Kein Password abgefragt bei Anmeldung auf Google-Konto

[Andy.K]

Ich habe mich in letzter Zeit mal etwas mit Sicherheit, Passkeys etc. beschäftigt und bin darauf gestoßen, dass ich bei Anmeldung auf dem Google-Konto auf meinen Android-Geräten (entweder über Einstellungen- Konten ... oder über Chrome) außer der Auswahl des Namens des Google-Kontos nichts mehr zur Sicherheit abgefragt wird, sodass ich sofort in mein Google-Konto mit allen Einstellungen gelange.
Wenn ich da auf "Sicherheit und Anmeldung" gehe, kann ich unter "So melden Sie sich bei Google an" folgendes sehen:
2-Faktor-Auth.: aktiviert seit (hierzu nutze ich die 2FAS-app)
Passkeys und Sicherheitsschlüssel: "Zukünftig Passkeys verwenden" (Passkeys habe ich bislang nicht aktiviert)
Passwort: Letzte Änderung 30.9.2025
Wenn möglich Password überspringen: AUS
Authenticator: Hizugefügt am ....
Telefonnummern für die 2-Faktor-Authentifizierung: 2 Nummern
Telefonnummer zur Kontowiederherstellung: 1 Nummer
E-Mail-Adresse zur Kontowiederherstellung: 1 Emailadresse
Backup-Codes: 10 Codes verfügbar

Offenbar hat Google das Gerät als 100% sicher eingestuft, oder wie soll ich mir sonst erklären, dass beim Zugriff auf mein Google-Konto nichts zur Sicherheit abgefragt wird?
Was kann man dagegen tun? Ich habe Bauchschmerzen, wenn alles nur auf den Besitz des Handys und die Entsperrung über Fingerabdruck beruht. Ich stelle mir nur mal gedanklich vor: Ich liege im Krankenhaus, das Handy liegt neben mir, ich schlafe ein ... und jemand muss bloß mal kurz meinen Daumen auf das Display halten ... und gelangt so voll an mein Google-Konto. Bei anderen Dingen, wie Banking-apps, kann bzw. muss man ja zusätzlich andere Zugänge (PIN o.a.) einrichten, da sehe ich somit weniger Probleme.

Ich würde schon wollen, dass in jedem Fall beim Zugriff auf mein Google-Konto das Password oder der key auf meiner Auth-app verlangt wird, egal auf welchem Gerät.

 

[WinFan]

Dann melde dich besser über einen Pin oder Kennwort an, und lösche die Fingerprints

 

[Drewkev]

Fingerabdruck

Dann verwende keinen als Bildschirmsperre.

 

[.one]

Ich liege im Krankenhaus, das Handy liegt neben mir, ich schlafe ein ... und jemand muss bloß mal kurz meinen Daumen auf das Display halten

Verrate als erstes niemals, welcher Finger es ist. Wobei man das natürlich sieht, wenn jemand sein Gerät so entsperrt. Nach zu vielen Fehlversuchen wird die Gerätepin abgefragt. Wenn dir das Sorge macht, melde dich per Gerätepin an und lösche den Fingerabdruck aus dem System.

 

[Andy.K]

Naja, eigentlich wollte ich nur das Google-Konto besser schützen und nicht permanent das ganze Handy.

 

[.one]

Das greift aber ineinander über. Gerät gut geschützt - Account gut geschützt.

 

[Andy.K]

Trotzdem frage ich mich halt, warum nichts bei Anmeldung auf dem Konto abgefragt wird, obwohl Password, 2FA etc. eingerichtet wurde.

 

[Drewkev]

@Andy.K
Das liegt am Gerät. Bei jedem anderen wirst du garantiert nach Passwort usw. gefragt.

 

[.one]

warum nichts bei Anmeldung auf dem Konto abgefragt wird,

Willst du das jedes Mal, wenn dein Gerät mit dem Konto agiert. Das wäre ziemlich lästig.

Du hast das Gerät als sicher einstufen lassen. Ob man das rückgängig machen kann - bin ich gerade überfragt.

 

[siggi%%44]

Gehst du auf "Konto wechseln" oder "weiteres Konto anmelden"?

 

[Hochland Reiter]

@Andy.K
Bei sehr vielen Nutzern ist aber das Handy der Generalschlüssel zu allen anderen Accounts, weil man meistens mit dem Daumen und Gesicht alles freischaltet. Und wenn man Google die Vollmacht über sämtliche Accounts gibt (Zugangsdaten speichern, Anmeldung über Google, etc.), hat man automatisch auch Zugriff auf sämtliche Accounts, Shoppingseiten, E-Mail, Nachrichten, Cloud, Banking, usw.

