Am 30. Mai verlieren Sie möglicherweise den Zugriff auf Apps, die eine weniger sichere Anmeldetechnologie verwenden

Naja...

Apple als Alternative weil einem der Datenschutz von Google nicht gefällt ist finde ich absurd.

GMX als Free Variante mit schön viel Werbung und die UI AG wird auch immer größer... in der bezahlten Version finde ich GMX teuer...

Übrigens wer bei GMX (und Co.) keine richtigen Daten angibt und das Passwort verliert bekommt keinen Zugriff mehr auf sein Konto (nur mal so im Hinterkopf behalten).

Aber anscheindend gibt es noch ein paar Möglichkeiten... viel kostet eine Emailadresse nicht - entweder man zahlt mit seinen Daten, Geld oder mit Wissen.

Quote from o0Julia0o

Aber ab dem 30.05.2022 geht das nicht mehr ohne Smartphone oder Telefon!

Kann man denn mit einer Smartphone-Nummer oder einer Telefonnummer mehrere Google-Konten nutzen?

Wer sagt das man mit OAuth2 eine Handynummer braucht?

Man kann mehrere Google Accounts auf die gleiche Handynummer verlinken...

Grüße dErzOnk

Quote from dErzOnk

Wer sagt das man mit OAuth2 eine Handynummer braucht?

OAuth2 ist vielleicht nicht jedermanns Sache:

OAuth (Open Authorization)

OAuth2 gilt seit langem als Standard für die Zugriffsdelegierung bei Desktop-, Web- und Mobile-Anwendungen. Doch es gibt auch Kritik am Protokoll.

www.ionos.de

Ob das frisch generierte App-Passwort zum 30. Mai seine Gültigkeit verliert, bleibt abzuwarten. Bei der Einrichtung vor zwei Tagen wurde ich jedenfalls nicht von Google darauf hingewiesen.

Also eben ausprobiert, geht auch ohne 2FA mit OAuth2... aka. keine Handynummer nötig.

Veteran Dein OAuth2 Hinweis kenne ich... aber ich denke jemand der Google-Mail nimmt sieht das eh nicht so eng... und ich halte die Diskussion für etwas übertrieben.

Quote from Veteran

Ob das frisch generierte App-Passwort zum 30. Mai seine Gültigkeit verliert

Warum sollte es? Das hat Google nie gesagt... Aber anders rum, ist die Erstellung ohne 2FA möglich? Dann schnell machen...

Grüße dErzOnk

Quote from dErzOnk

Aber anders rum, ist die Erstellung ohne 2FA möglich?

Nein, die Option zum Generieren des Passworts erscheint erst, wenn die 'Bestätigung in zwei Schritten' aktiviert ist (was ja nichts anderes als eine 2FA ist).

Mit App-Passwörtern anmelden - Google-Konto-Hilfe

Mich rufen sie beim Login regelmäßig an, um mir den Bestätigungscode vorzulesen. Offensichlich können sie meinen Linux-Rechner nicht so richtig verorten oder sie vermissen ihr Cookie …

Moin,

Quote from o0Julia0o

Man kommt also um eine Telefonnummer-Anmeldung nicht herum.

Doch man kann ohne Google eine Telefonummer zu geben den Mailservice mit TB nutzen.

Quote from o0Julia0o

Aber anders rum, ist die Erstellung ohne 2FA möglich?

Die Erstellung eines "App-Passworts" für Thunderbird ist ohne 2FA (und damit Handynummer/App) nicht möglich.

Quote from o0Julia0o

weil beim neuen Windows-Rechner dann noch gar keine Cokies gesetzt sind.

Äh so funktioniert das nicht, das mit Linux und Windows und Cookies mal wieder vergessen... das bringt uns hier nicht weiter.

Quote from o0Julia0o

Ich weiß nicht, was OAuth2 ist

Ok, dann sollten wir das vielleicht mal erklären, damit du auch verstehen kannst wie dein Problem zu lösen ist.

