nerd-Feature bleiben.
Schöner Versuch, aber das ist nicht der Weisheit letzter Schluss.

Kommentare