App-Passwörter ohne 2FA möglich?

[netzmammut]

Ich nutze gerne K9 für GMail, und bin darum von der googleschen Sicherheitsbevormundung (kann man nicht einfach dem User die Entscheidung überlassen?) betroffen, das "unsichere Apps" - also alles, was kein OAuth.2 nutzt, per Ende Monat nicht mehr gehen sollen.

Vorab: ja, ich hab Fairmail versucht, werd irgendwie nicht warm mit dieser App (Hauptsächlich vermisse ich die Ordnerverwaltung, ich nutze eben Ordner in meinen E-Mail-Accounts, und das ist bei K9 besser gelöst).

App-Passwörter sollen ja gem. Google weiterhin möglich sein. Die Frage ist jetzt:
kann man App-Passwörter auch ohne 2FA einstellen?

Und NEIN, 2FA ist für mich keine Option**:
wenn ich mich vom PC aus (via Browser - muss man heutzutage ja leider dazu erwähnen ) bei YT oder im Online-Gmail (also nicht über Mail-Client), will ich nicht jedes Mal zusätzlich das Handy zücken müssen. Und dann einfach die ganze Zeit eingeloggt bleiben um eben nicht jedes Mal das Handy zücken zu müssen ist ja auch wieder nicht die Patentlösung.

** Natürlich:
wenn man die 2FA so konfigurieren kann, das nur der Google-Account selber (also myaccount.google...) und/oder GooglePay betroffen sind, aber YT und Gmail weiterhin ohne 2FA zugänglich sind, dann mach ich 2FA. Dann bitte ich nur um einen entsprechenden Hinweis (ich hab nämlich nichts diesbezügliches gefunden, da steht "für alles, oder für nix".

 

[mblaster4711]

bleiben um eben nicht jedes Mal das Handy zücken zu müssen ist ja auch wieder nicht die Patentlösung.

Wenn es dein PC ist oder zumindest dein persönlicher Benutzer am PC, kannst du doch dort am Browser angemeldet bleiben, zu alt wenn du Chrome nutzt und diesen synchronisierst, bist du in Chrome schon angemeldet, wenn man dann Gmail und andere Google Dienste zugreift, ist keine 2FA erforderlich.
Und den PC bzw. dein Benutzer, kann man mit Passwort/PIN/Fingerprint/HelloKamera sichern, daher ist es kein Problem dort dauerhaft bei Google angemeldet zu bleiben.

 

[netzmammut]

@mblaster4711 schon, nur scheitert das daran, das ich zwischendurch auch mal den Browser zu mache. Damit wär man automatisch wieder ausgeloggt. (bin hald Anwender alter Schule, sowohl Browser als PC könnten locker die ganze Zeit offen bleiben, aber so bin ich nunmal nicht; auch hab ich nicht - wie andere in meinem Umfeld - 20 oder 30 Tabs gleichzeitig offen... is hald mein Spleen)
- - -
Edit:
oder aber ich teste gerade mal was, und bin in verschiedenen Browsern unterwegs, und muss dann aus nem anderen Browser (wieder) einloggen - dann hab ich auch gleich wieder 2FA hängen...
- - -
Daher ja auch die Frage ob man die App-Passwörter auch ohne 2FA aktivieren kann; wäre der Sicherheit wesentlich zudienlicher als einfach Clients aussperren etc...

 

[holms]

@netzmammut Seit Ende letzten Jahres ist die 2FA bei Google Pflicht. Für Apps, die dich lediglich per Benutzer und Passwort anmelden wollen/können, gibt es weiterhin die Möglichkeit mit App-Passwort.

Bei Browsern geht das nicht. Aber:
Wenn du dich in einem Browser anmeldest (mit 2FA),kannst du aber wählen, dass du künftig in diesem Browser die 2FA nicht mehr benötigst. Du kannst den Browser auch schließen, kein Problem. Du darfst nur die Cookies nicht löschen, ansonsten wird wieder eine neue 2FA fällig.