Du kannst über OAuth2 den Artikel den Veteran verlinkt hat lesen, oder den staubtrockenen Wikipedia Artikel, ich glaube beides hilft null weiter. Aber im Thunderbird unter Kontoeinstellungen findest du die Server Einstellungen zu deinem Google Konto. Dort findest du dann rechts oben unter Sicherheit und Authentifizierung -> Authentifizierungsmethode:

Wobei es interessant ist was bei Dir eingestellt ist, wahrscheinlich "Verschlüsseltes Passwort". Und genau diese Authentifizierungsmethode ist für Google jetzt der Grund Thunderbird eine unsichere App zu nennen...

Die Technik "Verschlüsseltes Passwort" darf nur noch mit einem speziellen App-Passwort verwendet werden. Das gilt zum 30.5. und steht ja auch in deiner Email.

Um ein solches App-Passwort einzurichten brauchst du 2FA (und damit Handynummer/App)...

Du kannst hier aber auch die Authentifizierungsmethode OAuth2 wählen, diese gilt derzeit als sicher und wird von allen großen (bösen) Internetfirmen verwendet. Wenn dir langweilig ist kannst du auch die kritischen Artikel zu OAuth2 durchlesen und warum das paar Leute im Internet nicht toll finden.. viel Spaß dabei...

Wenn OAuth2 eingestellt ist und sich Thunderbird mit dem Google Konto verbindet tauchen so Fenster zu Passwortabfrage auf. Dort trägst Du deine Gmail Adresse ein und deinen richtiges Google Passwort. Dann ist Thunderbird für Google eine sichere App.

Das muss man nur bei der ersten Anmeldung machen, danach sollte TB die Anmeldedaten speichern. Dafür werden teilweise Cookies verwendet. Die normale Einstellung von TB ist aber diese zuzulassen, sollte also einfach klappen.

Grüße dErzOnk

Ich habe auch ein Gmail-Konto, das ich aber bisher nur auf dem Smartphone verwendet habe. Ich habe es mir mal in TB eingerichtet und als Authentifizierungsmethode wurde automatisch OAuth2 eingetragen. Das geschieht wohl seit 91.8.0 schon so:

Automatische Umwandlung von Gmail-Konten zur OAuth 2.0 Authentifizierung | Hilfe zu Thunderbird

Moin Julia,

Quote from o0Julia0o

Ich habe Oauth2 eingerichtet

Prima, dann ist ja alles gut!

Quote from o0Julia0o

Unsichere Apps zulassen, habe ich in Google deaktiviert. E-Mails kann ich noch abrufen.

Diese Option kannst Du auch nur aktivieren wenn Du vorher einen 2FA eingerichtet hast (aka. Handynummer/App) an Google geben. Brauchst du aber nicht...

Quote from o0Julia0o

30. Mai 2022 keine Drittanbieter-Apps oder ‑Geräte mehr, bei denen Ihr Nutzername und Passwort ausreichen,

Zwei Dinge dazu... OAuth2 verwendet mehr als nur Nutzernamen und Passwort, fällt also nicht unter diese Regel. Mit OAuth2 wird es am 30.5.22 einfach weiter gehen...

Und das Andere, Google schreibt hier absichtlich so das der User in Sorge verfällt, das es Probleme geben könnte... damit der User lieber zu viele Daten angibt als zu wenig.

Quote from o0Julia0o

Und genau das mache ich ja mit Thunderbird, oder Chrome oder Firefox. Ich melde mich mit Nutzername(=Gmail-Adresse) und Passwort an.

Nein - Egal ob Chrome jetzt von Google ist, es geht um was anderes... Wenn Du dich per Firefox bei Google (auf der Webseite) anmeldest mit Emailadresse und Passwort dann ist das in Wirklichkeit mehr... zum Beispiel weil Google via Firefox Cookies auf dem PC ablegt und der Login auf die Herkunft überprüft wird (IP=Land, Betriebssystem plausibel, usw...). Deswegen auch im TB die sich öffnenden Fenster wenn du OAuth2 verwendest... Tante google sagt dazu:

Quote

Sicherere Apps verwenden

Wenn eine App weniger sichere Anmeldetechnologie verwendet, können Sie sie möglicherweise nicht mit Ihrem Google-Konto verwenden.

Sie können sich mit jeder Drittanbieter-App, in der die Option „Über Google anmelden“ verfügbar ist, in Ihrem Google-Konto anmelden.

Mit „Über Google anmelden“ ist wohl OAuth2 gemeint... leider drück sich Google für meinen Geschmack nicht sehr klar aus...

