... ist nicht mir passiert, sondern einem Kollegen. Jetzt wo ich seinen Rechner neuinstallieren musste, fällt ihm ein, dass ihm sein Google Mail Passwort nicht einfällt. In dem Konto ist weder eine Handynummer noch eine alternative Mailadresse hinterlegt. Über den Button "Passwort vergessen" kommen wir nicht weiter. Google fragt zwar nach dem letzten bekannten Passwort und auch nach einer alternativen Emailadresse, sagt dann aber am Ende, dass sie den User nicht authentifizieren können.

Welche Möglichkeiten bietet Google denn hier noch? Bei GMX konnte vor vielen Jahren ein Bekannter eine Kopie seines Persos hinschicken, dann gabs ein neues Kennwort. Bietet Google sowas auch? Wie kontaktiere ich die deswegen? Haben die eine Hotline oder Emailadresse für sowas?

Danke für sachdienliche Hinweise!

Nope, Google hat dafür nur diese automatischen Identitätsnachweise, die man über die Webseite anstoßen kann. Einerseits gut, weil dadurch Social Engineering nicht möglich ist, andererseits wird er so seinen Account nie wiederbekommen, wenn er sich nicht doch an das Passwort erinnern kann.

Nach ein bisschen googlen scheinen nach fünf Tagen ohne aktiven Login ein paar weitere Möglichkeiten freigeschaltet zu werden, aber dafür muss er dann unter anderem wissen, wann er seinen Account erstellt hat. Eventuell reicht das, aber das hängt alles von den Informationen ab, die er hinterlegt hat.

Spätestens jetzt wäre es eine gute Idee sich einmal um das Passwortmanagement und entsprechende Backups zu kümmern, damit so etwas nicht noch einmal passieren kann. Meiner Erfahrung nach wird das sonst nämlich garantiert wieder passieren.

Leider keine Chance, er hat gar nichts zu dem alten Konto.

Das Problem hat leider noch eine weitere Ausprägung: Er ist mit dieser googlemail-Adresse bei Microsoft registriert und hat sich darüber sein Office 365 Abo verlängern lassen. Jetzt hat Microsoft den neuen Key an diese Emailadresse geschickt. Gibt es diesen Key auch über das Microsoft Portal zu finden? Da kann er sich ja einloggen... ansonsten müsste er sich an Microsoft wenden, dass die den Key nochmal an eine andere Adresse senden.

Kann er selbst die Mail-Adresse ändern? Eventuell kann er dann selbst den Key an eine andere Adresse erneut senden lassen.

Komplett ohne Gewähr. Ich habe keine Ahnung, wie das bei MS genau gehandhabt wird.

Backup von dem PC in einer VM starten (sofern vorhanden) und dort das gespeicherte Passwort aus dem Browser auslesen.

Backup von dem PC in einer VM starten (sofern vorhanden) und dort das gespeicherte Passwort aus dem Browser auslesen.

Wenn er so fragt, wird ziemlich sicher kein Backup vorhanden sein.

Aus eigener Erfahrung würde ich fremde Rechner ohne Backup aber auch nicht neu aufsetzen, auch wenn das verlangt wird. Die meisten Nutzer wissen gar nicht, welche ihrer Daten welchen Wert haben. Meistens wird da der eigene Wert der Daten künstlich herabgesetzt, damit man rechtfertigen kann keine Backups zu machen oder den Kram richtig abzusichern. "Kann man doch alles neu machen" stimmt eben auch nur halb. Kann man sicher, aber das ist alles immer mit viel Zeit und je nach dem auch Geld verbunden.

Ich denke mal das Passwort für seinen Mail-Account zu verlieren ist das beste Beispiel. Der Aufwand alles wieder neu einzurichten und alle Abhängigkeiten zum alten Account zu entfernen ist so unglaublich enorm, dass man das nicht mal eben so nebenbei an einem Nachmittag machen kann. Das braucht Wochen und teilweise Monate.