 

[netzmammut]

@holms
Ich hab 2FA nicht aktiviert; weist du ob das mit der "Browser-Freigabe" per Browser läuft, oder ob ein Update mit neuer Versionsnummer alles wieder zurückstellt? (oder läuft das nur über Cookies - wenn ja: joah. Privacy-Einstellungen; wer behällt heute noch die Cookies wenn der Browser geschlossen wird)

Mit den App-Passwörtern wäre ich ja sofort dabei, macht total Sinn das man bei IMAP (oder POP3) spezielle Passwörter hat; hat ein weiterer Mail-Anbieter den ich nutze auch so: PW für Weblogin, App-Passwörter (in Kürze wird dort Oauth2 eingeführt, dann erfolgt auch der Wechsel - aber freiwillig). Find ich sogar gut, weil so nie die gleichen Credentials genutzt werden.

Aber je mehr ich über die 2FA bei Google lese, desto unsympatischer ist mir deren Konzept. Cookies behalten um Browser freizuschalten, es macht einfach alles komplizierter (für jene die einfach nur mit den Services arbeiten wollen ohne die Gerätegrenzen aufweichen zu müssen)..?

 

[holms]

Ich hab 2FA nicht aktiviert; weist du ob das mit der "Browser-Freigabe" per Browser läuft, oder ob ein Update mit neuer Versionsnummer alles wieder zurückstellt?

Hängt alles an den Cookies. Update eines Browsers ist da egal.

Mit den App-Passwörtern wäre ich ja sofort dabei, macht total Sinn das man bei IMAP (oder POP3) spezielle Passwörter hat; hat ein weiterer Mail-Anbieter den ich nutze auch so: PW für Weblogin, App-Passwörter (in Kürze wird dort Oauth2 eingeführt, dann erfolgt auch der Wechsel - aber freiwillig). Find ich sogar gut, weil so nie die gleichen Credentials genutzt werden.

OAuth bzw. OAuth2 ist jedoch sicherer als der Login mit Nutzer/Passwort. Ich verstehe nicht so recht, wieso man das ablehnt.

 

[mblaster4711]

nur scheitert das daran, das ich zwischendurch auch mal den Browser zu mache

Nein, denn genau dafür gibt’s Cookies.
Ich nutze Firefox, Waterfox, Chrome und Edge und habe mich in allen diesen Browsern bei Google 1x angemeldet und auch nach Wochen/Monaten der Nichtnutzung eines dieser Browser (im übrigen auf Laptop und auf PC), benötige ich keine erneute Anmeldung.
Außer ich lösche alle Cookies oder stelle dies als Option beim beenden des Browser ein.

Und wenn man Backups der Browser erstellt und auf einem anderen Rechner wieder herstellt, ist man auch wieder angemeldet.

Bei Chrome müsstest du dich jedes mal gezielt abmelden (die Synchronisation des Browsers), damit du dich beim erneuten Start des Browsers wieder anmelden müsstest und so auch bei Gmail und Co.

 

[netzmammut]

@holms weil du das Problem nicht verstanden hast:
ich wehre mich NICHT gegen Oauth2, sondern die 2FA von Google, weil jene mich bei der PC-Nutzung nur nerven wird.
An den Apps würde ich es auch gerne nutzen, vor allem bei K9.
K9 baut aber keine Oauth2 ein.
Fairmail hingegen kann Oauth2, hat aber ...eine ausserordentlich nervende Art und Weise mit Ordnern umzugehen; es ist so schlimm, das ich damit nicht arbeiten kann weil einfach zu umständlich.

SOOOOO - nun also das Problem:
2FA keine Option, weil nicht nützlich am PC verwendbar, wenn das Browserfenster zugeht, ODER man die Cookies löscht.
Oauth2 gerne genommen, aber wegen der App nicht nutzbar.
...Lösung heisst: App-passwort, falls man das ohne 2FA nutzen kann.

Wie man da nun hinein interpretieren kann, das ich mich gegen Oauth verweigere, müsstest du mir erklären.
Du musst mir nicht Oauth2 schön reden - da rennst du offene Türen ein.
Du musst mir nicht 2FA schön reden - das gelingt dir nicht (sorry); mein Usecase ist nun mal einfach so, das 2FA ordentlich einfahren wird.

