Bei der Gmail-Registrierung wird jetzt ein QR-Code gescannt und eine SMS gesendet

 (discuss.privacyguides.net)
3 Punkte von GN⁺ 2 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Das Verfahren zur Registrierung eines Google-Kontos wurde geändert: Statt der bisherigen Verifizierung per empfangener SMS wird nun direkt vom Telefon des Nutzers eine SMS versendet
  • Wenn auf dem Smartphone ein QR-Code gescannt wird, wird automatisch eine SMS an Google gesendet, wodurch die Telefonnummer verifiziert wird
  • Durch diese Änderung wird die Erstellung von Konten über Dienste zum Empfang temporärer Nummern wie SMSpool blockiert
  • Das hat zwar einen Effekt gegen Phishing, erschwert für datenschutzbewusste Nutzer jedoch die Erstellung anonymer Konten
  • Wegen SIM-Registrierung mit Klarnamen und der Neuzuteilung von Nummern je nach Land wird die Frage wichtiger, ob Google anhand früherer Telefonnummern Identitäten nachverfolgen oder eine erneute Verifizierung verlangen kann

Geändertes Registrierungsverfahren

  • Die bisherige Registrierung per QR-Code funktioniert nicht mehr. Wenn auf dem Smartphone ein QR-Code gescannt wird, sendet das Telefon des Nutzers eine SMS an Google, um die Telefonnummer zu verifizieren
  • Dieses Verfahren wurde zu Sicherheitszwecken eingeführt und hat den Effekt, dass Phishing schwieriger wird
  • Allerdings ist damit eine Verifizierung über reine SMS-Empfangsdienste wie SMSpool nicht mehr möglich

Datenschutzbedenken

  • Normale Nutzer verwenden ohnehin keine SMS-Verifizierungsdienste; betroffen sind von dieser Änderung vor allem Personen mit hohem Datenschutzanspruch
  • Der Kauf gebrauchter Konten birgt eigene Risiken, da die Verbindung zum früheren Eigentümer nicht bekannt ist
  • Es gibt auch Reaktionen, dass Google zunehmend abgeschottet wird und Umgehungsmethoden nötig seien

Regionale Anwendung der QR-Code-Verifizierung

  • Es wird infrage gestellt, ob die QR-Code-Verifizierung in allen Ländern gleichermaßen gilt
  • In einigen Ländern, etwa Italien, ist beim Kauf einer SIM-Karte die Registrierung eines Ausweisdokuments verpflichtend. Wenn mit dieser Nummer ein Konto erstellt und die Nummer später neu vergeben wird, ist unklar, ob eine Nachverfolgung möglich ist
  • Google speichert die Historie aller vom Nutzer registrierten Telefonnummern, erlaubt aber keine Verifizierung mehr mit Nummern, die dem Nutzer nicht mehr gehören

Einwände aus Sicherheitsperspektive

  • Beim Versenden einer SMS vom Telefon des Nutzers aus besteht die Sorge, dass Telefonnummern-Spoofing möglich sein könnte, weshalb Bedenken bestehen, dies für MFA zu nutzen
  • Zudem wird prognostiziert, dass am Ende neue Umgehungsdienste entstehen werden, die den SMS-Versand anbieten

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2 시간 전
Hacker-News-Kommentare

  • Es gibt viele Beschwerden über Gmail, aber man kann die Lage von Google bis zu einem gewissen Grad auch verstehen.
    Das Unternehmen ist faktisch daran gebunden, einen großen Teil der Internet-Infrastruktur kostenlos aufrechtzuerhalten, und es hat so viele Nutzer, dass weltweit Chaos ausbrechen würde, wenn der Dienst eingestellt würde.
    Der Unterhalt ist teuer, komplex und zeitaufwendig, und zugleich ist Gmail sowohl Absender als auch Empfänger von Spam und Betrug. Dazu kommt die große Last, Daten praktisch für immer aufbewahren zu müssen.
    Trotzdem halte ich die Idee kostenloser E-Mail grundsätzlich für schlecht. Es ist schwer zu erwarten, dass kostenlose E-Mail-Dienste gut sind oder gut unterstützt werden, und dass sie überhaupt noch existieren, könnte eher an der Angst vor den Folgen als an gutem Willen liegen. Es ist einfach besser und beruhigender, einen bezahlten E-Mail-Dienst zu nutzen.