Deshalb ist der Fingerabdruck oder das Gesicht in diesem Sinne die unsicherste Methode, die man sich nur ausdenken kann, wenn man gar keine Sperre ausschließt.

Ich meine beim Standard Android hat(te?) man die Möglichkeit die automatische oder biometrische Entsperrung nur Zuhause zu erlauben und überall sonst per PIN oder besser Passwort. Vielleicht verwechsle ich es auch.

Kurz:
Solange andere auf dein Smartphone zugreifen können, solltest du es mit einem Passwort schützen. Keine biometrischen Anmeldemethoden und am besten auch keine PIN, die gefühlt bei allen dieselbe ist.

• 0000
• 1111
• usw.
• 2580
• 0852
• 1234
• 1478
• 2589
• 3568
• Geburtsdatum (eigenes, Frau, Kind)
• Dasselbe kann man auch auf 6-stellige PINs ausweiten, weil es immer dasselbe ist. Ein Blick aus mehreren Metern reicht meistens, um das Muster zu erkennen.

 

[highwind01]

Trotzdem frage ich mich halt, warum nichts bei Anmeldung auf dem Konto abgefragt wird, obwohl Password, 2FA etc. eingerichtet wurde.

Weil das Gerät als vertrauenswürdig im Google Account hinterlegt wurde

 

[Andy.K]

@highwind01 Und wie kann man das ändern? Google sagt: Gerät aus dem Google-Konto entfernen. Ich will es lieber nicht ausprobieren, was das dann alles zur Folge hat.
https://support.google.com/accounts/answer/2544838?hl=de&co=GENIE.Platform=Android
(naja, möglicherweise mache ich das mal auf einem alten Gerät)

Folgendes ist ja auch ein Witz: Ich komme auf dem Android-Gerät ohne irgendetwas zur Sicherheit (PIN; PW; Code) in mein Google-Konto, gehe dort auf "Passwort" und kann sodann ein neues Passwort (2x) eingeben, ohne überhaupt nach dem alten gefragt worden zu sein. Was soll das noch mit "Sicherheit" zu tun haben?

Die meisten wichtigen apps (Banking, Email etc.) haben einen eigenen Zugang, oft sogar mit 2FA Bestätigung, sodass die Entsperrung des Handys hierfür nicht im entferntesten ausreicht. Zudem gibt es noch die Möglichkeit, durch apps wie etwa Applock Pro das Starten von apps abhängig von zusätzlichen Sicherheitseingaben abhängig zu machen...
Lediglich auf das Google-Konto kommt man ohne alles.

 

[Spawn182]

Ich liege im Krankenhaus, das Handy liegt neben mir, ich schlafe ein ... und jemand muss bloß mal kurz meinen Daumen auf das Display halten ... und gelangt so voll an mein Google-Konto.

Und was machst du mit deinen Wohnung-/Autoschlüsseln oder deiner Geldbörse? Noch gilt die Unschuldsvermutung und ich finde es schon dreist, das Pflegepersonal pauschal als kriminell darzustellen.

Mal davon abgesehen, wie oft hast du in den Nachrichten jetzt gelesen, dass ganze Existenzen getilgt wurden, weil Leute ihr Handy per Fingerabdruck gesichert haben?

Aber jetzt mal zu dem Gefühl, dass da nicht genug Sicherheit gewährleistetet wird, ich denke, da musst du dann auf den Komfort, des Fingerabdrucks verzichten, denn dass sieht das Handy eben als Authentifizierung und Autorisierung an.

Ich fände es auch ziemlich nervig, wenn ich jetzt beim öffnen meiner Mails, dem Bezahlen oder sonst wie, jedes mal, neben dem Entsperren noch eine weitere Barriere freischalten müsste.

Bei mir fragt er bei einer Passwortänderung* erneut nach dem Fingerabdruck und auch, wenn ich einen weiteren Fingerabdruck hinzufügen möchte. Insofern, scheint da bei dir doch was falsch/anders eingestellt zu sein. Er fragt grundsätzlich, bei allen Änderungen, die die Sicherheit und Identität des Kontos betreffen erneut.

*Hilft natürlich auch nicht, wenn mich jemand im Koma, digital berauben möchte.

Ich würde schon wollen, dass in jedem Fall beim Zugriff auf mein Google-Konto das Password oder der key auf meiner Auth-app verlangt wird, egal auf welchem Gerät.

Und die Auth-App läuft auf einem anderen Handy?

 

[Andy.K]

und ich finde es schon dreist, das Pflegepersonal pauschal als kriminell darzustellen.


Und die Auth-App läuft auf einem anderen Handy?

