QR Code-Scan gestattet sicheren Login ins eigene Google-Konto
Folgende Situation: Ihr befindet euch in einem Internet Café, wollt die dort verfügbaren Rechner zum komfortablen Schreiben eines längeren Textes nutzen, euer Google-Passwort jedoch nicht auf der vorhandenen Tastatur eintippen. Immerhin könnte ein Keylogger installiert sein. Genau für diese Fallbeschreibung bietet Google jetzt den QR-Code gesteuerten Login über accounts.google.com/sesame an. Auf dem Desktop-Rechner aufgerufen, präsentiert euch die Sesame-Seite einen QR-Code der sich mit iPhone-Apps wie RedLaser (AppStore-Link) abscannen lässt und euch anschließend automatisch zu eurem Konto weiterleitet.
Next time you want to check your gmail on a public computer, don’t trust even the incognito window because an installed keylogger can record your keystrokes, which unsurprisingly, include your password. use your phone to scan the qrcode on the sesame web page and hit the resultant url – the desktop browser will automagically redirect to your logged-in gmail without entering your password.
Und woher weiß er, dass ich das gescannt habe!? Kann ja jeder scannen!? Oder muss man dann das PW auf dem Smartphone eintippen?
Genau. Das setzt voraus, dass du auf dem Smartphone bereits eingeloggt bist.
Nicht ganz korrekt – Wenn man den QR-Code auf dem iPhone öffnet, bringt einen das zu einem Browser-Window auf dem iPhone (z.B. in Safari), wo man sich DANN bei gmail einloggt. Sobald das geschehen ist, wird man auch auf dem PC eingeloggt. Der Schutz hierbei besteht darin, daß man sein Pw auf dem iPhone eingibt.
OK, wenn man schon in Safari bei Google eingeloggt war, wird man nicht nochmal gefragt. Aber es ist eben auch nicht so, wie Nicolas schrieb, daß man vorher schon eingeloggt sein muss, denn das wäre ja unnötig umständlich.
Etwas sinnfrei: habe ich mit dem Handy onlinezugang brauche ich doch kaum noch nen Rechner im I-Net Café ..
Andersherum gesagt: an einen fremden PC geht man doch meist im Urlaub (Ausland) weil das Datenroaming zu teuer und ein freies WLAN nicht in der Nähe ist.
Dachte ich mir auch grade…
Funktioniert tatsächlich wunderbar.
Was mich allerdings stören würde, ist dass der Link so lang ist…
Wäre doch praktisch, das direkt auf die Loginseite von gmail zu packen.
Naja das ist ziemlich sicher ein Projekt eines kleinen Google-Teams. Man kann nicht alles gleich auf die Startseite packen, was solche Teams mal eben tüfteln, sonst hat man das perfekte Chaos.
Das stimmt schon, war auch nur mal ein Ausblick in die Zukunft… :)
Du musst Dich auf Deinem Smartphone mit Deinem Passwort identifizieren, falls Du dort noch nicht eingeloged bist. (Wie ist eigentlich die korrekte Schreibweise von eingeloged/eingeloggt?!)
Aber genau im Ausland, bei der diese Funktion nützlich wäre habe ich dann keinen Datenempfang mit meinem iPhone…
??? Schon mal was von roaming gehört!??
Also ich hab überall datenempfang wo ich einen halbwegs vernünftigen netzempfang habe; egal ob Inland oder Ausland!
Eingeloggt.
=> siehe auch: http://www.duden.de/rechtschre...../einloggen
Angemeldet.
@Fufu
Genau das gleiche habe ich mir auch überlegt. Wann möchte ich die Google-Dienste nicht auf dem iPhone/iPad nutzen? Wenn ich für die Datenmenge zahlen muss. Klar, so kann man „nur“ für den Anmeldeteil die iPhone nutzen(Datenmenge bezahlen) und danach normal surfen. Von dem her doch eine gute Sache.
Das Prinzip gibt es schon länger. Hat sogar eine Firma aus Deutschland entwickelt. click2pass heißt das Projekt, leider Fehler aber noch Anwendungen um das sinnvoll nutzen zu können.
Hm, ich kann den Sinn noch nicht so ganz nachvollziehen.
Wann ist man im Internet-Cafe?
In der Regel, wenn man sich im Ausland befindet. Viele Leute haben dort keinen Datenempfang.
Selbst wenn:
Warum sollte ich in’s Internet-Cafe gehen, wenn ich doch Datenempfang auf dem iPhone habe? Dann kann ich meine Mails ja auch dort checken.
Wenn’s um das Thema SIcherheit & Keylogger geht, emppfehle ich die 2-Faktor-Authentifzierung von Google:
Nach dem Login kommt eine SMS auf’s Handy, die man bei Google eingeben muss – ansonsten kein Zugriff.
Damit das zu Hause nicht zu fummelig wird, kann man eine Device so definieren, dass die SMA-Abfrage nur alle 30 Tage kommt (was man natürlich mit einem PC im Internet-Cafe nicht macht)
Aber vielleicht kann mich hier ja einmal jemand aufklären, falls ich bei Sesame etwas übersehen habe, so dass es doch Sinn macht
Auch die 2-Factor-Authentifizierung erfordert ja, dass man das Passwort in den Inetcafe-Rechner tippt. Auch wenn einem potentiellen „Mitleser“ das ohne die zusätzliche SMS nichts nutzt, ist es doch ggf. ein Sicherheitsrisiko.