    • Die Formulierung, Google habe das „kostenlos aufgebürdet bekommen“, passt nicht. Google hat den Dienst selbst kostenlos angeboten, und der kostenlose Speicherplatz war damals absurd groß.
      Damals waren 25 MB oder 50 MB bei den Postfächern der ISPs schon ziemlich ordentlich, aber Google bot 1–2 GB an, um Nutzer anzulocken.
      Natürlich hat Google das Recht, Maßnahmen gegen Missbrauch zu ergreifen, und ist nicht verpflichtet, den Dienst kostenlos anzubieten. Aber Google hat sich kostenlose E-Mail nicht aufzwingen lassen, und auch die deutlich großzügigeren Leistungen gegenüber der Konkurrenz waren die eigene Entscheidung.
    • Ich weiß nicht, was „kostenlos“ hier bedeuten soll. Google besitzt sämtliche Daten, die es von den Nutzern bekommt, und kann sie inzwischen sogar verfolgen, wenn sie ihr Handy nicht benutzen.
      Es kontrolliert auch, wie das Internet funktioniert. Es kann HTTPS erzwingen und mit Trackern oder etags nach Belieben umgehen.
      Es kann alle Informationen über die Nutzer zu guten Preisen verkaufen, und laut den Nutzungsbedingungen könnten Teile davon jederzeit weiterverkauft werden, ohne dass Nutzer sich groß beschweren könnten. Oberflächlich wirkt es kostenlos, aber viele Menschen zahlen auf verschiedenste Weise einen Aufpreis an Google.
      Früher wurde Google dafür respektiert, mit Innovation und guten Ideen eine bessere Welt zu schaffen. Heute verändert es die Welt zwar immer noch, aber nicht mehr in eine Richtung, die für alle gut ist.
    • Das stimmt überhaupt nicht. Google stellt Produkte und Dienste ständig ganz beiläufig ein.
      Wenn Gmail teurer wäre als die Daten, die Google direkt oder indirekt aus den Nutzern herauszieht und verkauft, gäbe es Gmail nicht.
    • Gmail war weder jetzt noch früher jemals kostenlos. Alle zahlen dafür.
      Wenn Unternehmen ihre Kunden kontaktieren wollen, müssen sie für den Massenversand bezahlen, um auf Allowlists zu kommen, und diese Kosten werden auch an Kunden weitergereicht, die Gmail nie benutzt haben.
      Wenn eine Firma nicht für solche Listen zahlt und viele Kunden mit Gmail-Adressen hat, muss sie die Versandgeschwindigkeit vorsichtig drosseln, sodass E-Mails möglicherweise nicht am selben Tag ankommen.
      Auch Anbieter für E-Mail-Marketing und Kampagnen zahlen für diese Listen und geben die Kosten wiederum an ihre Kunden weiter. Einen E-Mail-Anbieter, der Massenmails an Millionen Menschen kostenlos annimmt, hat es nie gegeben.
    • Das Google-Ökosystem hat im letzten Jahr mehr als 130 Milliarden Dollar Gewinn gemacht, also muss einem Google nun wirklich nicht leidtun.

  • Wenn hier jemand von Gmail mitliest, würde ich gern erklärt bekommen, warum Gmail Phishing-Mails zulässt, die Googles eigene Dienste missbrauchen, etwa so etwas wie https://storage.googleapis.com/savelinge/.
    Mehr dazu hier: https://news.ycombinator.com/item?id=46665414

