1. Startseite
  2. Nachrichten
  3. Herunterladen
    1. Thunderbird Release-Version
    2. Thunderbird 128 ESR
    3. Thunderbird 115 ESR
    4. Thunderbird Beta-Version
    5. Sprachpaket (Benutzeroberfläche)
    6. Wörterbücher (Rechtschreibprüfung)
  4. Hilfe & Lexikon
    1. Anleitungen zu Thunderbird
    2. Fragen & Antworten (FAQ) zu Thunderbird
    3. Hilfe zu dieser Webseite
  5. Forum
    1. Unerledigte Themen
    2. Letzte Beiträge
    3. Themen der letzten 24 Stunden
  • Anmelden
  • Registrieren
  • 
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Forum
  • Lexikon
  • Artikel
  • Seiten
  • Erweiterte Suche
  1. Thunderbird Mail DE
  2. Forum
  3. Hilfe zu E-Mail und allgemeines Arbeiten
  4. Allgemeines Arbeiten / Konten einrichten / Installation & Update

Am 30. Mai verlieren Sie möglicherweise den Zugriff auf Apps, die eine weniger sichere Anmeldetechnologie verwenden

    • 91.*
    • Windows
  • o0Julia0o
  • 29. April 2022 um 13:43
  • Geschlossen
  • Unerledigt
  • dErzOnk
    Senior-Mitglied
    Reaktionen
    588
    Beiträge
    1.228
    Mitglied seit
    12. Jan. 2022
    Hilfreiche Antworten
    10
    • 11. Mai 2022 um 20:18
    • #21

    Naja...

    Apple als Alternative weil einem der Datenschutz von Google nicht gefällt ist finde ich absurd.

    GMX als Free Variante mit schön viel Werbung und die UI AG wird auch immer größer... in der bezahlten Version finde ich GMX teuer...

    Übrigens wer bei GMX (und Co.) keine richtigen Daten angibt und das Passwort verliert bekommt keinen Zugriff mehr auf sein Konto (nur mal so im Hinterkopf behalten).

    Aber anscheindend gibt es noch ein paar Möglichkeiten... viel kostet eine Emailadresse nicht - entweder man zahlt mit seinen Daten, Geld oder mit Wissen.

    Zitat von o0Julia0o

    Aber ab dem 30.05.2022 geht das nicht mehr ohne Smartphone oder Telefon!


    Kann man denn mit einer Smartphone-Nummer oder einer Telefonnummer mehrere Google-Konten nutzen?

    Wer sagt das man mit OAuth2 eine Handynummer braucht?

    Man kann mehrere Google Accounts auf die gleiche Handynummer verlinken...

    Grüße dErzOnk

  • Veteran
    Gast
    • 11. Mai 2022 um 20:53
    • #22
    Zitat von dErzOnk

    Wer sagt das man mit OAuth2 eine Handynummer braucht?

    OAuth2 ist vielleicht nicht jedermanns Sache:[box]

    … ist die wichtigste Neuerung von OAuth2, dass es im Gegensatz zu seinem Vorgänger keine kryptografischen Signaturen mehr für jede Maschine-zu-Maschine-Kommunikation im Protokollablauf verlangt. … Es bedeutet aber auch, dass das neue Protokolltechnisch gesehen weniger sicher ist – …[/box]

    OAuth (Open Authorization)
    OAuth2 gilt seit langem als Standard für die Zugriffsdelegierung bei Desktop-, Web- und Mobile-Anwendungen. Doch es gibt auch Kritik am Protokoll.
    www.ionos.de

    Ob das frisch generierte App-Passwort zum 30. Mai seine Gültigkeit verliert, bleibt abzuwarten. Bei der Einrichtung vor zwei Tagen wurde ich jedenfalls nicht von Google darauf hingewiesen.

  • dErzOnk
    Senior-Mitglied
    Reaktionen
    588
    Beiträge
    1.228
    Mitglied seit
    12. Jan. 2022
    Hilfreiche Antworten
    10
    • 11. Mai 2022 um 21:31
    • #23

    Also eben ausprobiert, geht auch ohne 2FA mit OAuth2... aka. keine Handynummer nötig.

    @Veteran Dein OAuth2 Hinweis kenne ich... aber ich denke jemand der Google-Mail nimmt sieht das eh nicht so eng... und ich halte die Diskussion für etwas übertrieben.

    Zitat von Veteran

    Ob das frisch generierte App-Passwort zum 30. Mai seine Gültigkeit verliert

    Warum sollte es? Das hat Google nie gesagt... Aber anders rum, ist die Erstellung ohne 2FA möglich? Dann schnell machen...

    Grüße dErzOnk

  • Veteran
    Gast
    • 11. Mai 2022 um 22:38
    • #24
    Zitat von dErzOnk

    Aber anders rum, ist die Erstellung ohne 2FA möglich?

    Nein, die Option zum Generieren des Passworts erscheint erst, wenn die 'Bestätigung in zwei Schritten' aktiviert ist (was ja nichts anderes als eine 2FA ist).

    Mit App-Passwörtern anmelden - Google-Konto-Hilfe


    Mich rufen sie beim Login regelmäßig an, um mir den Bestätigungscode vorzulesen. Offensichlich können sie meinen Linux-Rechner nicht so richtig verorten oder sie vermissen ihr Cookie …

  • o0Julia0o
    Mitglied
    Reaktionen
    1
    Beiträge
    84
    Mitglied seit
    8. Apr. 2014
    • 12. Mai 2022 um 00:46
    • #25
    Zitat von dErzOnk
    Zitat von o0Julia0o

    Wer sagt das man mit OAuth2 eine Handynummer braucht?