Google ist ja mehr als nur GMail!
Wenn ich bsw an meine Dokumente aus google Docs will, weil ich sie bearbeiten möchte, ist das auf dem iPhone sehr umständlich (also das bearbeiten).
Da ist es praktischer und einfacher an einem Desktop Computer zu arbeiten.
So ein Login soll ja auch keine Regel werden. Außerdem bietet er einen interessanten Ansatz den sich viele andere Webseiten auch anschauen können.
Wenn es jetzt noch eine passende App gäbe in der mehrere Accounts gespeichert werden könnten und ein Link dazu – wie schon erwähnt – auf der Login-Seite wäre, fände ich diese Login-Methode echt praktisch.
Der Test hat gerade gezeigt, dass man sich dadurch auch die Eingabe des Codes (zwei-Faktor-Authentifizierung) spart. Macht Sinn, wenn man das Telefon schon benutzt hat. :)
Entweder ist es unglücklich beschrieben, oder aber ich kann keinen Sicherheitsvorteil erkennen.
1. Wer sagt mir, dass der QR-Code selber nicht manipuliert wurde und mich dann direkt auf eine „böse“ Seite leitet.
2. Wenn ich dem Code (trotz Punkt 1) vertraue und mich dann auf dem iPhone einlogge, wie bekommt der PC im Internet-Café denn mit, dass ich nun eingeloggt bin?
3. Sicheres Einloggen ginge zum Beispiel über einen RSA-Token-Generator, der auf dem iphone eine Art „Einmal-Passwort“ erzeugt, der gerne vom Keylogger mitgeloggt werden kann. Gibt’s im Übrigen schon.
Zu 1.: Wenn man sich vor der Benutzung selbst bei google auf dem Smartphone einlogt, wäre dieses sicherheitsbedenken umgangen.
Zu 2.: Der Code wird einzigartig erzeugt. Google auf dem Desktop Rechner weis welchen Code es erzeugt hat und wartet jetzt quasi „im Hintergrund“ darauf das mit diesem einmaligem Code auf irgendeiner andern Platform (könnte bsw auch ein anderer Rechner sein) interagiert wird. So wird dann auf dem 2. System bei google vermerkt das mit diesem einmaligem Code ein erfolgreicher Login durch geführt wurde und so der Login auf dem 1. Rechner freigeschaltet.
Gregor, weil du einen langen text lieber im internetcafe an einer tastatur schreibst.
Die funktion ist super freut euch drueber wenn ihr sie nutzen wolltm ansonsten nutzt ihr sie eben nicht… Aber sucht hier doch keine albernen gruende sie schlecht zu reden. Denn sie erfuellt genau den zweck den der programierer sich dabei gedacht hat.
Die Funktion ist auch Klasse, falls man sich mal auf PCs bei seinen Kumpel-Nerds einloggen muss. Wenn die Kennwort im Browser speichern aktiviert haben, haben sie wenn du weg bist, immer noch Vollzugriff auf dein Postfach. Gleichzeitig kannst du gleich deine „Kumpels“ noch schön beeindrucken, wie sich mit „Sesam Öffne Dich“ das Postfach öffnet. Das Staunen auf der Apple-Party ist auf deiner Seite und die Apple-Groupie-Frauen schwärmen sich um dich. Danke Google
wo gibts diese Parties, von denen du sprichst? :-)
Naja, wenn jemand den PC im Internet Cafe gehackt hat und der QR Code wie schon mal angesprochen nicht zu Google sondern auf eine Fake-GMail-Anmeldeseite verweist, dann gibt man dort locker flockig mal eben sein Passwort ein und der Angreifer bekommt das sogar ohne Keylogger in die Hände.
Damit man’s nicht merkt, gibt es eine Fehlermeldung auf beiden Seiten (iPhone und PC) und danach wird die richtige Seite mit passendem QR Code angezeigt („Ups! Habe ich mich wohl vertippt“).
Vor allem wenn der QR Code einen sehr langen Link nutzt, kann man das doch prima faken, oder?
Wenn schon sicher, dann so:
1. Google Website aufrufen und Sicherheitscode per SMS anfragen
2. In der SMS wird ein Einmalpasswort und ein vom Benutzer festgelegter Hinweis („Hallo alte Säule!“) mitgeschickt.
3. Anmeldung bei Google mit dem Einmalpasswort.
Wie bereits oben erwähnt: sich zuerst auf dem Smartphone bei google einloggen, dann den qr Code scannen!
Wenn man dann wieder auf eine Login-Seite kommt, ist etwas faul. ;)
Ist doch nicht soooo schwer.
Liebes ifun Team,
es gibt einen noch einfacheren Weg, das ganze zu nutzen: Statt eines herkömmlichen QR Code Readers nehmen man die Google Suche App, aktiviere in den Einstellungen Google Goggles und loggt sich in der App einmalig ein. Das Scannen und das automatische Erkennen des Codes geht mit der App deutlich schneller, der Link wird sofort ohne Popup angezeigt und man spart einige Klicks und das Einloggen bei Safari am iPhone, weil die App den Login nicht vergisst, wenn man sich nicht explizit ausloggt.
Der Service scheint (temporär?) wieder offline zu sein. Siehe: https://accounts.google.com/sesame
„Hi there – thanks for your interest in our phone-based login experiment.
While we have concluded this particular experiment, we constantly experiment with new and more secure authentication mechanisms.
Stay tuned for something even better!
Dirk Balfanz, Google Security Team.“