    • In letzter Zeit wird Spam wirklich deutlich schlimmer. Es geht dabei um das Umgehen der Filter über legitime Websites, etwa indem Rechnungen über normale Rechnungs-Erstellungsseiten verschickt werden.
      Oder es wird so getan, als sei es ein Tracking-Dienst für eine bestellte Lieferung, dann wird über mehrere Tage hinweg ein verlorenes Paket vorgetäuscht und am Ende ein Rabattcode in Höhe des „Kaufbetrags“ angeboten, der auf einer Phishing-Seite eingelöst werden soll.
      Gmail erkennt solche Mails nicht nur nicht als Spam, sondern markiert sie sogar als wichtige E-Mails und zeigt Benachrichtigungen mit höchster Priorität und Zusammenfassungen an.
    • Google scheint alles in Ordnung zu finden, solange die eigenen Dienste beteiligt sind. *.bc.googleusercontent.com wird seit Jahren faktisch als Spamfarm genutzt, sodass ich es komplett blockiert habe.
      Google scheint sich aber überhaupt nicht daran zu stören, solange Compute-Engine-Nutzer nicht auch nur die kleinste Unannehmlichkeit haben.
    • Aus demselben Grund, aus dem Spamfiltering schwierig ist. Wenn man jeden Missbrauch eines Dienstes erfassen will, hat man am Ende viel zu viele False Positives, also ist es praktisch unmöglich.
    • Das beantwortet zwar nichts, liefert aber zumindest eine Hypothese dafür, warum offenkundiger und dummer „Costco“-Spam von @gmail.com-Adressen trotz wiederholter Markierung als Spam weiter im Posteingang landet.
    • Google scheint nicht verhindern zu können, dass das übernommene AppSheet von Phishern genutzt wird, um ziemlich überzeugende und zielgerichtete Mails zu versenden. Solche Mails landen sogar im normalen Posteingang.
      Wenn Anfragen ignoriert werden, bleibt wohl nur, solche Recruiting-Betrugsmails an die Rechts-, Betrugs- oder Phishing-Abwehrteams der Marken weiterzuleiten, die dabei imitiert werden. Wenn es sich um ein Unternehmen handelt, das sich nicht zu kümmern scheint, könnte ein offizielles Schreiben einer Kanzlei helfen, die Priorität zu erhöhen.

  • Zu der Aussage „Wenn man auf dem Smartphone einen QR-Code benutzt, wird vom Handy aus eine SMS an Google gesendet, um die Telefonnummer zu verifizieren“ würde mich interessieren, ob es dafür eine bessere Quelle gibt als Forenkommentare, die so klingen, als würde allein das Scannen des QR-Codes schon eine SMS verschicken.
    Ich habe nachgesehen: Es ist einfach nur ein SMS-URI. Es wird nicht automatisch irgendetwas gesendet, sondern lediglich eine zu sendende Textnachricht auf dem Gerät geöffnet.
    Im Grunde wurde also nur dem alten Verfahren zur Telefonnummern-Verifizierung eine Komfortfunktion per QR-Code hinzugefügt.

    • Ich weiß nicht, was passiert, wenn das Handy das nicht kann. Ich benutze ein Klapphandy; es hat zwar eine Kamera, kann aber keine QR-Codes scannen.
    • Früher bekam der Nutzer eine SMS. Da der Empfang von SMS mittlerweile sehr leicht ist, wenn man nur 30 Cent an eine Phone Farm zahlt, stellt Google nun auf das Senden um. Die Phone Farms werden sich aber sicher bald anpassen.
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • Vermutlich reicht es, auf dem Handy die Nachrichten-App zu öffnen und Nummer sowie Nachrichtentext vorauszufüllen. Dann muss der Nutzer nur noch auf Senden tippen.
    • Läuft eine Telefonnummern-Verifizierung normalerweise nicht so ab, dass Google dem Nutzer eine SMS schickt? Die umgekehrte Richtung wirkt ungewohnt.

  • Googles jüngste Schritte wirken wie genau die Art Beweismaterial, die ein Kartellgericht gebraucht hat. Nach dem Motto: „Tu das, sonst …“
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab, Google Play müssten allesamt eigenständig tragfähige Geschäfte sein, getrennt von Googles Werbemaschine.
    Gmail müsste dann mit anderen E-Mail-Anbietern um Nutzer konkurrieren, und reCAPTCHA müsste seine Infrastrukturkosten vollständig aus den reCAPTCHA-Einnahmen decken. Das wäre ein guter Weg, die Wettbewerbsbedingungen anzugleichen, Kritik zu dämpfen und für mehr Luft zu sorgen.