Egal - sollte schon klappen, sonst kommst du am 31.5 wieder hier her und eine Menge Leute hätten das gleiche Problem - mich eingeschlossen.

Grüße dErzOnk

Moin Julia,

Quote from o0Julia0o

Also, wenn ich mein Betriebssystem wechsel, dann kann ich über ein neu eingerichtetes Firefox/Chrome/Thunderbird nicht mehr meine E-Mails abrufen?

Wenn Du dein Betriebssystem wechselst oder einen andern Computer nimmst dann mußt du Thunderbird neu einrichten - das war schon immer so. Du kannst zwar eine Profilübernahme bei TB machen, ob dann der Token von OAuth2 noch gültig ist, keine Ahnung. Du mußt halt dein Paßwort neu eingeben. Es hat aber so gesehen nix mit Betriebssystem zu tun...

Quote from o0Julia0o

Also das kann ich aktivieren und deaktivieren völlig ohne Telefonnummer.

Das konntest Du damals... mit viel Glück auch jetzt noch, aber eigentlich wird 2FA erzwungen um ein App-Passwort zu erstellen...

Quote from o0Julia0o

nur 2Faktor noch funktionieren wird nach dem Datum:

"Google nimmt die Sicherheit seiner Nutzerkonten sehr ernst. Deshalb werden ab 30. Mai 2022

Die Meldung zum 30.5.22 sagt nix zu 2FA... (zu 2FA gibt es die Informationen, daß Google dies eigentliche erst bis Nov.2022 verpflichtend einführen wollte, nun aber die Einführung auf Grund des großen Erfolges vorzieht.)

Quote from o0Julia0o

Wie "Caschys Blog"

Sorry, aber weder dieser Blog noch die "Redaktion" von Chip schriebt irgend etwas sinnvolles... da wird einfach nur die Meldung von Google wiederholt und Chip schreibt dann sogar wieder von diesem Blog ab... Das sind keine Nachrichten, das ist Content damit Klicks generiert werden... (Sorry Chip war mal gut - jetzt sind die auf einem Niveau von: Bunte, Freizeit Revue, Superillu)

Quote from o0Julia0o

mit eingerichteter Zwei-Faktor-Authentifizierung auf der sicheren Seite. Alternativ gibt es noch die Anmeldung in zwei Schritten.

Anmeldung in zwei Schritten, Zwei-Faktor-Authentifizierung und 2FA sind genau das gleiche!

Quote from o0Julia0o

Hier wird ein 16-stelliger appspezifischer Sicherheitscode verlangt."

Der Code wird nicht verlangt sondern kann generiert werden... nur mit diesen App-Passwörten funktioniert ab 30.5. noch die Anmeldung via Thunderbird wenn als Authentifizierungsmethode "Passwort, verschlüsselt" oder "Passwort, normal" verwendet wird.

OAuth2 hat damit nix zu tun, das gibt es weiterhin und da ändert sich nix - zumindest gibt Google dazu keine anderen Informationen raus...

Noch mal: Google will die Benutzer verunsichern... am liebsten wäre es Google wenn man alle persönlichen Daten abgibt und nur noch deren Programme und Betriebssystem nutzt... (aber dazu schreibt Chip aber nix... nur ganz stumpf und allgemein:

"Allgemein sollten Sie für alle ihre Online-Konten nach Möglichkeit eine 2FA aktivieren. Das erhöht die Sicherheit enorm, da Kriminelle dann nicht auf ihr Konto zugreifen können, selbst wenn sie an Ihr Passwort gekommen sind." )

JA 2FA ist eine sehr sichere Technik, aber man muß halt ein zweites System angeben... (Handynummer oder Handyapp). Jedes Onlinebanking arbeitet nach dem Prinzip...

Ist die Frage ob man das für Emails braucht... (und da kommt jetzt dazu, daß Google halt viel mehr ist als nur EMail.... man kann sein ganzes Leben bei denen abspeichern und Google kann auch alle möglichen Zugangsdaten, Zahlungsmittel usw. speichern. Da wird es gefährlich wenn man nur ein Paßwort hat. (abgesehen davon das ich es für gefährlich halte Google all diese Daten zugeben)).

