Google-Konto und 2FA

Wie ich gerade bemerkt habe, ist es anscheinend nicht möglich, sein Google-Konto mit 2FA zu versehen, ohne Google, zumindest vorübergehend, die eigene Handynummer mitzuteilen. Ich hatte eigentlich Enpass verwenden wollen und Google auch weiterhin nicht meine Handynummer wissen lassen. In diesem Kontext hätte ich zwei Fragen (und im Vorhinein gegebenenfalls schon einmal herzlichen Dank für eventuelle konstruktive Antworten):

• Es führte, um eine Authentizifierungsapp verwenden zu können, wohl kein Weg daran vorbei, Google, die Handynummer zu geben, oder?
• Wäre der Verlust an Datenschutz den Gewinn an Sicherheit wert (wenn man u. a. Gmail und Google Drive nutzt)? Natürlich ist schon die Nutzung dieser Dienste an sich, eher euphemistisch formuliert, suboptimal für den Datenschutz, aber wenn eben solche Nutzung vorliegt: Wäre, auch noch die Handynummer einzugeben (man kann sie wohl später wieder löschen, aber wer weiß, wer sich das dann in der Zwischenzeit abgespeichert hat), den Gewinn an Sicherheit für das Konto wert?

Die relevante Frage ist doch eher - wie sehr würde dir der Kontoverlust weh tun?

Ja, gewiß. Das ist in der Tat der eigentliche Punkt dabei. Danke für die Präzisierung.

Derzeit wäre so etwas höchst bedauerlich, aber ich bin ja seitdem es Gmail gibt auch ohne 2FA gut durchgekommen - was ich aber nicht einschätzen kann, ist, welche Konsequenzen es hätte, wenn Google meine Handynummer bekommt. Sicherheitshalber habe ich sie da bisher immer herausgehalten. (Vielleicht mit gewissen Bildern aus „Terminator“ im Hintergrund habe ich mich deswegen sogar trotz großer Neugierde nicht bei ChatGPT angemeldet - andererseits haben natürlich einige meiner Banken meine Handynummer, hm…).

„Bisher ist nichts passiert“ ist halt so ne Sache - mit der Argumentation kannst du auch über rote Ampeln laufen. Konkrete Horror Stories die passiert sind weil jemand 2FA aktiviert hat wirst du eher nicht finden, das Kontos gehackt werden mit entsprechendem Datenverlust kommt dagegen tagtäglich vor.

Darum - wenn die Daten für dich relevant sind, würde ich die auch in irgendeiner Form schützen, und wenn es ohne Google aus Gründen nicht geht, dann ist es halt so.

Kannst Du Dir ein Handy leihen oder eine Gratisnummer aus dem Netz besorgen?

In meinen Fall, hierbei sei angemerkt dass Ich einen Google Account ohne Gmail besitze, ließ sich noch im Oktober 2023, zur selben Zeit als der Account erstellt wurde, ohne Rufnummer ein Fido2 Stick (od. PassKey) hinzufügen. Danach ließen sich auch TOTP per App, und Backupcodes hinzufügen - vorher habe Ich das nicht ausprobiert.

Dafür war aber eine (eigens hierfür erstellte, Drittanbieter) E-Mail Adresse mit dem Account verbunden, also auch bereits für die „Kontowiederherstellung“ unter den Sicherheitseinstellungen eingetragen. Vielleicht reicht das sogar, damit Google nicht nach einer Rufnummer fragt?

Falls du einen Fido2 Stick herumliegen hast, könnte es sein, dass Google auch einfach nur dort nicht nachfragt, ließe sich eventuell auch austesten.

Alternativ wäre meine Empfehlung „einfach“ eine andere Nummer zu besorgen. @Bit hat hier mit der Gratisnummer aus dem Netz eine Option genannt. Persönlich könnte Ich mir eine Prepaidsim (keine eSIM) bei Vodafone klicken, ohne VideoIdent o.Ä., da Ich da bereits Bestandskunde bin (reicht gegen Google ;)). Vielleicht auch eine Option bei dir? Dauert dann, bis sie per Post da ist.

Vermutlich nicht sonderlich hilfreich, mein Post.

@Krone Ja, das stimmt natürlich, danke.

@Bit Das ist natürlich auch eine Idee, danke.

