Securitywatch: Können Sie Google aus Ihrem Google Mail-Konto fernhalten?

Diese Woche verfolge ich eine Nachricht von einem Leser, der zuvor geschrieben hat, wie Sie bei Verwendung der Zwei-Faktor-Authentifizierung (2FA) nicht von Ihren Konten ausgeschlossen werden können. Jeremy aus Kapstadt hat auch geschrieben, um zu fragen, ob es möglich ist, mit 2FA Google aus Google Mail herauszuhalten. Sein Brief wurde der Kürze halber bearbeitet.

Gibt es eine Art Sicherheitseinstellung, die implementiert werden kann, um zu verhindern, dass Google selbst auf sein Google Mail-Konto zugreift?

Was ist die Zwei-Faktor-Authentifizierung?

Zur Überprüfung: Zwei-Faktor-Authentifizierung ist, wenn Sie zwei Authentifizierungsfaktoren aus einer Liste von drei möglichen verwenden: Etwas, das Sie wissen, etwas, das Sie haben, oder etwas, das Sie sind. Ein Passwort ist zum Beispiel etwas, das Sie kennen und ein Fingerabdruck ist etwas, das Sie sind. Wenn Sie beide zusammen verwenden, verwenden Sie 2FA.

In der Praxis umfasst 2FA einen zusätzlichen Schritt, den Sie nach der Eingabe Ihres Passworts ausführen, um zu beweisen, dass Sie der sind, für den Sie sich ausgeben. Dabei wird häufig ein einmaliger Code verwendet, der aus einer App generiert oder per SMS gesendet wird. Es gibt jedoch auch viele andere Optionen, darunter Tap-to-Login-Apps wie Duo oder Hardware-Sicherheitsschlüssel von Yubico und anderen Herstellern.

2FA ist gut. Du solltest es benutzen. Es ist eine großartige Möglichkeit, die bösen Jungs von Ihren Konten fernzuhalten, aber es scheint nicht so, als würde es viel bewirken, um Google fernzuhalten.

Wer sieht was?

Im Allgemeinen scheint Google Zugriff auf den Inhalt Ihrer E-Mails zu haben. Christopher Cuong Nguyen, der sich selbst als ehemaliger Google-Mitarbeiter aufführt, schrieb 2010 über Quora, dass nur sehr wenige Mitarbeiter auf E-Mail-Inhalte zugreifen können und dass ein stark regulierter Pfad zum Abrufen von Informationen existiert. Diese Informationen sind zu diesem Zeitpunkt fast ein Jahrzehnt alt, zeigen jedoch, dass es zu einem bestimmten Zeitpunkt Personen gab, die auf Ihr Google Mail-Konto zugreifen konnten.

Als gesetzestreues Unternehmen ist Google verpflichtet, gesetzlichen Auskunftsersuchen von Regierungen und Strafverfolgungsbehörden nachzukommen. Dies kann den Inhalt Ihrer E-Mail-Nachrichten einschließen. Google weist jedoch darauf hin, dass der Umfang der eingehenden Anfragen eingeschränkt werden soll, und dass ein Durchsuchungsbefehl erforderlich ist, bevor Ihre Fotos, Dokumente, E-Mail-Nachrichten usw. übergeben werden.

Es gibt andere Möglichkeiten, wie Google Ihre Google Mail-Informationen verwendet. Das Unternehmen scannt zwar keine Nachrichten mehr, um benutzerdefinierten Anzeigeninhalt zu generieren, dies war jedoch jahrelang bekannt. Selbst jetzt analysiert Google Mail Ihre Nachrichten so weit, dass Reiseinformationen hervorgehoben und Tippvorschläge generiert werden, wenn Sie Nachrichten schreiben. Abhängig von Ihrem Komfort kann dies völlig in Ordnung oder wild invasiv sein.

Google scheint Ihre E-Mails zu verschlüsseln, jedoch in erster Linie, während diese Nachrichten übertragen werden. Selbst wenn diese Nachrichten auf den Servern von Google im Ruhezustand verschlüsselt werden und Google die Verschlüsselungsschlüssel verwaltet - und was ich gesehen habe, ist dies auch der Fall -, könnte Google möglicherweise weiterhin auf Ihre Nachrichten zugreifen.