Ich komme noch mal zurück zu OAuth2, die Erklärung auf wikipedia hast du bestimmt nicht gelesen... (ich auch nicht - ist mir zu trocken). Aber OAuth2 ist halt mehr als nur ein Paßwort mit Usernamen, Du kannst dich bei Google Authentifizieren und dann munter zu weiteren Anbietern weiter surfen und mußt Dich dort nicht noch mal anmelden...

Sprich du gibst Google die Infos das du es wirklich bist (Authentifizierung) und nun kann Google bei anderen Diensten dich mit deiner Identität bestätigen.... du mußt das nicht mehr selber machen. Das ist bequem, das ist sicher, das bedeutet Google lernt noch viel mehr über dich...

Und wenn Google genügend über dich weiss, dann kann es dich "ganz anders schützen"

Beispiel du lebst in der Google Welt (Android, Chrome Browser, alle Daten abgegeben usw..) und du bestellst normalerweise 100Dosen Katzenfutter im Monat an deine Privatadresse... wenn dann plötzlich über deinen Account 1000 Dosen Hundefutter an eine andere Adresse bestellt werden dann schrillen bei Google die Alarmglocken... ist der Nutzer gehackt worden? Ist das ein echter Kauf?...

Dabei kennt dann Google natürlich alle Details, bist zum Namen deiner Katze. Und es lernt fleißig weiter... ach die 1000Dosen Hundefutter waren für einen Freund mit Hund... Google merkt sich das ihr befreundet seit und verknüpft die Daten.

Das ist keine Paranoia sondern Google ist eine Datenkrake... übrigens die anderen auch...

Lange Rede, kurzer Sinn... benutze Googlemail mit TB und OAuth2 weiter und das klappt auch nach dem 30.5., aber überlege ob die "Sicherheit" es dir wert ist langfristig Google mit Daten zu füttern.

Grüße dErzOnk

Quote from dErzOnk

Das ist keine Paranoia sondern Google ist eine Datenkrake... übrigens die anderen auch...

Online-Werbung: Jede Minute werden Millionen Datensätze verhökert

Beim Real-Time-Bidding geht es um passgenaues Ausspielen von Werbung auf Apps und Websites. Ein Bericht legt offen, in welchem Umfang Daten übertragen werden.

www.heise.de

Die hier oben angeführten Artikel wirken auf mich so, als hätten deren Autoren selbst nicht verstanden, was genau Google da vorhat. Ansonsten hätten sie das doch verständlicher formulieren können.

Vielleicht sollte mal jemand, der einen Account bei Google benutzt und der auch versteht, was hinter 2FA und OAUTH2 steckt, hier für etwas mehr Klarheit sorgen.

Ich selbst habe keinen Account bei Google. Ich weiß daher nicht genau, wie Google hier vorgeht. Bei der Erklärung der Begrifflichkeiten kann ich aber hoffentlich behilflich sein. Die werden leider auch hier im Forum munter durcheinander geworfen und teilweise vermischt.

2FA, Zwei-Faktor-Authentifizierung

Was ist Authentifizieren? Hier geht es darum, die Identität eines Benutzers zu bestätigen. Es soll also geklärt werden, ob derjenige, der sich gerade anmeldet, wirklich der ist, der er vorgibt zu sein.

Ein Passwort allein (Faktor Wissen) ist relativ unsicher. Deshalb wird ein zweiter Faktor abgefragt, z.B. der Faktor Besitz. Das kann ein Smartphone sein, eine Smartcard, eine App oder auch ein Cookie auf einem PC usw. .

Letzteres ist wichtig, wenn man den zweiten Faktor nicht jedes Mal eingeben möchte. Im Cookie ist ein mehr oder weniger langer "Schlüssel" mehr oder weniger sicher gespeichert und kann automatisch abgefragt werden.

Wichtig: Das alles dient allein der Identifikation. Mehr ist bis hier nicht passiert.

OAuth2 steht für Open Authorization in Version 2

Was ist Autorisieren? Beim Autorisieren geht es darum, welche konkreten Rechte ein (bereits authentifizierter) Benutzer bekommt. Das hat per se zunächst nichts mit der Authentifizierung zu tun.