    • Google hat behauptet, dass KI eine massive Bedrohung für sein Such- und Werbeimperium sei. Doch nur wenige Wochen nachdem ein Richter überraschend schwache Maßnahmen gegen Googles Monopolmissbrauch verhängt hatte, schloss Google eine Partnerschaft mit Apple, sodass nahezu 100 % der Standard-KI-Agenten auf Smartphones auf Google basieren würden.
    • Wenn Google bei E-Mail wirklich so monopolistisch ist, kann man online doch einfach irgendeinen anderen kostenlosen oder bezahlten E-Mail-Dienst nutzen.

  • Ich habe kürzlich dabei geholfen, für ein kleines Unternehmen ein Google-Workspace-Konto einzurichten, und wir sind schon während der Registrierung gegen eine Wand gelaufen.
    Ich habe den Eigentümern gesagt: Wenn Google schon beim Signup so kompliziert ist, was passiert dann erst später, wenn ein Konto gesperrt wird und das Kundengeschäft davon abhängt? Ich habe ihnen ein paar Horrorgeschichten über gesperrte Google-Konten gezeigt, und am Ende haben sie sich für eine andere Collaboration-Lösung für Unternehmen entschieden.

    • Wenn man von Business Standard auf Business Plus upgraden will, reduziert Google während des Upgrades den Workspace-Speicher für bis zu 24 Stunden von 2 TB pro Nutzer auf 0 Byte.
      Die tatsächliche Antwort des Supports lautete: „Ich habe geprüft und sehe, dass Ihr Konto von Business Standard auf Business Plus aktualisiert wird und der Speicher deshalb mit 0 Byte angezeigt wird. Sie müssen sich keine Sorgen machen, das ist ganz normal.“
      Außerdem hieß es: „Wenn das Abo hochgestuft wird, muss das Backend-System zuerst die bestehende Speicherzuweisung von Business Standard entkoppeln und danach die neue Business-Plus-Grenze bereitstellen; während dieser Übergangszeit wird das Kontingent vorübergehend standardmäßig auf 0 gesetzt.“
      Schließlich wurde empfohlen, die Speicherlimits pro Nutzer oder für Shared Drives zu aktivieren und fünf Minuten später wieder zu deaktivieren. Dieser Versuch, die Speicherzuweisung schneller zurückzusetzen, schlug jedoch fehl, und am Ende dauerte es mehrere Stunden.
    • Deshalb habe ich begonnen, die Migration aller von mir verwalteten Domains weg von Gmail zu planen. Gmail wird als Produkt nicht wirklich besser, sondern nur immer lästiger, während versucht wird, einem Dinge als Upsell zu verkaufen, die man weder will noch braucht.
      Jedes Jahr wird es ein bisschen schlechter. Gmail ist inzwischen so groß, dass man selbst als zahlender Kunde kaum noch auf Support hoffen kann, und dieses Risiko ist einfach zu hoch.
    • Ich frage mich, was genau mit „wir sind während der Registrierung gegen eine Wand gelaufen“ gemeint ist. Geht es um dieses Problem mit dem QR-Code-Scan und dem Senden einer SMS oder um etwas anderes?
    • Seit 2013 nutze ich es eigentlich ziemlich zufrieden.
      Im letzten Jahr habe ich allerdings angefangen, Beschwerden darüber zu hören, dass KI-bezogene Pop-ups lästig sind und die Mitarbeiter sie nicht sehen wollen.
    • Mich würde interessieren, was stattdessen verwendet wird. Vielleicht wirkt das Gras auf der anderen Seite nur grüner.
      Trotzdem wäre es nicht überraschend, wenn Microsoft zwar die schlechteren Produkte hat, dafür aber besseren Support bietet.

  • Ich habe den Registrierungsablauf gerade selbst ausprobiert, und ein QR-Code war nicht nötig. Es war genau derselbe Ablauf wie seit Jahren.
    Auswahl zwischen Privat/Kind/Business, Name eingeben, E-Mail auswählen, Geburtsdatum, Wiederherstellungs-E-Mail oder überspringen, Passwort, Telefonnummer eingeben, Code zur Zwei-Faktor-Authentifizierung bestätigen, fertig.
    Ich habe das Konto testregistrationflow@gmail.com erstellt und das Passwort schon wieder vergessen, also ist quasi ein Konto verbrannt. Man kann mit testregistrationflow1@gmail.com gern testen, ob es ohne QR-Code funktioniert.
    Der Titel beschreibt offensichtlich fälschlich einen speziellen Ablauf, der wohl für Leute gilt, die in großem Stil programmgesteuert Gmail-Konten erstellen wollen.