2FA ist nicht die Antwort

Ich kann sehen, woher Jeremy mit seiner Frage kommt. Da ich mein Yubikey kontrolliere und Google nicht, sollte Google, wenn ich 2FA aktiviere, nicht auf mein Google Mail-Konto zugreifen können. Google kann jedoch Änderungen an Konten vornehmen, die mit 2FA gesichert sind.

Ich habe eines meiner Google Mail-Konten gestartet und auf die Option "Passwort vergessen" geklickt. Es wurden sofort alternative Anmeldemöglichkeiten aufgerufen: Senden eines Textes an mein Telefon, Verwenden von Yubikey, Tippen auf einen Alarm auf einem bestätigten Telefon, Senden einer E-Mail an meine Wiederherstellungs-E-Mail-Adresse, Beantworten einer Sicherheitsfrage, Eingeben des Erstellungsdatums für Google Mail und hinterlassen dann endlich eine E-Mail-Adresse, unter der ich von Google erreichbar bin, um mein Problem direkt zu beheben. Wenn Google mir Zugriff auf mein eigenes Konto gewähren kann, ohne dass ich mein Passwort oder einen zweiten Faktor benötige, bedeutet dies, dass Google dies selbst tun kann.

Sogar das erweiterte Schutzprogramm von Google für Google Mail bietet eine Art Wiederherstellungsoption. Wenn Advanced Protection aktiviert ist, müssen Sie zwei verschiedene Hardwaresicherheitsschlüssel registrieren - einen für die Anmeldung und einen anderen als Sicherung. Wenn Sie beide Schlüssel verlieren, sagt Google Folgendes, um die Kontrolle über Ihr Advanced Protection Program-Konto wiederherzustellen:

Wenn Sie weiterhin Zugriff auf eine angemeldete Sitzung haben, können Sie account.google.com besuchen und Ersatzschlüssel anstelle der verlorenen Schlüssel registrieren. Wenn Sie beide Schlüssel verloren haben und keinen Zugriff auf eine angemeldete Sitzung haben, müssen Sie eine Anforderung zur Wiederherstellung Ihres Kontos senden. Es dauert einige Tage, bis Google überprüft hat, ob Sie es sind, und Ihnen Zugriff auf Ihr Konto gewährt.

Alles in allem scheint 2FA - selbst die extreme Version von Advanced Protection - nicht genug zu sein, um Google selbst von Ihren E-Mails fernzuhalten. Für die meisten Menschen ist das wahrscheinlich eine gute Sache. E-Mail-Konten sind ein unglaublich wichtiger Bestandteil der Sicherheitsinfrastruktur einer Person. Wenn Sie ein Passwort verlieren oder ein Passwort ändern müssen, ist eine an ein verifiziertes Konto gesendete E-Mail in der Regel Teil des Prozesses. Wenn ein Angreifer Zugriff auf Ihr E-Mail-Konto erhält, kann er die Kontowiederherstellungsoption auf Websites verwenden, um Zugriff auf noch mehr Konten zu erhalten. Es ist wichtig, dass Benutzer die Kontrolle über ihre Konten wiedererlangen können.

Wirklich private Nachrichten

Wenn wir darüber sprechen, was in Messagingsystemen gesehen werden kann und was nicht, sprechen wir von Verschlüsselung und nicht von Authentifizierung. Die meisten Dienste verwenden die Verschlüsselung zu verschiedenen Zeitpunkten beim Senden und Speichern einer Nachricht. Google Mail verwendet zum Beispiel TLS beim Senden einer Nachricht, um sicherzustellen, dass diese nicht abgefangen wird. Wenn ein Messaging-Dienst die zum Verschlüsseln Ihrer Nachrichten verwendeten Schlüssel beibehält, während diese auf dem Server gespeichert sind, ist davon auszugehen, dass das Unternehmen selbst auf diese Nachrichten zugreifen kann.

Wenn Sie Ihr Google Mail-Konto behalten, Ihre Nachrichten jedoch unleserlich machen möchten, können Sie diese Nachrichten selbst verschlüsseln. Es gibt zahlreiche Verschlüsselungs-Plug-Ins für Chrome, oder Sie können Thunderbird so konfigurieren, dass Ihre Nachrichten mit PGP, einem häufig verwendeten Verschlüsselungsschema für E-Mails, verschlüsselt werden. Die teureren Yubico-Modelle können bei Bedarf auch so konfiguriert werden, dass sie Ihren PGP-Schlüssel ausspucken.