@mblaster4711
Wo fange ich an....
a) ich lass mir jetzt nicht für die Nutzung von Google-Diensten Chrome aufdrücken, damit das mit 2FA einigermassen verschmerzbar läuft. (sry ich nutze verschiedene Browser und muss von jenen aus auch oft in Google-Services einloggen. Ich KANN nicht nur einen Browser verwenden für Google; ist also keine Option)
b) "ausser man löscht die Cookies wenn man den Browser schliesst" - ja genau eben.
...weist du eigentlich, was für ein Sicherheitsrisiko Cookies darstellen? Damit ist dann der Sicherheitsgewinn durch 2FA gleich mal dahin.
c) siehe letzter Abschnitt an @holms - du kannst mir den googleschen 2FA nicht schön reden...

@all

Bitte versucht nicht mir 2FA schmackhaft zu machen oder unterstellt mir ICH würde mich gegen Oauth stellen! Es hat nen Grund warum ich 2FA bei Google nicht verwende! Und ich werde hier auch keinen Seelenstrip machen um zu erklären warum 2FA für mich eine massive Verschlechterung darstellt... Also bitte:

Hier nochmal die Frage:

Gibt es einen Weg, wie man App-Passwörter (für Apps die kein Oauth können!) einstellen kann, ohne 2FA aktivieren zu müssen?

 

[holms]

ich wehre mich NICHT gegen Oauth2

Ok, klang so, dass du es nur "freiwillig" gut findest. Hab ich dann anders verstanden. Geklärt.

Du musst mir nicht 2FA schön reden

Wo bitte sollte ich dir 2FA "schön geredet" oder beworben haben? Die Stelle zeigst du mir bitte mal...

 

[mblaster4711]

ich lass mir jetzt nicht für die Nutzung von Google-Diensten Chrome aufdrücken, damit das mit 2FA einigermassen verschmerzbar läuft. (sry ich nutze verschiedene Browser und muss von jenen aus auch oft in Google-Services einloggen. Ich KANN nicht nur einen Browser verwenden für Google; ist also keine Option)

Hast du das gelesen, vermutlich nicht!
Daher ich bin raus.

Ich nutze Firefox, Waterfox, Chrome und Edge und habe mich in allen diesen Browsern bei Google 1x angemeldet und auch nach Wochen/Monaten der Nichtnutzung eines dieser Browser (im übrigen auf Laptop und auf PC), benötige ich keine erneute Anmeldung.

PS: ich danke den Cookies von meinem Google-Account (welche sich auf meinen Gesicherten Rechnen befinden und daher kein Risiko darstellen), dass ich keine Probleme habe wie @netzmammut
PPS: Wem die Google 2FA nicht gefällt kann ja zu einem anderen Dienstleister wechseln, aber bitte nicht zu Apple die erzwingen auch 2FA

 

[netzmammut]

@holms sorry, - manchmal krieg ich einfach Puls.

Siehe den Beitrag über diesem hier. Mir geht bei sowas die Hutschnur.
"nimm Chrome und akzeptiere Cookies, weil ICH damit kein Problem hab"
Die Frage lautet: kriegt man die App-Passwörter auch ohne 2FA hin.
"nimm doch Chrome, oder nutz nen anderen Service, ich hab keine Probleme mit 2FA".
Die Frage lautet noch immer: kriegt man die App-Passwörter auch ohne 2FA hin.
Oder bei dir "warum wehrst du dich gegen oauth"
...steht im Ursprungspost anders: App kann das nicht, kein adäquater Ersatz gefunden, 2FA keine Alternative, somit:
die Frage lautet: kriegt man die App-Passwörter auch ohne 2FA hin.

.....ich kriegs einfach nicht kapiert, wie manche hier Mühe bekünden eine Ausgangslage als "ist für den TE jetzt einfach so" zu akzeptieren und auf die Frage einzugehen.

OK, vermutlich wolltet ihr beide mir sagen "nö geht nicht" und ne Alternative aufzeigen. Was aber ne Alternative gewesen wäre: ne Mail-App mit dem Komfort den K9 liefert (mehrere Konten, in jedem Ordner mit entsprechend brauchbarer Verwaltung ebenjener, GPG-Schlüssel usw) und eben auch: Oauth kann (ich check eh nicht warum sich K9 so dagegen stemmt, aber kanns nicht ändern); hald eben etwas, was mich AM PC nicht einschränkt, wenn ich ähnliche Komfort wie bei K9 auf dem Smartphone möchte (und für jeden Mail-Account ne eigene App nutzen zu müssen (resp. Gmail aktivieren für Gmail, für alles Andere K9 etc) kanns ja auch nicht sein)...