@Astolfo Du hast natürlich recht, danke. Ich hatte mich irgendwann entschieden, daß mir Geräte (also auch Sticks) als Schlüssel zu riskant sind (was, wenn sie kaputt gehen, auch wenn sie, das weiß ich nicht, durchaus stabil sein mögen), außerdem auch sehr, sehr unpraktisch, weil man sie immer mit sich führen muß, so daß ich das nicht einmal mehr richtig als eine Möglichkeit wahrgenommen hatte. Ich werde noch einmal darüber nachdenken. (Ich habe einige Wiederherstellungsemails angegeben, das hat Google in diesem Falle nicht von der Frage nach der Rufnummer abgehalten.) Danke auch für die weiteren Hinweise bezüglich Gratisnummern, Prepaidsims etc. Doch, Dein Post war sehr hilfreich, danke.

Das Problem mit der Handynummer ist mir auch von anderen Diensten wie Amazon und PayPal bekannt. Erst Handy, vorher geht nichts. Bei MS365 war es IIRC auch ein Akt, einen FIDO-Stick zu registrieren, ohne vorher die App zu registrieren. Ging aber dann irgendwie.

Ist aber alles nur bei der Anlage der Accs ein Problem, später kann man die Nummer wieder löschen. Kostenlose Prepaid-SIMs wurden ja bereits erwähnt - ich habe inzwischen eine ganze Reihe herumfliegen. Wobei ich jetzt aus dem Kopf nicht sagen kann, ob die auch SMS empfangen, bevor das erste mal Geld aufgeladen wurde. (In dem Kontext ist mir auch egal, ob Vodafone oder der Staat mich über die Handynummer identifizieren können - Google kann es nicht. Andere Anforderungen erfordern natürlich andere Maßnahmen.)

Deswegen ist ein einziger FIDO-Stick keine Option. Du brauchst mindestens einen zweiten als Backup. Je nach Wichtigkeit der abgesicherten Accounts und Verlustrisiko eher noch einen. Am besten auch so aufbewahrt, dass die nicht alle zeitgleich durch ein Ereignis (z. B. Brand) zerstört werden können. Letztlich unterscheidet sich das konzeptionell nicht von Datenbackups.

Das ist eine Frage der persönlichen Handhabung. Ich habe meinen Primär-FIDO-Key am Schlüsselbund und daher immer dabei, wenn ich das Haus verlasse oder Zuhause am PC sitze. Der Lebensdauer ist das vermutlich nicht unbedingt zuträglich, aber da habe ich noch keine Langzeiterfahrung.

@NordWest Vielen Dank für Deine ausführliche Antwort. Ich bin noch am überlegen, wie ich es mache.

Es wurde ja auch die Möglichkeit kostenloser Nummern im Netz genannt, aber ich bin nicht sicher, ob das nicht (schlimmstenfalls - oder ist das zu weit gedacht?) anderweitige unangenehme Konsequenzen haben könnte. Wenn man annähme, daß das alles abgeglichen würde auch wenn man die Nummer später wieder entfernte, wären diese beiden vielleicht denkbar:

• Falls man alle anderen Zugänge verlöre oder bei großer Verdächtigung auf unberechtigten Zugang könnte vielleicht doch jene Nummer wieder „aufpoppen“ (ich meine, ich hätte gelesen, daß bei jemandem eine gelöschte Nummer später wieder aufgetaucht sei, bin aber nicht ganz sicher), und falls man dann keinen Zugang mehr hätte, wäre es… bedauerlich. Das ist aber letztlich sehr spekuliert.

• Mindestens ebenso spekuliert ist der folgende schlimmere Fall: Was, wenn das abgeglichen wird, dann geschaut wird, wer die kostenlose Internet-Handynummer noch verwendet, und dann auf Grund stupider Algorithmen, sollte diese auch in kriminellen Kontexten verwendet worden sein, man selber in Verdacht geriete? Angesichts dessen schiene mir beinahe in der Tat die Lösung über nur einmal verwendete SIMs angenehmer. Aber wie gesagt, darauf habe ich keine Hinweise, es ist nur eine Erwägung. (In manchen Ländern gibt es ja auch noch SIMs ohne Registrierung. Wenn man denn hinkommt…).