    Ich weiß nicht, was OAuth2 ist, jedoch steht hier bei google selbst:

    "Wenn eine App weniger sichere Anmeldetechnologie verwendet, können Sie sie möglicherweise nicht mit Ihrem Google-Konto verwenden."

    -> https://support.google.com/accounts/answe…-apps-verwenden

    Und wen ich dort nachgucke, was eine App mit weniger sichere Anmeldungstechnologie ist, dann sind das alle Apps, welche keine 2-Faktor-Anemldung benutzen. also z.B. auch Google Chrome, wenn ich mich nur mit Passwort und Nutzernahmen bei Gmail damit anmelden möchte.

    Man kommt also um eine Telefonnummer-Anmeldung nicht herum.


    Aber anders rum, ist die Erstellung ohne 2FA möglich?

    Mich rufen sie beim Login regelmäßig an, um mir den Bestätigungscode vorzulesen. Offensichlich können sie meinen Linux-Rechner nicht so richtig verorten oder sie vermissen ihr Cookie …

    Und wenn dann mein Windows-Rechner defekt geht, dann kann ich mich nicht mehr anmelden, weil beim neuen Windows-Rechner dann noch gar keine Cokies gesetzt sind.

  • dErzOnk
    Senior-Mitglied
    Reaktionen
    588
    Beiträge
    1.228
    Mitglied seit
    12. Jan. 2022
    Hilfreiche Antworten
    10
    • 12. Mai 2022 um 01:38
    • #26

    Moin,

    Zitat von o0Julia0o

    Man kommt also um eine Telefonnummer-Anmeldung nicht herum.

    Doch man kann ohne Google eine Telefonummer zu geben den Mailservice mit TB nutzen.

    Zitat von o0Julia0o

    Aber anders rum, ist die Erstellung ohne 2FA möglich?

    Die Erstellung eines "App-Passworts" für Thunderbird ist ohne 2FA (und damit Handynummer/App) nicht möglich.

    Zitat von o0Julia0o

    weil beim neuen Windows-Rechner dann noch gar keine Cokies gesetzt sind.

    Äh so funktioniert das nicht, das mit Linux und Windows und Cookies mal wieder vergessen... das bringt uns hier nicht weiter.

    Zitat von o0Julia0o

    Ich weiß nicht, was OAuth2 ist

    Ok, dann sollten wir das vielleicht mal erklären, damit du auch verstehen kannst wie dein Problem zu lösen ist.


    Du kannst über OAuth2 den Artikel den Veteran verlinkt hat lesen, oder den staubtrockenen Wikipedia Artikel, ich glaube beides hilft null weiter. Aber im Thunderbird unter Kontoeinstellungen findest du die Server Einstellungen zu deinem Google Konto. Dort findest du dann rechts oben unter Sicherheit und Authentifizierung -> Authentifizierungsmethode:

    Wobei es interessant ist was bei Dir eingestellt ist, wahrscheinlich "Verschlüsseltes Passwort". Und genau diese Authentifizierungsmethode ist für Google jetzt der Grund Thunderbird eine unsichere App zu nennen...


    Die Technik "Verschlüsseltes Passwort" darf nur noch mit einem speziellen App-Passwort verwendet werden. Das gilt zum 30.5. und steht ja auch in deiner Email.

    Um ein solches App-Passwort einzurichten brauchst du 2FA (und damit Handynummer/App)...

    Du kannst hier aber auch die Authentifizierungsmethode OAuth2 wählen, diese gilt derzeit als sicher und wird von allen großen (bösen) Internetfirmen verwendet. Wenn dir langweilig ist kannst du auch die kritischen Artikel zu OAuth2 durchlesen und warum das paar Leute im Internet nicht toll finden.. viel Spaß dabei...

    Wenn OAuth2 eingestellt ist und sich Thunderbird mit dem Google Konto verbindet tauchen so Fenster zu Passwortabfrage auf. Dort trägst Du deine Gmail Adresse ein und deinen richtiges Google Passwort. Dann ist Thunderbird für Google eine sichere App.


    Das muss man nur bei der ersten Anmeldung machen, danach sollte TB die Anmeldedaten speichern. Dafür werden teilweise Cookies verwendet. Die normale Einstellung von TB ist aber diese zuzulassen, sollte also einfach klappen.

    Grüße dErzOnk

  • milupo
    Gast
    • 12. Mai 2022 um 22:26
    • #27

    Ich habe auch ein Gmail-Konto, das ich aber bisher nur auf dem Smartphone verwendet habe. Ich habe es mir mal in TB eingerichtet und als Authentifizierungsmethode wurde automatisch OAuth2 eingetragen. Das geschieht wohl seit 91.8.0 schon so:

    Automatische Umwandlung von Gmail-Konten zur OAuth 2.0 Authentifizierung | Hilfe zu Thunderbird

  • o0Julia0o
    Mitglied
    Reaktionen
    1
    Beiträge
    84
    Mitglied seit
    8. Apr. 2014
    • 13. Mai 2022 um 02:35
    • #28
    Zitat von dErzOnk
    Zitat von o0Julia0o

    Man kommt also um eine Telefonnummer-Anmeldung nicht herum.

    Doch man kann ohne Google eine Telefonummer zu geben den Mailservice mit TB nutzen.