Leider fällt mir da auch nichts besseres ein als in Zukunft entweder Passwörter auf Papier zu hinterlegen und physisch zu sichern oder eben einen Passwortmanager zu nutzen und die verschlüsselte Datenbank auf genug Medien zu sichern, dass ein Datenverlust unwahrscheinlich wird.

Nope, Google hat dafür nur diese automatischen Identitätsnachweise, die man über die Webseite anstoßen kann. Einerseits gut, weil dadurch Social Engineering nicht möglich ist, andererseits wird er so seinen Account nie wiederbekommen, wenn er sich nicht doch an das Passwort erinnern kann.


Ich wunder mich, wieso man bei einem Gmail Account überhaupt noch ein Passwort braucht, überspitzt formuliert. Es ist ja gerade Googles "Geschäft" die User zu identifizieren, damit die Dienste individualisiert werden können - und das machen sie verdammt gut eigentlich.

Nehmen wir z.b. das Handy - wenn die Standort-Daten zu google kommen, können die anhand des Wohnorts, Arbeitsort und bevorzugter Kneipen schonmal einen ziemlich individuellen Fingerabdruck erstellen, den man auch nicht so leicht fälschen kann. Dann noch z.b. den Browserverlauf (den sie via der allgegenwärtigen Einbindung in Webseiten auch ohne lokales auslesen recht gut abbilden können) dazu und ich denke, die Identität ist wohl so zweifelsfrei nachgewiesen wie bei einem DNS Test...

Insofern ist es imo einfach mangelndes Interesse Seitens Google hier ein Angebot für ein PW Recovery zu bieten...

Dafür gibt es noch diese Backupcodes, die nur einmal verwendet werden können, die man sich irgendwo aufschreiben sollte meine ich. Oder?

Ansonsten natürlich blöd.

Man kann auch eine Backup Email-Adresse angeben. Die kann man ja einmal einrichten und sich die Zugangsdaten aufschreiben, schon kann eigentlich nichts mehr schiefgehen.

Das sollte man sowieso machen. Aber wie kann man das Passwort vergessen? Ich merke mir eigentlich nur das eine Passwort für meinen Google-Account. Ist dann ne Kombination aus Nummern Begriffen und Sonderzeichen. Aus Büchern Filmen und alles mögliche, was ich nie vergessen werde. Der Rest wird vom Browser gespeichert und sind alles generierte 20-stellige Passwörter für jede Seite oder Dienst. Das ist ja das praktische an Google. Wenn man Chrome nutzt kann man das alles direkt wieder synchronisieren am Rechner und muss nichts machen. Man braucht nur eben das Google Kennwort. :wink:

Dafür gibt es noch diese Backupcodes, die nur einmal verwendet werden können, die man sich irgendwo aufschreiben sollte meine ich. Oder?

Ansonsten natürlich blöd.

Die Backupcodes sind nur ein alternativer zweiter Faktor, wenn man sein Handy oder die anderen zweiten Faktoren verliert.

Man kann auch eine Backup Email-Adresse angeben. Die kann man ja einmal einrichten und sich die Zugangsdaten aufschreiben, schon kann eigentlich nichts mehr schiefgehen.

Damit reduziert man aber die Sicherheit auf die des anderen Mail-Accounts.

Das hier entspricht so momentan der sichersten Konfiguration bei Gmail: https://techsolidarity.org/resources/security_key_gmail.htm

Kurz: Keine Backup-Adresse, kein SMS-2FA, keine Recovery per SMS.

Als Passwörter will man immer maximalen Zufall. Das können ungezinkte Würfel garantieren mit einem Mapping auf Wörter für besser merkbare Passwörter (Diceware) oder eben Strings, die man aus dem kryptografisch sicheren Zufallsgenerator seines Betriebssystems gewinnt.

Im Zweifelsfall ist es immer besser das Passwort aufzuschreiben und sicher zu verwahren anstatt eine Recovery über eine andere Mail-Adresse oder SMS zu benutzen. Oder gar das gleiche Passwort für mehrere Dienste zu nutzen aus Komfortgründen.