Das Besondere bei OAuth2 ist nun, dass diese Rechte im Hintergrund von einem zentralen Dienst (Authorization Server) anderen Diensten (Clients) automatisch gewährt werden können, ohne dass diese die Anmeldedaten erfahren.

In der Praxis kombiniert man beides. Denn es ergibt wenig Sinn, jemandem Rechte einzuräumen, den man nicht zuvor sicher identifiziert hat. Siehe dazu OpenID Connect.

Die Kombination ermöglicht es z.B., dass jemand, der sich bei Dienst A identifiziert hat, einem anderen Dienst B über OAuth2 erlaubt, auf die E-Mails zuzugreifen. Das alles, ohne dass Dienst B irgendein Passwort erfährt.

Ein idealisiertes Beispiel, wie es sich die großen Player vorstellen:

Nehmen wir an, es gibt eine Firma "TrustMe". Diese Firma kennt meine Identität und stellt den Authorization Server. Als einzige Seite kennt sie daher meine Anmeldedaten.

Nun möchte ich bei der Firma "KaufWas" einkaufen. Bei der Anmeldung dort leitet mich die Seite auf "TrustMe" um. Dort melde ich mich an und bestätige über 2FA, dass ich wirklich die Susi bin.

Über OAuth2 bekommt die Seite "KaufWas" nun mitgeteilt, dass ich mich korrekt identifiziert und einen Einkauf erlaubt (autorisiert) habe. Außerdem erteile ich die Erlaubnis, den Service "Zahlemann" zu benutzen.

Beim Bezahlen wird dann die Seite "KaufWas" per OAuth die Seite "Zahlemann" kontaktieren. Die wiederum lässt sich über "TrustMe" ebenfalls per OAuth bestätigen, dass der Einkauf von mir genehmigt war.

Dank OAuth hat außer "TrustMe" keine der beteiligten Firmen meine Anmeldedaten erhalten. Das verringert die Gefahr, dass diese Daten geklaut werden. Andererseits genügt ein Hack, um gleich Zugriff auf viele Dienste zu bekommen. Deshalb ist 2FA hier so wichtig!

Google ermöglicht einen Single-Sign-On für viele Dienste über OAuth2. Da ist es nur verständlich, dass sie auch 2FA verlangen. Alles andere wäre sträflich. Das ist nicht böse, sondern konsequent.

Man kann vereinfacht sagen, 2FA macht den Login sicherer, OAuth macht ihn bequemer. Für den Nutzer ergibt sich der Vorteil, sich nur ein Mal anmelden zu müssen. Die Bequemlichkeit hat aber ihren Preis. Sie wird u.a. damit erkauft, dass derjenige, der den Authorization Server betreibt, so etwas wie die Spinne im Netz ist.

Quote from o0Julia0o

Sonst könnte ja auch jeder Hacker, der per Oauth2 etwas kaufe möchte, mein Passwort eingeben, dann Oauth2 aktivieren und mit meinen Daten rumshoppen.

Jetzt bist du von selbst auf eine Schwachstelle von OAuth2 gestoßen: Es handelt sich in der jetzigen Form um einen Autorisierungsstandard ohne zusätzliche Authentifizierung. Diese findet nur einmalig beim Generieren des Tokens statt. Jeder im Besitz des Tokens kann somit auf deine Ressourcen zugreifen.

Bequemlichkeit auf Kosten der Sicherheit!

Quote from o0Julia0o

Also funktioniert ein E-Mail-Abruf ohne hinterlegt Telefonnummer(der Authenticator etc. benötigen ja alle auch alle eine Telefonnummer) nicht mehr nach dem 30. Mai 2022?

Das heißt es nicht zwangsläufig. Ich hatte ja erwähnt, dass sich die 2FA auch über ein (Einmalpasswort + ) Cookie verwirklichen lässt, also auch ohne Telefon. Für mich liest sich das, was die anderen oben geschrieben haben, so, als würde Google das anbieten. Ich weiß es aber nicht. Daher:

Quote from Susi to visit

Vielleicht sollte mal jemand, der einen Account bei Google benutzt und der auch versteht, was hinter 2FA und OAUTH2 steckt, hier für etwas mehr Klarheit sorgen.

Moin,

ich werde erst zum Wochenende hin die Zeit finden länger Zeit finden zu antworten (was sich auch auf Susi to visit Frage dann bezieht...)

