2 Faktor Authentifizierung wird Pflicht

Moin allerseits,

kurzes News-Update zur Account-Sicherheit bei YouTube:

Ab dem 1. November wird es für den Zugang zum YouTube Studio erforderlich sein, die 2-Faktor Authentifizierung für den YouTube Login zu aktivieren.

Aktivieren kann man dies unter folgendem Link:
https://myaccount.google.com/s…tion/enroll-welcome?pli=1

Ich vermute mal, die vielen, vielen Phishing und anderen Account-Diebstahl Versuche, besonders aus der Crypto-Ecke, sind wohl nur so in den Griff zu bekommen.

Offizielles Statement dazu:

Zitat von @TeamYouTube auf Twitter

TeamYouTube @TeamYouTube 23. Aug.

Important Security Update for YPP Creators:

Starting Nov 1st, you’ll be *required* to turn on 2-step verification to access Studio.
We want to help keep your account safe & 2SV is an important step!

Protected yet? Enable on your Google Account →

https://myaccount.google.com/s…tion/enroll-welcome?pli=1

Eure Meinung dazu? Lasst uns gern darüber diskutieren.

LG,

Zap

Ja, schwer verständlich.

Ich habe mittlerweile bei ca. 30 verschiedenen Diensten 2FA aktiviert. Bin inzwischen an einem Punkt angekommen, dass ich mich oft ärgere, wenn eine Plattform, bei der es um Geld oder wichtige Daten geht, kein 2FA anbietet.

Ja, die Formulierung "YPP Creators" legt nahe, dass es nur um monetarisierte Kanäle geht, da YPP ja das YouTube Partner Program, also die Gruppe der Creator mit Monetarisierung, ist. Aber eigentlich kann ich mir jetzt keinen Grund vorstellen, warum es darauf beschränkt sein sollte. Warten wir also ab, wie das am Ende genau ausgeführt sein wird.

Die Diskussion unter dem Post bei Twitter geht leider zu 90-95 % am Thema vorbei, da dort hunderte andere Support-Themen aufgeworfen werden. So konnte ich dort zumindest keine vertiefenden Infos dazu finden.

Zitat von DJSatrox

Oh man..., und dann hat man genauso nur noch theater, wie mit googel, wo man ständig angeblich eine verdächtige App haben soll, oder Jemand drin gewesen sein soll... Die drehen doch alle durch, mit ihren sicherheitswarn.

Also ich bekomm solche Fragen vielleicht alle 2 Wochen mal, eher seltener, obwohl ich täglich mehrere Stunden bei verschiedenen Google Produkten und YT aktiv bin, auf mehreren Geräten, in mehreren Netzwerken. Da würde ich mich mal fragen, ob vielleicht wirklich irgendwas nicht in Ordnung ist, entweder mit der Software, die Du benutzt, oder ob vielleicht irgendwelche kaputten Cookies auf den Geräten schlummern und diese Probleme auslösen. Normal ist das, was Du da beschreibst, jedenfalls eher nicht.

Und der Auslöser ist ja, dass in den letzten 12 Monaten die Anzahl der gehackten, gephishten und anderweitig ihren eigentlichen Besitzern entwendeten Accounts gerade bei YouTube massiv angestiegen ist. Es geht dabei ja nicht darum, die Nutzer zu nerven, sondern es den Account-Dieben, die es tatsächlich reichlich gibt, schwerer zu machen.

Zitat von Axel

Mittlerweile haben wir 2022, Pflicht ist die 2WA noch immer nicht.

Ich glaube, die Pflicht beginnt mit der Monetarisierung. Bin mir da aber nicht völlig sicher.

Zitat von Axel

Was meint ihr? Angst unbegründet?

Man kann mehrere Methoden angeben und mehrere Notfall-email-Adressen, und wenn eine Methode versagen sollte, kann man dann andere Wege wählen, um an den Account heranzukommen. Daher, ja, eher unbegründet.

Nur eine einzige Login-Methode zu haben, kann in seltenen Fällen problematisch sein. Wenn eine SMS nicht ankommt, würde man allerdings nicht ausgesperrt, sondern halt nur nicht eingeloggt. Man kann auf die SMS warten oder es nochmal probieren, das ist also kein tatsächlicher Problemfall. Und zumindest wenn man ein Android Handy haben sollte, und Google Apps installiert, bekommt man keine SMS, sondern es gibt eine Popup-Nachricht mit 2 Zahlencodes, den ersten muss man dann erst vom Browser zum Handy übergeben, ehe man den Freischaltcode auf dem Handy angezeigt bekommt, den man dann im Browser eingeben muss (meistens nur anklicken/antippen, nicht eintippen, ist bequemer als es sich anhört).

Wenn man mehr Sicherheit möchte, ist das mit etwas Aufwand verbunden, aber Passwörter allein sind nur mäßig sicher. Und spätestens, wenn man das gleiche Passwort an mehreren Stellen benutzen sollte, potenziert sich die Unsicherheit schnell ins Unendliche.

Wobei es auch seltene Angriffe gibt, die an der 2FA vorbeigehen, also darf man auch nicht denken, "hab ja 2FA, nun kann mir nichts mehr passieren". Es gibt z.B. Phishing E-Mails, die, wenn man sie auf dem PC öffnet, direkt die momentan aktiv eingeloggten Browser-Tabs angreifen, indem sie versuchen, das dazugehörige Cookie zu kapern. Oder Phishing e-mails, die einem eine gefälschte Login-Seite anzeigen, die dann dazu verleiten nicht nur Passwort, sondern auch 2FA gleich beides abzugreifen. Aber das sind sehr fortschrittliche Attacken, die nur sehr selten passieren. Dazu ist aber auch oft entweder ein unsicherer, veralteter Browser notwendig, oder man muss so naiv sein, sich durch unbekannte Seiten verwirren zu lassen oder irgendwelche Software aus dubiosen Quellen zu installieren, die dann als Trojaner auf dem PC lauert und den eingeloggten YouTube Account im Browser attackiert (z.B. Basis vieler Fake-Sponsoring Phishing Attacken).

100%ige Sicherheit ist eine Illusion, die man niemals erreichen kann, aber man kann Dinge sicherer machen.

Zitat von Axel

das schiere Öffnen einer Fisch-E-Mail reicht schon? Oder muss man doch erst auf einen Link in der Mail klicken?

In fast allen Fällen muss man klicken, um angreifbar zu werden, ja. Kommt aber eventuell auch auf die Fisch-Art an, und ob sie frisch ist, oder doch schon ein wenig riecht