    Danke Dir dErzOnk! Ich habe Oauth2 eingerichtet - war bereits so. Aber ich kann mich ja schlecht in die Zukunft beamen. Kann ich irgendwie testen, ob das am 30.05.2022 dann noch ohne Telefonnummer funktioinert? Unsichere Apps zulassen, habe ich in Google deaktiviert. E-Mails kann ich noch abrufen. Aber da Thunderbird keine sichere App ist (das sind doch nur welche die 2FA nutzen) soll das ab dem 30.05.2022 ja nicht mehr möglich sein:


    "Zum besseren Schutz Ihres Kontos unterstützt Google ab dem 30. Mai 2022 keine Drittanbieter-Apps oder ‑Geräte mehr, bei denen Ihr Nutzername und Passwort ausreichen, um sich in Ihrem Google-Konto anzumelden."

    Quelle: https://support.google.com/accounts/answe…ecure-apps-card

    Und genau das mache ich ja mit Thunderbird, oder Chrome oder Firefox. Ich melde mich mit Nutzername(=Gmail-Adresse) und Passwort an. Wobei Chrome ja eigentlich keine Drittanbieter-App ist, oder?

  • dErzOnk
    Senior-Mitglied
    Reaktionen
    588
    Beiträge
    1.228
    Mitglied seit
    12. Jan. 2022
    Hilfreiche Antworten
    10
    • 13. Mai 2022 um 11:38
    • #29

    Moin Julia,

    Zitat von o0Julia0o

    Ich habe Oauth2 eingerichtet

    Prima, dann ist ja alles gut!

    Zitat von o0Julia0o

    Unsichere Apps zulassen, habe ich in Google deaktiviert. E-Mails kann ich noch abrufen.

    Diese Option kannst Du auch nur aktivieren wenn Du vorher einen 2FA eingerichtet hast (aka. Handynummer/App) an Google geben. Brauchst du aber nicht...

    Zitat von o0Julia0o

    30. Mai 2022 keine Drittanbieter-Apps oder ‑Geräte mehr, bei denen Ihr Nutzername und Passwort ausreichen,

    Zwei Dinge dazu... OAuth2 verwendet mehr als nur Nutzernamen und Passwort, fällt also nicht unter diese Regel. Mit OAuth2 wird es am 30.5.22 einfach weiter gehen...

    Und das Andere, Google schreibt hier absichtlich so das der User in Sorge verfällt, das es Probleme geben könnte... damit der User lieber zu viele Daten angibt als zu wenig.

    Zitat von o0Julia0o

    Und genau das mache ich ja mit Thunderbird, oder Chrome oder Firefox. Ich melde mich mit Nutzername(=Gmail-Adresse) und Passwort an.

    Nein - Egal ob Chrome jetzt von Google ist, es geht um was anderes... Wenn Du dich per Firefox bei Google (auf der Webseite) anmeldest mit Emailadresse und Passwort dann ist das in Wirklichkeit mehr... zum Beispiel weil Google via Firefox Cookies auf dem PC ablegt und der Login auf die Herkunft überprüft wird (IP=Land, Betriebssystem plausibel, usw...). Deswegen auch im TB die sich öffnenden Fenster wenn du OAuth2 verwendest... Tante google sagt dazu:

    Zitat

    Sicherere Apps verwenden

    Wenn eine App weniger sichere Anmeldetechnologie verwendet, können Sie sie möglicherweise nicht mit Ihrem Google-Konto verwenden.

    Sie können sich mit jeder Drittanbieter-App, in der die Option „Über Google anmelden“ verfügbar ist, in Ihrem Google-Konto anmelden.

    Mit „Über Google anmelden“ ist wohl OAuth2 gemeint... leider drück sich Google für meinen Geschmack nicht sehr klar aus...

    Egal - sollte schon klappen, sonst kommst du am 31.5 wieder hier her und eine Menge Leute hätten das gleiche Problem - mich eingeschlossen.

    Grüße dErzOnk

  • o0Julia0o
    Mitglied
    Reaktionen
    1
    Beiträge
    84
    Mitglied seit
    8. Apr. 2014
    • 16. Mai 2022 um 23:18
    • #30
    Zitat von dErzOnk
    Zitat von o0Julia0o

    Unsichere Apps zulassen, habe ich in Google deaktiviert. E-Mails kann ich noch abrufen.

    Diese Option kannst Du auch nur aktivieren wenn Du vorher einen 2FA eingerichtet hast (aka. Handynummer/App) an Google geben. Brauchst du aber nicht...

    Zitat von o0Julia0o

    30. Mai 2022 keine Drittanbieter-Apps oder ‑Geräte mehr, bei denen Ihr Nutzername und Passwort ausreichen,

    Zwei Dinge dazu... OAuth2 verwendet mehr als nur Nutzernamen und Passwort, fällt also nicht unter diese Regel. Mit OAuth2 wird es am 30.5.22 einfach weiter gehen...

    Und das Andere, Google schreibt hier absichtlich so das der User in Sorge verfällt, das es Probleme geben könnte... damit der User lieber zu viele Daten angibt als zu wenig.

    Zitat von o0Julia0o

    Und genau das mache ich ja mit Thunderbird, oder Chrome oder Firefox. Ich melde mich mit Nutzername(=Gmail-Adresse) und Passwort an.

    Nein - Egal ob Chrome jetzt von Google ist, es geht um was anderes... Wenn Du dich per Firefox bei Google (auf der Webseite) anmeldest mit Emailadresse und Passwort dann ist das in Wirklichkeit mehr... zum Beispiel weil Google via Firefox Cookies auf dem PC ablegt und der Login auf die Herkunft überprüft wird (IP=Land, Betriebssystem plausibel, usw...). Deswegen auch im TB die sich öffnenden Fenster wenn du OAuth2 verwendest... Tante google sagt dazu:

    Alles anzeigen

    Dankeschön dErzOnk. Also, wenn ich mein Betriebssystem wechsel, dann kann ich über ein neu eingerichtetes Firefox/Chrome/Thunderbird nicht mehr meine E-Mails abrufen?