(eben - ich habs ja erwähnt; einer meiner Mail-Anbieter bietet getrennte Passwörter für Web und Mail, inkl. Oauth. Warum Google hier den Anwendern Dinge aufdrückt - das ist mehr was, was man von Apple erwartet. Für mich als Anwender wär's besser wenn ich schlicht die Option aus allem hätte; und nicht die Wahl zwischen BN&PW ODER 2FA&App-Pw.)

 

[profi_fahrer]

Um die Frage mal konkret zu beantworten:

kann man App-Passwörter auch ohne 2FA einstellen?

Nein, weil in diesem Fall ein App-Passwort sinnlos wäre. Mit der Kombination Benutzername + App-Passwort kann/könnte man sich in einer App ebenso anmelden, wie mit dem Benutzernamen + Konto/Haupt-Passwort.

 

[netzmammut]

So, in absolutem Mangel an Alternativen habe ich jetzt in den sauren Apfel gebissen und 2FA aktiviert, damit ich ein App-PW setzen konnte, um die Mail-App weiternutzen zu können (komisch - im Prinzip noch immer Bn/PW zum Einloggen, und das über versch. Geräte hinweg - wo ist das jetzt sicherer als vorher, aber jetzt ist die App sicher (muss ich nicht verstehen, oder?)).

DAFÜR erfreue ich mich jetzt bei jedem Login am PC an diesem Bild:

...die SMS hab ich nämlich auf der Rechnung von meinem Handy-Tarif drauf. Zumal gestern die SMS eine Laufzeit von knapp 5 Stunden aufwies.

Hey SO kannst du deine Services absolut sicher machen. Sicher vor Nutzern. (nicht einmal PUSH bieten's an?!)
Und wenn ich 2FA deaktivier, ist natürlich K9 wieder aussen vor......

Man ist das ein Müll ey.

 

[holms]

DAFÜR erfreue ich mich jetzt bei jedem Login am PC an diesem Bild:

Den entsprechenden Haken hast du im Screenshot ja gesetzt, damit du das eben nicht bei jedem Login am PC bekommst. Du darfst aber nicht die zugehörigen Cookies löschen lassen.

Zumal gestern die SMS eine Laufzeit von knapp 5 Stunden aufwies.

Es gibt ja andere Möglichkeiten der 2FA, kannst du im Google-Konto einstellen (z.B. einfache Bestätigung am mobilen Gerät, Authenticator-App)

Disclaimer: Ich will dich zu nix bequatschen. Das sind nur sachliche Antworten.

 

[netzmammut]

Ja, die Cookies werden mit dem Schliessen des Browserfensters gelöscht (gibt immer wieder Probleme wenn ich die nicht lösche; hier "kann nicht angezeigt werden", da ne Sicherheitswarnung, dann löscht man die Cookies und alles geht wieder)...
Ausserdem auch nicht sinnvoll wenn man den PC wechselt und die Cookies per Policy gelöscht werden, aus obigem Grund...

Die App. Joah. Ne weitere App installieren. Weil Google das nicht gebacken das über die Google-Account-App zu erledigen oder ne vernünftige Handhabe bez. "unsicherer Apps" und "Logins absichern" hinbekommt... Naja. Wird das eben die wievielte Google-App die man installieren MUSS.

Wünschte nur Google hätte das etwas besser durchdacht; mag ja sein das "wechselnde PC/Betriebssysteme (denkt "Multiboot")" eine Minderheitennutzung sind, aber herrjeh sowas muss man doch berücksichtigen? Nur weil man sämtlichen Anbietern von E-Mail-Apps sagt "jetzt nur noch mit oauth" müssen die Anwender unten durch...

(nein - ich wechsel' lieber regelmässig die Passwörter als App-PW und 2FA tolerieren zu müssen; nur eben: ich finde keine Mail-App die's mit K9 aufnehmen kann (ich hab nunmal mehrere Mail-Accounts mit Ordnern, und ich werd auch nicht für jede Addi ne eigene App installieren, zumal manchmal Mails zw. den Accounts verschoben werden müssen)

 

[holms]

Die App. Joah. Ne weitere App installieren. Weil Google das nicht gebacken das über die Google-Account-App zu erledigen oder ne vernünftige Handhabe bez. "unsicherer Apps" und "Logins absichern" hinbekommt... Naja. Wird das eben die wievielte Google-App die man installieren MUSS.