    • Wahrscheinlich hängt es davon ab, wie vertrauenswürdig Google den Nutzer einschätzt. Faktoren wie Linux, Firefox oder ein VPN könnten eine Rolle spielen.
    • Wenn die für die Zwei-Faktor-Authentifizierung verwendete Telefonnummer als „zu oft benutzt“ gilt, kann man mitten in der Registrierung blockiert werden.
      Es scheint kein dokumentiertes Limit zu geben, und die einzige Lösung, die Leute gefunden haben, besteht darin, jemanden mit einer anderen Telefonnummer um Hilfe bei der Verifizierung zu bitten.
      Noch schwieriger wird es, wenn man aus einem bestehenden Konto ausgeloggt wurde. Dann verlangt Google beim Einloggen eine Telefonnummer für die Zwei-Faktor-Authentifizierung, und selbst wenn man dieselbe Nummer eingibt, die schon bei der ursprünglichen Registrierung verwendet wurde, scheitert es mit dem Hinweis, die Nummer sei zu oft benutzt worden.
      Dann kann man sich nicht einmal mehr in ein bereits existierendes legitimes Konto einloggen. Natürlich hätte man andere 2FA-Methoden oder einen Passkey hinzufügen sollen, aber warum man sich nicht erneut mit genau der Nummer verifizieren kann, die ursprünglich akzeptiert wurde, ist schwer nachvollziehbar.
      Außerdem kann man bei der Registrierung anderer Google-Dienste für die Zwei-Faktor-Bestätigung keine Google-Voice-Nummer verwenden.
    • Vielleicht wäre es besser, zum ursprünglichen Einladungsmodell aus der Anfangszeit von Gmail zurückzukehren.
      Wenn jedes Konto nur eine kleine und endliche Zahl neuer Konten einladen dürfte, könnte das eine Möglichkeit sein, Betrüger einzudämmen.
    • Wenn man ein Konto auf dem Handy über einen Google-Dienst erstellt, braucht man nicht einmal eine Telefonnummer.
    • Heute bin ich sowohl Googles QR-Sicherheitsabfrage als auch der traditionellen Sicherheitsabfrage begegnet. Das wird offenbar schrittweise ausgerollt.

  • Die Formulierung „man muss einen QR-Code scannen“ ist so, als würde man sagen, man müsse einen QR-Code scannen, um eine Zugtür zu öffnen, und dabei weglassen, dass die eigentliche Anforderung darin besteht, das Handy für die Abrechnung mit Zahlungsinformationen zu verknüpfen.
    Google prüft hier nicht die Fähigkeit, eine Datenmatrix in Bytes umzuwandeln.

  • Solche Änderungen sehen wie Änderungen im Namen der Sicherheit aus, sind aber zugleich äußerst praktisch, um viele datenschutzfreundliche Arbeitsabläufe zu beseitigen.

    • Ich denke tatsächlich, dass genau das der Fall ist. Vollständige Überwachung funktioniert nur, wenn Menschen gezwungen sind, ein Tracking-Halsband zu tragen.
      Der nächste Schritt könnte sein, das mit digitalem Zentralbankgeld zu verknüpfen, bei dem der Zugang zur Wallet eine Telefonnummer voraussetzt, und es zur Einschränkung der Bewegungsfreiheit an einen Klarnamen-Ausweis oder Reisepass zu koppeln.
      Zwei-Faktor-Authentifizierung ist zu einem Keil geworden, der Privatsphäre vollständig zertrümmert.
    • Es gibt Online-Dienste, die versuchen, Googles Anforderungen zu umgehen, indem sie temporäre Telefonnummern zur Kontoaktivierung bereitstellen, aber die meisten davon können nur Nachrichten empfangen.
      Nutzer zum Versenden einer SMS zu verpflichten, scheint eine hervorragende Möglichkeit zu sein, solche Dienste auszuschalten, sodass Bots sie nicht mehr nutzen können.
      Ich weiß allerdings nicht, was datenschonende Abläufe bei einem Google-Konto überhaupt bedeuten sollen. Google kann Nutzer auch ohne Telefonnummer verfolgen.