    Unsichere Apps zulassen-Option hatte ich immer eingerichtet. Das ist nämlich Thunderbird - das steht dort aufgeführt bei Google in meinem Account. Ich habe aber nie eine Telefonnummer gehabt in google. Also das kann ich aktivieren und deaktivieren völlig ohne Telefonnummer. Ich dachte aber es wäre ein Test, wenn ich es deaktiviere ob am 30.05.2022 das Gmail-Konto noch funktioniert - da ich ja bei Deaktiviertheit der Optiion trotzdem noch E-Mails abrufen kann per Thunderbird mit Oauth2.

    Aber die gängige Meinung im Netz ist, dass nur 2Faktor noch funktionieren wird nach dem Datum:

    "Google nimmt die Sicherheit seiner Nutzerkonten sehr ernst. Deshalb werden ab 30. Mai 2022 keine Drittanbieter-Apps oder -Geräte mehr unterstützt, bei denen Nutzername und Passwort ausreichen, um sich im Google-Account anzumelden. Das erklärt das Unternehmen auf seiner Support-Seite.

    Wie "Caschys Blog" schreibt, ist man mit eingerichteter Zwei-Faktor-Authentifizierung auf der sicheren Seite. Alternativ gibt es noch die Anmeldung in zwei Schritten. Diese ist für den Zugriff weniger sicherer Apps nötig. Hier wird ein 16-stelliger appspezifischer Sicherheitscode verlangt."

    Quelle: https://www.chip.de/news/Neue-Pfli…_184142070.html

  • dErzOnk
    Senior-Mitglied
    Reaktionen
    588
    Beiträge
    1.228
    Mitglied seit
    12. Jan. 2022
    Hilfreiche Antworten
    10
    • 17. Mai 2022 um 10:54
    • #31

    Moin Julia,

    Zitat von o0Julia0o

    Also, wenn ich mein Betriebssystem wechsel, dann kann ich über ein neu eingerichtetes Firefox/Chrome/Thunderbird nicht mehr meine E-Mails abrufen?

    Wenn Du dein Betriebssystem wechselst oder einen andern Computer nimmst dann mußt du Thunderbird neu einrichten - das war schon immer so. Du kannst zwar eine Profilübernahme bei TB machen, ob dann der Token von OAuth2 noch gültig ist, keine Ahnung. Du mußt halt dein Paßwort neu eingeben. Es hat aber so gesehen nix mit Betriebssystem zu tun...

    Zitat von o0Julia0o

    Also das kann ich aktivieren und deaktivieren völlig ohne Telefonnummer.

    Das konntest Du damals... mit viel Glück auch jetzt noch, aber eigentlich wird 2FA erzwungen um ein App-Passwort zu erstellen...

    Zitat von o0Julia0o

    nur 2Faktor noch funktionieren wird nach dem Datum:

    "Google nimmt die Sicherheit seiner Nutzerkonten sehr ernst. Deshalb werden ab 30. Mai 2022

    Die Meldung zum 30.5.22 sagt nix zu 2FA... (zu 2FA gibt es die Informationen, daß Google dies eigentliche erst bis Nov.2022 verpflichtend einführen wollte, nun aber die Einführung auf Grund des großen Erfolges vorzieht.)

    Zitat von o0Julia0o

    Wie "Caschys Blog"

    Sorry, aber weder dieser Blog noch die "Redaktion" von Chip schriebt irgend etwas sinnvolles... da wird einfach nur die Meldung von Google wiederholt und Chip schreibt dann sogar wieder von diesem Blog ab... Das sind keine Nachrichten, das ist Content damit Klicks generiert werden... (Sorry Chip war mal gut - jetzt sind die auf einem Niveau von: Bunte, Freizeit Revue, Superillu)

    Zitat von o0Julia0o

    mit eingerichteter Zwei-Faktor-Authentifizierung auf der sicheren Seite. Alternativ gibt es noch die Anmeldung in zwei Schritten.

    Anmeldung in zwei Schritten, Zwei-Faktor-Authentifizierung und 2FA sind genau das gleiche!

    Zitat von o0Julia0o

    Hier wird ein 16-stelliger appspezifischer Sicherheitscode verlangt."

    Der Code wird nicht verlangt sondern kann generiert werden... nur mit diesen App-Passwörten funktioniert ab 30.5. noch die Anmeldung via Thunderbird wenn als Authentifizierungsmethode "Passwort, verschlüsselt" oder "Passwort, normal" verwendet wird.

    OAuth2 hat damit nix zu tun, das gibt es weiterhin und da ändert sich nix - zumindest gibt Google dazu keine anderen Informationen raus...

    Noch mal: Google will die Benutzer verunsichern... am liebsten wäre es Google wenn man alle persönlichen Daten abgibt und nur noch deren Programme und Betriebssystem nutzt... (aber dazu schreibt Chip aber nix... nur ganz stumpf und allgemein:


    "Allgemein sollten Sie für alle ihre Online-Konten nach Möglichkeit eine 2FA aktivieren. Das erhöht die Sicherheit enorm, da Kriminelle dann nicht auf ihr Konto zugreifen können, selbst wenn sie an Ihr Passwort gekommen sind." )

    JA 2FA ist eine sehr sichere Technik, aber man muß halt ein zweites System angeben... (Handynummer oder Handyapp). Jedes Onlinebanking arbeitet nach dem Prinzip...