Ja, man sollte sicherlich mehrere FIDO- etc. Sticks haben. Bei Daten habe ich immer, wenn ich Gelegenheit hatte, meine Backup-Festplatten sogar in verschiedenen Städten oder Ländern deponiert.

Genau das. Kostenlose Handynummern im Internet sind eigentlich immer „gemeinschaftlicher Gebrauch“. Das ist grundsätzlich immer ein Sicherheitsrisiko. Solche kostenlosen, wirklich anonymen Nummern sind meines Erachtens nur die bessere Option, wenn eine Anonymität oder Pseudonymität gegenüber staatlichen Stellen erreicht werden muss.

Und ja, wenn alle MFA-Zugänge nicht mehr funktionieren und man sich nicht anderweitig legitimieren kann, ist der entsprechende Account weg, das ist definitiv so. Auch hier muss man im Einzelfall immer abwägen: Was ist (als Worst Case) schlimmer: Dass man durch einen potenten (staatlichen) Angreifer identifiziert werden kann? Oder dass man möglicherweise den Zugang auf den Account oder die Daten dauerhaft verliert?

Auch bei den einmal verwendeten SIMs muss man bei der lowlevel-pseudonymen Nutzung überlegen: Braucht man wirklich für jeden Dienst eine eigene Nummer? Ich muss an dieser Stelle sagen, dass ich keine Ahnung habe, wie viele SIM-Karten man sich bei Vodafone bestellen kann, bevor die das als missbräuchliche Nutzung einstufen und da einen Riegel vorschieben.

@NordWest Vielen Dank!!

@Sire Du hast nicht näher erläutert, weshalb es dir wichtig ist, dein Ggl-Konto per 2FA abzusichern. Es ist natürlich immer eine sehr gute Idee, 2FA zu nutzen, aber in Verbindung mit der Weitergabe eigener Rufnummer an Ggl für die Nutzung der selbst nicht datenschutzfreundlichen Dienste, würde ich davon absehen. Du könntest stattdessen überlegen, die Dienste zu einem anderen Anbieter umzuziehen und sie dann dort mit 2FA abzusichern.

Den Vorschlag mit dem Leihen eines Handys finde ich sehr bedenklich - weil man die eigene Rufnummer nicht preisgeben will, verwendet man einfach eine von anderen Leuten?! Würden sie in diesem Plan denn davon erfahren?

Auch die Verwendung einer temporären Rufnummer halte ich für 2FA für sinnlos gefährlich. Der Sinn von 2FA ist es ja, das Konto abzusichern. Und sich selbst zu legitimieren, falls man den Zugang dazu verliert. Das geht weder mit einer fremden, noch einer irgendwann vllt. sogar neu vergebenen Rufnummer nicht.

Der Ansatz ist ja -soweit ich das verstanden habe- nicht, diese Nummer tatsächlich für MFA zu nutzen. Für MFA soll ja ein anderer Faktor (App) genutzt werden. Allerdings ist es wohl nicht möglich, diesen bei Google zu registrieren, wenn keine Handynummer hinterlegt ist. Nach der Registrierung des MFA-Faktors wird die Handynummer wieder gelöscht (als Faktor, nicht aber zwingend aus der Datensammlung seitens Google).

Danke Euch beiden.

Du hast nicht näher erläutert, weshalb es dir wichtig ist, dein Ggl-Konto per 2FA abzusichern.

Einfach um das Risiko zu minimieren, daß irgendwann irgendwie mein Paßwort jemandem in die Hände fällt, der mich dann aus meinem Google-Konto ausschließt. Ich gebe natürlich auch so acht, und lang genug ist es eigentlich, aber einfach nur aus Vorsicht, falls es doch einmal irgendwie „mitgelesen“ würde.

Ich habe schon viele E-Mail-Konten und überlege auch immer wieder einmal, wie ich mich bei der Nutzung am besten aufstelle. Aber nun haben z. B. doch auch noch einige meine Gmail-Adresse, und wenn die Betreffenden nun ohnehin ebenfalls Gmail o. ä. verwenden, macht es eigentlich auch keinen großen Unterschied, wenn ich das dann ebenfalls verwende, denke ich. Es wäre sicher besser, Gmail etc. ganz aufzugeben und ganz zu privateren Diensten oder meinen eigenen Domains zu wechseln, aber im Augenblick scheue ich den Aufwand, wenngleich ich schon selektiere, von welcher Mailadresse aus ich was wem maile. Und in der Zwischenzeit scheint 2FA eben eine ganz gute Idee zur Risikominimierung, zumal ich mein Google-Konto sicherlich selbst bei Nichtnutzung von Gmail weiterhin behalten wollte.