Ich werde nur ehrlich sein und sagen, dass ich, obwohl ich mir sicher bin, einige dieser Arbeiten nie in der Lage gewesen bin, sie angemessen zu verstehen. Der Schöpfer von PGP sagte bekanntlich, dass selbst er den Prozess zu kompliziert findet, um ihn zu verstehen.

Möglicherweise ist es einfacher, Nachrichten mit Verschlüsselungstools zu verschlüsseln und die verschlüsselte Ausgabe anschließend an Google Mail anzuhängen oder in Google Mail einzufügen. Sie müssten den Entschlüsselungsprozess am anderen Ende koordinieren, aber der Inhalt der E-Mail ist weder für Google noch für andere Personen lesbar. Keybase.io ist ein weiterer Dienst, der Text verschlüsseln, entschlüsseln oder signieren kann, der in einer E-Mail verwendet werden kann.

Wenn Sie absolut sicher sein müssen, dass niemand außer Ihnen Zugriff auf Ihre E-Mail hat, gibt es ein paar Möglichkeiten. In erster Linie wäre es, Google Mail fallen zu lassen. ProtonMail, von den Erstellern von ProtonVPN, ist ein Dienst, der Ihre Privatsphäre respektiert und dazu alle Ihre E-Mail-Nachrichten verschlüsselt, einschließlich derer, die Sie von Personen senden und empfangen, die andere E-Mail-Anbieter verwenden. So beschreibt ProtonMail die Funktionsweise:

Alle Nachrichten in Ihrem ProtonMail-Posteingang werden durchgehend verschlüsselt gespeichert. Dies bedeutet, dass wir keine Ihrer Nachrichten lesen oder an Dritte weitergeben können. Dies schließt Nachrichten ein, die von Nicht-ProtonMail-Benutzern an Sie gesendet wurden. Beachten Sie jedoch, dass Google Mail wahrscheinlich auch eine Kopie dieser Nachricht aufbewahrt, wenn Sie eine E-Mail von Google Mail an Sie senden.

• Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet? Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet?
• Google Titan-Sicherheitsschlüsselpaket Google Titan-Sicherheitsschlüsselpaket
• SecurityWatch: So werden Sie bei der Zwei-Faktor-Authentifizierung nicht gesperrt SecurityWatch: So werden Sie bei der Zwei-Faktor-Authentifizierung nicht gesperrt

Eine andere Möglichkeit ist, über E-Mails hinauszuschauen. Die späten 2010er Jahre brachten eine Flut von überbordenden Messaging-Diensten mit sich, die Ihre Datenverbindung anstelle Ihres SMS-Plans verwenden, um Nachrichten zwischen Geräten zu senden. In den letzten Jahren haben viele dieser Dienste eine End-to-End-Verschlüsselung eingeführt, sodass nur Sie und Ihr vorgesehener Empfänger Ihre Nachrichten lesen können. Signal ist die bekannteste und eine exzellente App für sich. WhatsApp hat das Signal-Protokoll übernommen und verschlüsselt nun seine Nachrichten von Ende zu Ende. Facebook Messenger verwendet ironischerweise auch das Signal-Protokoll für seinen Secret Messages-Modus.

Die Nachrichten-Plattform von Apple ist wahrscheinlich am besten für ihre Aufkleber und Animoji-Karaoke bekannt, aber sie ist auch ein bemerkenswert sicheres Nachrichtensystem. Dies ist auch deshalb bemerkenswert, weil Sie im Gegensatz zu anderen Messaging-Diensten Nachrichten entweder auf Ihrem Telefon oder auf Ihrem Computer senden und empfangen können, ohne Apple Zugriff auf den Inhalt Ihrer Nachrichten zu gewähren.

Wenn es um die Verwendung von Google Mail geht, empfehle ich den Nutzern, auf ihre Eingeweide zu hören. Wenn Sie tief besorgt sind, dass Ihre Nachrichten von Menschen oder Bots gelesen werden, versuchen Sie es mit einer Alternative. Wenn Google Mail für Sie wirklich praktisch ist und Ihnen die angebotenen Funktionen gefallen , bleiben Sie dabei. Der Versuch, Google Mail so zu schützen, dass es absolut sicher ist, ist auf jeden Fall möglich, aber es gibt so viele einfachere Alternativen. Schließlich ist 2FA eine großartige Lösung, um die bösen Jungs von Ihren Konten fernzuhalten, und das war's auch schon. Ich würde mich nicht darauf verlassen, den Besitzer eines Dienstes auszusperren.