    Ist die Frage ob man das für Emails braucht... (und da kommt jetzt dazu, daß Google halt viel mehr ist als nur EMail.... man kann sein ganzes Leben bei denen abspeichern und Google kann auch alle möglichen Zugangsdaten, Zahlungsmittel usw. speichern. Da wird es gefährlich wenn man nur ein Paßwort hat. (abgesehen davon das ich es für gefährlich halte Google all diese Daten zugeben)).

    Ich komme noch mal zurück zu OAuth2, die Erklärung auf wikipedia hast du bestimmt nicht gelesen... (ich auch nicht - ist mir zu trocken). Aber OAuth2 ist halt mehr als nur ein Paßwort mit Usernamen, Du kannst dich bei Google Authentifizieren und dann munter zu weiteren Anbietern weiter surfen und mußt Dich dort nicht noch mal anmelden...

    Sprich du gibst Google die Infos das du es wirklich bist (Authentifizierung) und nun kann Google bei anderen Diensten dich mit deiner Identität bestätigen.... du mußt das nicht mehr selber machen. Das ist bequem, das ist sicher, das bedeutet Google lernt noch viel mehr über dich...

    Und wenn Google genügend über dich weiss, dann kann es dich "ganz anders schützen"

    Beispiel du lebst in der Google Welt (Android, Chrome Browser, alle Daten abgegeben usw..) und du bestellst normalerweise 100Dosen Katzenfutter im Monat an deine Privatadresse... wenn dann plötzlich über deinen Account 1000 Dosen Hundefutter an eine andere Adresse bestellt werden dann schrillen bei Google die Alarmglocken... ist der Nutzer gehackt worden? Ist das ein echter Kauf?...

    Dabei kennt dann Google natürlich alle Details, bist zum Namen deiner Katze. Und es lernt fleißig weiter... ach die 1000Dosen Hundefutter waren für einen Freund mit Hund... Google merkt sich das ihr befreundet seit und verknüpft die Daten.

    Das ist keine Paranoia sondern Google ist eine Datenkrake... übrigens die anderen auch...

    Lange Rede, kurzer Sinn... benutze Googlemail mit TB und OAuth2 weiter und das klappt auch nach dem 30.5., aber überlege ob die "Sicherheit" es dir wert ist langfristig Google mit Daten zu füttern.

    Grüße dErzOnk

  • Veteran
    Gast
    • 17. Mai 2022 um 11:16
    • #32
    Zitat von dErzOnk

    Das ist keine Paranoia sondern Google ist eine Datenkrake... übrigens die anderen auch...

    Online-Werbung: Jede Minute werden Millionen Datensätze verhökert
    Beim Real-Time-Bidding geht es um passgenaues Ausspielen von Werbung auf Apps und Websites. Ein Bericht legt offen, in welchem Umfang Daten übertragen werden.
    www.heise.de

    "Wer nichts zu verbergen hat, hat auch ein Google-Konto!"

    [/box]

  • Susi to visit
    Senior-Mitglied
    Reaktionen
    501
    Beiträge
    2.827
    Mitglied seit
    19. Sep. 2020
    Hilfreiche Antworten
    29
    • 17. Mai 2022 um 15:38
    • #33

    Die hier oben angeführten Artikel wirken auf mich so, als hätten deren Autoren selbst nicht verstanden, was genau Google da vorhat. Ansonsten hätten sie das doch verständlicher formulieren können.

    Vielleicht sollte mal jemand, der einen Account bei Google benutzt und der auch versteht, was hinter 2FA und OAUTH2 steckt, hier für etwas mehr Klarheit sorgen.

    Ich selbst habe keinen Account bei Google. Ich weiß daher nicht genau, wie Google hier vorgeht. Bei der Erklärung der Begrifflichkeiten kann ich aber hoffentlich behilflich sein. Die werden leider auch hier im Forum munter durcheinander geworfen und teilweise vermischt.

    2FA, Zwei-Faktor-Authentifizierung

    Was ist Authentifizieren? Hier geht es darum, die Identität eines Benutzers zu bestätigen. Es soll also geklärt werden, ob derjenige, der sich gerade anmeldet, wirklich der ist, der er vorgibt zu sein.

    Ein Passwort allein (Faktor Wissen) ist relativ unsicher. Deshalb wird ein zweiter Faktor abgefragt, z.B. der Faktor Besitz. Das kann ein Smartphone sein, eine Smartcard, eine App oder auch ein Cookie auf einem PC usw. .

    Letzteres ist wichtig, wenn man den zweiten Faktor nicht jedes Mal eingeben möchte. Im Cookie ist ein mehr oder weniger langer "Schlüssel" mehr oder weniger sicher gespeichert und kann automatisch abgefragt werden.

    Wichtig: Das alles dient allein der Identifikation. Mehr ist bis hier nicht passiert.

    OAuth2 steht für Open Authorization in Version 2

    Was ist Autorisieren? Beim Autorisieren geht es darum, welche konkreten Rechte ein (bereits authentifizierter) Benutzer bekommt. Das hat per se zunächst nichts mit der Authentifizierung zu tun.

    Das Besondere bei OAuth2 ist nun, dass diese Rechte im Hintergrund von einem zentralen Dienst (Authorization Server) anderen Diensten (Clients) automatisch gewährt werden können, ohne dass diese die Anmeldedaten erfahren.

    In der Praxis kombiniert man beides. Denn es ergibt wenig Sinn, jemandem Rechte einzuräumen, den man nicht zuvor sicher identifiziert hat. Siehe dazu OpenID Connect.