Punkt 1: Nur weil ich hier eine theoretische Möglichkeit in Betracht gezogen habe, bedeutet das noch lange nicht, dass ich Pflegepersonal pauschal als kriminell darstelle. Es reicht auch aus, dass man eilig die Toilette aufsuchen muss und in der Zwischenzeit sich nur 1 Mitpatient noch im Zimmer befindet, von dem man so gut wie nichts weiß.
Also alles nur von der theoretischen Seite betrachtet, wie so fast alles, wenn es um das Thema Sicherheit an Geräten geht.

Punkt 2: Die Auth-app läuft auf mehreren Geräten, die Datei mit den Codes wird verschlüsselt und über G-Drive synchronisiert, wobei ich diese Art (anders als bei Amazon, Paypal etc.) bislang noch nie benötigte. Ich habe mich vorhin am Laptop im Incognito mode bei google angemeldet, musste Konto und Passwort angeben und sodann auf dem Handy bestätigen, dass ich es bin. Auf der Auth-app habe ich zwar auch Google eingerichtet, wurde aber noch nie nach einem Code gefragt.

Ansonsten habe ich jetzt mal ein uraltes Huawaii M3 als Gerät aus Google entfernt, was zur Folge hatte, dass ich dieses ordnungsgemäß starten konnte, offenbar auch die apps mit Google-Zugriff funktionieren, aber bei Aufruf des Google-Kontos das Passwort abgefragt wurde (mit anschl. notwendiger Bestätigung auf einem vertraulichen Handy). Nur kann man das eben nicht mit allen Geräten machen, weil man ja auf jeden Fall mindestens 1 vertrauliches Gerät braucht.

 

[Drewkev]

Nur kann man das eben nicht mit allen Geräten machen, weil man ja auf jeden Fall mindestens 1 vertrauliches Gerät braucht.

Wo ist das Problem ein vertrauenswürdiges Gerät zu haben? Das ist ja nichts anderes als MFA und somit was gutes.

 

[.one]

Das Fingerabdruck und Gesichtserkennung ziemlich unsicher ist (schlimmer ist nur Muster), sollte doch mittlwerweile bei jedem angekommen sein. Geräte-PIN nutzen, fertig ist der Lack. Ich sehe da nicht wirklich ein Problem, es sei man strickt es sich selbst.

 

[Andy.K]

Wo ist das Problem ein vertrauenswürdiges Gerät zu haben? Das ist ja nichts anderes als MFA und somit was gutes.

Das ist schon OK, man beschränkt es auf 1 Gerät und richtet dieses sicher ein, was die Entsperrung angeht.

 

[Spawn182]

Ich finde das mit dem Fingerabdruck einfach praktisch, ohne jetzt großartig über den Sicherheitsaspekt diskutieren zu wollen.

Ich hätte nur gerne zwei kleine Extras, einen Fingerabdruck, der mein Telefon "deautorisiert", das würde ein wenig den "Fingermissbrauch" einschränken und einen selbst zu definierenden Timer, der dann wieder die klassische PIN verlangt. Die momentanen Fehlversuche laufen ja dann doch eher auf die Nutzung des großen Zehs hinaus.

Mich stört bei diesem Aspekt rein die Rechtsprechung, dass ich eine PIN vergessen darf, ich jedoch gezwungen werden kann meinen Finger auf das Handy zu halten und bei diesem "deauth-Finger", hätte ich dann zumindest eine Option.

Ansonsten fallen anderen auf falsche Enkel und sonst was rein, soll heißen, da kann alles noch so sicher sein, wenn man selber schlichtweg übers Ohr gehauen wird und da ist je nach Situation niemand gegen gefeilt.

Wie bereits oben geschrieben verlangt auch mein Hauptgerät bei sicherheitsrelevanten Änderungen am Google Konto einen weiteren Fingerabdruck (hier wäre ja lustig ein abweichender vom ersten, dann kommt der Bösewicht wenigstens mit nur einem abhackten Finger nicht weiter 🙈 ) bzw. eine Pin.

 

[Andy.K]

Im Übrigen hat das Rauswerfen eines Gerätes aus dem Google Account einen entscheidenden Nachteil: Wenn man etwa über den Playstore seine apps aktualisieren will, wird bemerkt, dass man sich erst (mit PW) anmelden muss. Wenn man das getan hat, hat man zwar wieder den Zugriff auf den Store, aber fortan zählt das Gerät gleich wieder als vertrauenswürdiges Gerät und man ist wieder am Anfang, dass man jederzeit ohne PW-Eingabe ins Google-Konto gelangt. Bleibt nur die Hoffnung, dass man bei wichtigen Änderungen am Google-Konto tatsächlich immer nochmals aufgefordert wird, mit Fingerprint (o.a.) zu bestätigen.