Nein. Anders.

Eine einzige App für 2FA bei verschiedenen Diensten. Ich habe eine einzige App dafür (nicht von Google), weil ich bei 7 Diensten die 2FA aktiviert habe, weil ich es für sicherer halte (ich weiß, nicht deine Meinung - will dich auch weiter nicht bequatschen).

Speziell bei Google aber auch nicht nötig, ich habe ja oben außer einer Authenticator-App noch eine weitere einfache funktionierende Möglichkeit genannt. Geht auch problemlos an jedem PC ohne Cookies, man muss nur eines seiner mobilen Geräte neben sich liegen haben.

Soweit zu den Sachaspekten.

Beiträge automatisch zusammengeführt: 24.05.2022

ich finde keine Mail-App die's mit K9 aufnehmen kann (ich hab nunmal mehrere Mail-Accounts mit Ordnern, und ich werd auch nicht für jede Addi ne eigene App installieren, zumal manchmal Mails zw. den Accounts verschoben werden müssen)

Das können schon auch andere Apps (etwa AquaMail) . Weiß nicht, was dir sonst noch so wichtig ist.

 

[netzmammut]

AquaMail ist ein gutes Programm, Fairmail auch. Leider für das, was ich brauche, nicht geeignet (was ich brauche läuft bei den beiden Apps viel komplizierter. Um das gleiche, was ich mit K9 in 5 Minuten mache zu erledigen, brauch ich mit Fairmail oder AquaMail fast 10, was sich bei entsprechendem Mail-Aufkommen schnell in nen drastischen Mehraufwand umschlägt.

Und jetzt keine Unterstellungen mehr hier, sondern bitte Antworten auf die Frage. Alternativ darf man auch nichts schreiben wenn man ausser Unterstellungen nichts zum Thema beitragen kann.

 

[Toronto]

@netzmammut bitte mal zwei Gänge runterschalten. Hier versuchen alle Beteiligten nur zu helfen. Das Thema 2FA ist nervig für dich, aber ich kann hier keine böswilligen Unterstellungen gegen dich erkennen.

Welche Frage ist denn noch unbeantwortet? Zu der Abfrage am PC: Die kommt, weil du die Cookies löschst. Eine Lösung wäre ein extra Browser (oder einfach ein extra Browserprofil, z.B. in Firefox), das du nur für diese 2FA-Dienste nutzt und in dem du die Cookies beim Schließen nicht löschst.

 

[netzmammut]

@Toronto wie kommt das überhaupt , das ICH runterschalten muss, wenn ich mit Unterstellungen bombardiert werde? Naja wir sind hier halbwegs alle zivilisiert, also kriegste gleich ne PN. Da gibts noch Klärungsbedarf.
---------------------------------------
Da es bisher leider keine Hilfe zur Frage gab:

Die Abfrage nach Bestätigungs-Art kam, weil mein Pixel nicht ständig mit aktiviertem WLAN oder Mobil-Daten unterwegs ist (und NEIN - permanent Mobile-Daten einschalten ist auch keine Lösung); damit die Google-App automatisch die Frage übernimmt, muss das Smartphone mind. 5 Sekunden vor dem Login online sein - dann klappts mit der automatischen ja/nein-Abfrage. Seitdem ich das weis, ist das schon etwas angenehmer - aber immer noch lästig (und geht - Preisplan sei dank - irgendwann auch auf's Budget; entweder das der Daten, oder das des Geldes wenn die Inklusiveeinheiten aufgebraucht sind)

 

[profi_fahrer]

, weil mein Pixel nicht ständig mit aktiviertem WLAN oder Mobil-Daten unterwegs ist (und NEIN - permanent Mobile-Daten einschalten ist auch keine Lösung)

Du könntest die Option auswählen, den Code per SMS zu empfangen. Das Handy muss dafür nicht mit dem Internet verbunden sein und es ist weltweit kostenlos. Oder sowiet ich weiß, kann man den Code auch per Authentifikator-App generieren. Das braucht auch keine Internetverbindung aber eben eine extra App.