Ja es gibt heute endlich wieder einen neuen Artikel und der hat dann auch gleich wieder mit Google zu tun, aber ich meine das Thema ist recht interessant. Leider hat die ganze Geschichte nicht mit PHP zu tun, dafür sind aber zum Teil die Androiden angesprochen.
Viele Leute haben einen Google Account. Einerseits für das recht beliebte Google Mail oder für einen der vielen anderen Dienste. Der Account umspannt einfach alle Google Dienste, da es eine Single-Sign On Lösung ist. Vor allem wenn man nun unterwegs ist benutzt man ganz gerne das Webinterface zum Schreiben von Mails. Ich persönlich lese oder besser überfliege die Mails auf dem Android-Smartphone und bearbeite und vor allem beantworte sie dann über das Webinterface. Die normale Tastatur ist doch irgendwie angenehmer und schneller zu benutzen als die Smartphone Tastatur. Selbst Swype und Swiftkey und wie sie alle heißen erlauben mir nicht so schnell zu schreiben, wie ich es auf der Tastatur kann.
Auf jeden Fall loggt man sich oftmals im Webinterface über eine teilweise sichere Verbindung ein. Man weiß nämlich nicht unbedingt, was auf dem Rechner alles läuft. Darum gibt es von Google die 2-Step-Verification. Hierbei werden 2 „Geheimnisse“ genutzt, die dem Benutzer auf 2 Wegen mitgeteilt werden. Bzw wird das Passwort um eine zweite Methode ergänzt. Wer OnlineBanking nutzt kennt die Geschichte von den TAN-Listen. Man benötigt neben der Online-PIN (was gleichzusetzen ist mit dem Passwort) ein zweites Geheimnis, das mir auf einem anderen Weg mitgeteilt wurde und am besten auch nur einmalig zu benutzen ist. Beim Onlinebanking gab/gibt es die TAN-Listen die auf Papier dem Kunden vorliegen und inzwischen sind auch die TAN per SMS oder TAN-Generatoren sehr beliebt.
Wenn man nun ein Handy besitzt kann man seinen Google Account so einstellen, dass nach Angabe von Login und Passwort eine 6-stellige Zahl per SMS zugestellt wird, die man dann zum eigentlichen Login angeben muss. Das funktioniert soweit ganz gut, ist aber immer etwas zeitaufwendig, da die SMS unter Umständen etwas Zeit benötigt, bis sie beim Handy ankommt.
Besitzer eines Smartphones haben hier einen Vorteil. Es gibt den Google Authenticator. Dies ist ein Generator für die 6-stelligen Schlüssel. Und da diese auch noch zeitbasiert sind, kann man hier auch gleich sehen, wann der Schlüssel abläuft. Die Einrichtung ist sehr einfach. Man aktiviert die Option in seinem Google Konto und scannt den angezeigten Barcode mit dem Google Authenticator. Somit ist dieser für den Account eingerichtet. Hat man mehrere Accounts, so kann man diese alle im Authenticator hinterlegen.
Das Programm (oder App) gibt es für iOS, Android und Blackberry.
Hat man sein Google Konto umgestellt auf diese Methode so hat man natürlich ein Problem mit Programmen, die damit nicht umgehen können. Zum Beispiel ein Mail-Programm, das über IMAP die Mails verwaltet, einen Jabber Client etc. Hierfür gibt es die „anwendungsspezifischen Kennwörter“. Das sind Kennwörter die man für eine spezielle Anwendung nutzt. Diese werden von Google generiert und sind um die 16 Zeichen lang. Nach der Generierung kann das Kennwort im Google Konto nicht mehr eingesehen werden. Für jedes gibt man einen kurzen Text an, der es beschreibt und man sieht, wann es zuletzt genutzt wurde. Ist man nun der Ansicht, dass ein Gerät kompromitiert wurde, so kann man es deaktivieren und der Zugang der Anwendung ist somit nicht mehr möglich.