    Die Kombination ermöglicht es z.B., dass jemand, der sich bei Dienst A identifiziert hat, einem anderen Dienst B über OAuth2 erlaubt, auf die E-Mails zuzugreifen. Das alles, ohne dass Dienst B irgendein Passwort erfährt.

    Ein idealisiertes Beispiel, wie es sich die großen Player vorstellen:

    Nehmen wir an, es gibt eine Firma "TrustMe". Diese Firma kennt meine Identität und stellt den Authorization Server. Als einzige Seite kennt sie daher meine Anmeldedaten.

    Nun möchte ich bei der Firma "KaufWas" einkaufen. Bei der Anmeldung dort leitet mich die Seite auf "TrustMe" um. Dort melde ich mich an und bestätige über 2FA, dass ich wirklich die Susi bin.

    Über OAuth2 bekommt die Seite "KaufWas" nun mitgeteilt, dass ich mich korrekt identifiziert und einen Einkauf erlaubt (autorisiert) habe. Außerdem erteile ich die Erlaubnis, den Service "Zahlemann" zu benutzen.

    Beim Bezahlen wird dann die Seite "KaufWas" per OAuth die Seite "Zahlemann" kontaktieren. Die wiederum lässt sich über "TrustMe" ebenfalls per OAuth bestätigen, dass der Einkauf von mir genehmigt war.

    Dank OAuth hat außer "TrustMe" keine der beteiligten Firmen meine Anmeldedaten erhalten. Das verringert die Gefahr, dass diese Daten geklaut werden. Andererseits genügt ein Hack, um gleich Zugriff auf viele Dienste zu bekommen. Deshalb ist 2FA hier so wichtig!

    Google ermöglicht einen Single-Sign-On für viele Dienste über OAuth2. Da ist es nur verständlich, dass sie auch 2FA verlangen. Alles andere wäre sträflich. Das ist nicht böse, sondern konsequent.

    Man kann vereinfacht sagen, 2FA macht den Login sicherer, OAuth macht ihn bequemer. Für den Nutzer ergibt sich der Vorteil, sich nur ein Mal anmelden zu müssen. Die Bequemlichkeit hat aber ihren Preis. Sie wird u.a. damit erkauft, dass derjenige, der den Authorization Server betreibt, so etwas wie die Spinne im Netz ist.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • o0Julia0o
    Mitglied
    Reaktionen
    1
    Beiträge
    84
    Mitglied seit
    8. Apr. 2014
    • 18. Mai 2022 um 12:10
    • #34

    dErzOnk: Wenn Du dein Betriebssystem wechselst oder einen andern Computer nimmst dann mußt du Thunderbird neu einrichten - das war schon immer so. Du kannst zwar eine Profilübernahme bei TB machen, ob dann der Token von OAuth2 noch gültig ist, keine Ahnung. Du mußt halt dein Paßwort neu eingeben. Es hat aber so gesehen nix mit Betriebssystem zu tun...

    Ja, aber dann komme ich ja nach einer Betriebssystemneuinstallation nie wieder an mein Gmail-Konto heran. Da ja dann die Anmeldung mit Passwort nicht mehr möglich ist. Sonst könnte ja auch jeder Hacker, der per Oauth2 etwas kaufe möchte, mein Passwort eingeben, dann Oauth2 aktivieren und mit meinen Daten rumshoppen.


    dErzOnk: Das konntest Du damals... mit viel Glück auch jetzt noch, aber eigentlich wird 2FA erzwungen um ein App-Passwort zu erstellen...

    Das geht jetzt auch. Kann das hin- und herschalten, wie ich lustig bin. Bei einer Freundin das gleiche.


    Zitat von Susi to visit

    Google ermöglicht einen Single-Sign-On für viele Dienste über OAuth2. Da ist es nur verständlich, dass sie auch 2FA verlangen. Alles andere wäre sträflich. Das ist nicht böse, sondern konsequent.

    Also funktioniert ein E-Mail-Abruf ohne hinterlegt Telefonnummer(der Authenticator etc. benötigen ja alle auch alle eine Telefonnummer) nicht mehr nach dem 30. Mai 2022? Da der 2. Faktor die Telefonnummer ist. Und Oauth2 nicht als 2. Faktor gewertet wird?

    Ich habe unsichere apps zulassen deaktiviert. Und trotzdem funktioniert der E-Mail-Abruf per Thunderbird mit Oauth2. Aber die können das ja stichprobenartig nur abfragen den 2. Faktor. Und am 30. Mai stehe ich dann dumm da.

  • Veteran
    Gast
    • 18. Mai 2022 um 13:48
    • #35
    Zitat von o0Julia0o

    Sonst könnte ja auch jeder Hacker, der per Oauth2 etwas kaufe möchte, mein Passwort eingeben, dann Oauth2 aktivieren und mit meinen Daten rumshoppen.

    Jetzt bist du von selbst auf eine Schwachstelle von OAuth2 gestoßen: Es handelt sich in der jetzigen Form um einen Autorisierungsstandard ohne zusätzliche Authentifizierung. Diese findet nur einmalig beim Generieren des Tokens statt. Jeder im Besitz des Tokens kann somit auf deine Ressourcen zugreifen.

    Bequemlichkeit auf Kosten der Sicherheit!

  • Susi to visit
    Senior-Mitglied
    Reaktionen
    501
    Beiträge
    2.827
    Mitglied seit
    19. Sep. 2020
    Hilfreiche Antworten
    29
    • 18. Mai 2022 um 13:50
    • #36
    Zitat von o0Julia0o

    Also funktioniert ein E-Mail-Abruf ohne hinterlegt Telefonnummer(der Authenticator etc. benötigen ja alle auch alle eine Telefonnummer) nicht mehr nach dem 30. Mai 2022?