Quote from o0Julia0o

Ja, aber dann komme ich ja nach einer Betriebssystemneuinstallation nie wieder an mein Gmail-Konto heran.

Wie kommst du auf die Idee? Einfach wieder neu installieren und dann wieder mit dem normalen Google Paßwort und deiner Emailadresse via OAuth2 anmelden...

Quote from o0Julia0o

Sonst könnte ja auch jeder Hacker, der per Oauth2 etwas kaufe möchte, mein Passwort eingeben, dann Oauth2 aktivieren und mit meinen Daten rumshoppen.

Wenn man mit deinem Google Konto "shoppen" kann solltest du dir entweder 2FA zulegen oder sicher sein, daß dein Passwort sicher ist... Abgesehen davon bezweifel ich das eine Anmeldung inkl. shopping-trip so einfach möglich ist aus sagen wir mal dubiosen Quellen... da spielt mehr mit rein...

Quote from o0Julia0o

Also funktioniert ein E-Mail-Abruf ohne hinterlegt Telefonnummer(der Authenticator etc. benötigen ja alle auch alle eine Telefonnummer) nicht mehr nach dem 30. Mai 2022? Da der 2. Faktor die Telefonnummer ist. Und Oauth2 nicht als 2. Faktor gewertet wird?

Das hat niemand gesagt - vor allem hat das Google nicht gesagt...

Nur das es halt nicht mehr mit "Passwort normal/verschlüsselt" funktioniert... Niemand sagt das ab 30.5. nur noch 2FA funktioniert... Google macht zwar sehr gute Erfahrung mit der Sicherheit via 2FA und zieht die Zwangsbenutzung vor... aber dazu gibt es keine genauen Aussagen wann das zwingend sein wird.

Quote from o0Julia0o

Kann das hin- und herschalten, wie ich lustig bin.

Wie gesagt kann sein das es (noch) geht, eigentlich sollte das anschalten nur noch möglich sein wenn man 2FA eingerichtet hat.

NACHTRAG: Ja Umschalten ist möglich, aber da sollte ein Hinweis stehen das es ab dem 30.5 nicht mehr möglich ist:

Quote from o0Julia0o

Ich habe unsichere apps zulassen deaktiviert. Und trotzdem funktioniert der E-Mail-Abruf per Thunderbird mit Oauth2. Aber die können das ja stichprobenartig nur abfragen den 2. Faktor. Und am 30. Mai stehe ich dann dumm da.

Unsichere Apps zulassen hat nichts mit OAuth2 zu tun...

Noch mal:

Ab den 30.5. will Google nicht mehr Apps zulassen die "Passwort normal/verschlüsselt" verwenden. Eine Ausnahme ist wenn ein extra App Passwort generiert wurde. Mit diesem geht das dann weiter...*** Aber wer mit OAuth2 arbeitet ist nicht betroffen.

*** Dazu macht Google keine explizite Aussage, bzw. ich kann kein App-Passwort mehr genieren (weil ich keine Email oder Telefonummer hinterlegt habe).

Grüße und noch eine schöne Woche

dErzOnk

Hallo zusammen,

ich sehe das ganz entspannt und bin nicht bereit, dass auch nur eine meiner Gehirnzellen wegen des Gockelkontos für meinen androiden Schlaufernsprecher Schaden nimmt.

Im Thunderbird läuft das Konto mit OAuth2 problemfrei. Ist auch nur dort eingerichtet. Sollte es ab dem 01.06. nicht mehr wie bisher laufen, dann fliegt es eben aus dem Thunderbird raus!

Gruß

Feuerdrache

Hallo o0Julia0o ,

Quote from o0Julia0o

Warum schickt mir Google auf meine E-Mail die Info, dass ich bald ausgesperrt werde, obwohl ich bereits OAuth2 aktiviert hatte?

diese "Warnmails"/"Drohmails" erhält praktischer Weise jeder, der ein Google-Konto sein Eigen nennt. Google wird da keinesfalls individualisieren und bestimmte Personen nicht anmailen. Der Aufwand dieser Differenzierung wird in keinem Verhältnis zum Nutzen stehen.

Meine zwei Cent dazu.

Gruß

Feuerdrache