    Das heißt es nicht zwangsläufig. Ich hatte ja erwähnt, dass sich die 2FA auch über ein (Einmalpasswort + ) Cookie verwirklichen lässt, also auch ohne Telefon. Für mich liest sich das, was die anderen oben geschrieben haben, so, als würde Google das anbieten. Ich weiß es aber nicht. Daher:

    Zitat von Susi to visit

    Vielleicht sollte mal jemand, der einen Account bei Google benutzt und der auch versteht, was hinter 2FA und OAUTH2 steckt, hier für etwas mehr Klarheit sorgen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • dErzOnk
    Senior-Mitglied
    Reaktionen
    588
    Beiträge
    1.228
    Mitglied seit
    12. Jan. 2022
    Hilfreiche Antworten
    10
    • 19. Mai 2022 um 12:25
    • #37

    Moin,

    ich werde erst zum Wochenende hin die Zeit finden länger Zeit finden zu antworten (was sich auch auf Susi to visit Frage dann bezieht...)

    Zitat von o0Julia0o

    Ja, aber dann komme ich ja nach einer Betriebssystemneuinstallation nie wieder an mein Gmail-Konto heran.

    Wie kommst du auf die Idee? Einfach wieder neu installieren und dann wieder mit dem normalen Google Paßwort und deiner Emailadresse via OAuth2 anmelden...

    Zitat von o0Julia0o

    Sonst könnte ja auch jeder Hacker, der per Oauth2 etwas kaufe möchte, mein Passwort eingeben, dann Oauth2 aktivieren und mit meinen Daten rumshoppen.

    Wenn man mit deinem Google Konto "shoppen" kann solltest du dir entweder 2FA zulegen oder sicher sein, daß dein Passwort sicher ist... Abgesehen davon bezweifel ich das eine Anmeldung inkl. shopping-trip so einfach möglich ist aus sagen wir mal dubiosen Quellen... da spielt mehr mit rein...

    Zitat von o0Julia0o

    Also funktioniert ein E-Mail-Abruf ohne hinterlegt Telefonnummer(der Authenticator etc. benötigen ja alle auch alle eine Telefonnummer) nicht mehr nach dem 30. Mai 2022? Da der 2. Faktor die Telefonnummer ist. Und Oauth2 nicht als 2. Faktor gewertet wird?

    Das hat niemand gesagt - vor allem hat das Google nicht gesagt...

    Nur das es halt nicht mehr mit "Passwort normal/verschlüsselt" funktioniert... Niemand sagt das ab 30.5. nur noch 2FA funktioniert... Google macht zwar sehr gute Erfahrung mit der Sicherheit via 2FA und zieht die Zwangsbenutzung vor... aber dazu gibt es keine genauen Aussagen wann das zwingend sein wird.

    Zitat von o0Julia0o

    Kann das hin- und herschalten, wie ich lustig bin.

    Wie gesagt kann sein das es (noch) geht, eigentlich sollte das anschalten nur noch möglich sein wenn man 2FA eingerichtet hat.

    NACHTRAG: Ja Umschalten ist möglich, aber da sollte ein Hinweis stehen das es ab dem 30.5 nicht mehr möglich ist:

    Zitat von o0Julia0o

    Ich habe unsichere apps zulassen deaktiviert. Und trotzdem funktioniert der E-Mail-Abruf per Thunderbird mit Oauth2. Aber die können das ja stichprobenartig nur abfragen den 2. Faktor. Und am 30. Mai stehe ich dann dumm da.

    Unsichere Apps zulassen hat nichts mit OAuth2 zu tun...

    Noch mal:

    Ab den 30.5. will Google nicht mehr Apps zulassen die "Passwort normal/verschlüsselt" verwenden. Eine Ausnahme ist wenn ein extra App Passwort generiert wurde. Mit diesem geht das dann weiter...*** Aber wer mit OAuth2 arbeitet ist nicht betroffen.

    *** Dazu macht Google keine explizite Aussage, bzw. ich kann kein App-Passwort mehr genieren (weil ich keine Email oder Telefonummer hinterlegt habe).

    Grüße und noch eine schöne Woche

    dErzOnk

  • o0Julia0o
    Mitglied
    Reaktionen
    1
    Beiträge
    84
    Mitglied seit
    8. Apr. 2014
    • 19. Mai 2022 um 16:26
    • #38
    Zitat von dErzOnk

    Wie kommst du auf die Idee? Einfach wieder neu installieren und dann wieder mit dem normalen Google Paßwort und deiner Emailadresse via OAuth2 anmelden...

    Nur das es halt nicht mehr mit "Passwort normal/verschlüsselt" funktioniert... Niemand sagt das ab 30.5. nur noch 2FA funktioniert... Google macht zwar sehr gute Erfahrung mit der Sicherheit via 2FA und zieht die Zwangsbenutzung vor... aber dazu gibt es keine genauen Aussagen wann das zwingend sein wird.

    Wie gesagt kann sein das es (noch) geht, eigentlich sollte das anschalten nur noch möglich sein wenn man 2FA eingerichtet hat.

    NACHTRAG: Ja Umschalten ist möglich, aber da sollte ein Hinweis stehen das es ab dem 30.5 nicht mehr möglich ist:

    Unsichere Apps zulassen hat nichts mit OAuth2 zu tun...

    Noch mal:

    Ab den 30.5. will Google nicht mehr Apps zulassen die "Passwort normal/verschlüsselt" verwenden. Eine Ausnahme ist wenn ein extra App Passwort generiert wurde. Mit diesem geht das dann weiter...*** Aber wer mit OAuth2 arbeitet ist nicht betroffen.

    *** Dazu macht Google keine explizite Aussage, bzw. ich kann kein App-Passwort mehr genieren (weil ich keine Email oder Telefonummer hinterlegt habe).

    Alles anzeigen

    Ab dem 30.5. kann man nicht mehr nur nicht umschalten, sondern die Funktion ist komplett deaktiviert, dass Dirttanbieter-Apps zugelasen sind:

    "Ab dem 30. Mai 2022 ist diese Einstellung nicht mehr verfügbar."

    https://i.imgur.com/NzO4kQu.png

    Wenn OAuth2 nichts mit unsicheren Apps zu tun hat und ich auf den Link von Google klicke wo Unsichere Apps erklärt werden, dann steht dort: "Zum besseren Schutz Ihres Kontos unterstützt Google ab dem 30. Mai 2022 keine Drittanbieter-Apps oder ‑Geräte mehr, bei denen Ihr Nutzername und Passwort ausreichen, um sich in Ihrem Google-Konto anzumelden."

    Quelle: https://support.google.com/accounts/answe…ecure-apps&rd=1

    Also somit wäre eine Anmeldung per OAuth2 nicht mehr möglich.

    Du schreibst: "Nur das es halt nicht mehr mit "Passwort normal/verschlüsselt" funktioniert." Weiterhin: "Einfach wieder neu installieren und dann wieder mit dem normalen Google Paßwort und deiner Emailadresse via OAuth2 anmelden". Widerspricht sich doch. Entweder per Passwort geht es noch, oder nicht. Ich als Hacker habe dein Passwort geklaut. Jetzt sagt Google, das geht nicht mehr mit Passwort sich anzumelden, man braucht 2FA-Telefonnummer. Du sagst, aber dass ich dann einfach mich in Thunderbird per Passwort anmelden kann. Dann öffnet sich das OAuth2-Fenster, worin ich das Passwort welches ich noch in der Zwischenablage habe einfach noch einmal hineinkopiere. Fertig.

    Warum schickt mir Google auf meine E-Mail die Info, dass ich bald ausgesperrt werde, obwohl ich bereits OAuth2 aktiviert hatte?

  • Feuerdrache
    Senior-Mitglied
    Reaktionen
    321
    Beiträge
    6.044
    Mitglied seit
    4. Apr. 2009
    Hilfreiche Antworten
    12
    • 19. Mai 2022 um 16:42
    • #39

    Hallo zusammen,

    ich sehe das ganz entspannt und bin nicht bereit, dass auch nur eine meiner Gehirnzellen wegen des Gockelkontos für meinen androiden Schlaufernsprecher Schaden nimmt.

    Im Thunderbird läuft das Konto mit OAuth2 problemfrei. Ist auch nur dort eingerichtet. Sollte es ab dem 01.06. nicht mehr wie bisher laufen, dann fliegt es eben aus dem Thunderbird raus!

    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Feuerdrache
    Senior-Mitglied
    Reaktionen
    321
    Beiträge
    6.044
    Mitglied seit
    4. Apr. 2009
    Hilfreiche Antworten
    12
    • 19. Mai 2022 um 16:47
    • #40

    Hallo o0Julia0o ,

    Zitat von o0Julia0o

    Warum schickt mir Google auf meine E-Mail die Info, dass ich bald ausgesperrt werde, obwohl ich bereits OAuth2 aktiviert hatte?

    diese "Warnmails"/"Drohmails" erhält praktischer Weise jeder, der ein Google-Konto sein Eigen nennt. Google wird da keinesfalls individualisieren und bestimmte Personen nicht anmailen. Der Aufwand dieser Differenzierung wird in keinem Verhältnis zum Nutzen stehen.

    Meine zwei Cent dazu.

    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

Aktuelle Programmversion

  • Thunderbird 139.0.2 veröffentlicht

    Thunder 11. Juni 2025 um 17:31

Aktuelle ESR-Version

  • Thunderbird 128.11.1 ESR veröffentlicht

    Thunder 11. Juni 2025 um 17:27

Keine Werbung

Hier wird auf Werbeanzeigen verzichtet. Vielleicht geben Sie dem Website-Betreiber (Alexander Ihrig - aka "Thunder") stattdessen etwas aus, um diese Seiten auf Dauer finanzieren zu können. Vielen Dank!

Vielen Dank für die Unterstützung!

Kaffee ausgeben für:

Per Paypal unterstützen*

*Weiterleitung zu PayPal.Me

Thunderbird Mail DE
  1. Impressum & Kontakt
  2. Datenschutzerklärung
    1. Einsatz von Cookies
  3. Nutzungsbedingungen
  4. Spendenaufruf für Thunderbird
Hilfe zu dieser Webseite
  • Übersicht der Hilfe zur Webseite
  • Die Suchfunktion benutzen
  • Foren-Benutzerkonto - Erstellen (Neu registrieren)
  • Foren-Thema erstellen und bearbeiten
  • Passwort vergessen - neues Passwort festlegen
Copyright © 2003-2025 Thunderbird Mail DE

Sie befinden sich NICHT auf einer offiziellen Seite der Mozilla Foundation. Mozilla®, mozilla.org®, Firefox®, Thunderbird™, Bugzilla™, Sunbird®, XUL™ und das Thunderbird-Logo sind (neben anderen) eingetragene Markenzeichen der Mozilla Foundation.

Community-Software: WoltLab Suite™