Den Vorschlag mit dem Leihen eines Handys finde ich sehr bedenklich - weil man die eigene Rufnummer nicht preisgeben will, verwendet man einfach eine von anderen Leuten?! Würden sie in diesem Plan denn davon erfahren?

Das war ja gar nicht mein Plan, er wurde nur auch als eine Möglichkeit im Thread genannt. Wenn, würde ich das nur tun, falls jemand ohnehin schon seine Nummer Google preisgegeben hätte, aber da man so dem Betreffenden immer noch potentiell Rechtsrisiken aufbürdet hatte ich das bis jetzt nicht vor. Und natürlich wäre es richtig, das mit den Betreffenden abzusprechen! Ich denke nicht, das das anders gemeint war… Hier kämen natürlich Freunde und Verwandte nach Absprache in Betracht. Aber, wie gesagt, ich hatte das auch gar nicht vor.

I. ü. ist es, wie @NordWest sagt: Ich möchte eigentlich einen Authentifikator, also ein Programm nutzen, nur gestattet Google das eben nicht ohne zumindest temporär eine Handy- oder Festnetznummer.

(Ich überlege gerade, ob ich da vielleicht einfach mir eine kostenlose - dauerhaftere - „Festnetznummer“ (VoIP-Nummer) online besorge, die ich dann dafür nutze, man kann sich den Code wohl sowohl als SMS als auch als Sprachnachricht zusenden lassen) anzugeben. Ob das datenschutzfreundlicher ist?)

Alles klar, @Sire , verstanden. Ich nutze gMail nicht (ich käme nicht im Traum dazu, sorry) und habe deshalb angenommen, dass deine Handynummer als 2FA fungieren soll.

Ich meine, die vermeintliche Bestätigung deiner Identität durch Angabe deiner Handynr. soll vermutlich sicherstellen, dass Du es bist. Aber die Frage ist hier doch, wie kann Ggl feststellen, dass Du es tatsächlich bist? Durch die Angabe der Nummer jedenfalls nicht, man wird zum Glück nicht mit einer Rufnummer geboren

Das ginge also nur, wenn Ggl Zugriff auf die Daten des Anschlussinhabers hätte. Nach meiner Aktion mit der Aktivierung von RCS, wo Ggl mir eine stille SMS schickte, um „meine Angaben über den Provider zu verifizieren“, wie Ggl angibt, bin ich mir nicht sicher, ob sie es nicht doch können. Dazu habe ich hier einen Thread erstellt.

In Deutschland ist die Angabe eigener Identität für die Anmeldung einer Rufnummer verpflichtend, somit würdest Du mit einer VoIP-Nummer (ich vermute von Sipgate) auch keine Punkte gewinnen im Bezug auf die Preisgabe deiner personenbezogenen Daten. Ich habe das hier im Forum gelesen und gleich bei SATELLITE ausprobiert. Für den Anschluss ist die Angabe pers.bez. Daten erforderlich, die postalisch überprüft werden. Ohne kann man die Rufnummer nur im Provider-Netzwerk verwenden, also nicht mit allen Telefonteilnehmern.

Wie ich schon geschrieben habe, wäre für mich die Überlegung entscheidend, ob Du über gMail wichtige Dinge abwickelst, wie „offizielle“ Kommunikation. Falls Du mit dem Konto „nur“ im Bekanntenkreis unterwegs bist und eine evtl. Übernahme deines Kontos vergl.w. geringen Schaden anrichten würde, sehe ich den 2FA als vernachlässigbar an.

Wenn über das Konto mit „offiziellen“ Institutionen kommuniziert wird, also wo ggf. auch pers.bez. Daten unverschlüsselt über den Ether gehen, dann weiß Ggl eh alles über dich und das Absichern des Kontos mit 2FA wäre wichtig. Vermutlich gibst Du deine Handynr. eh in den Mails an, sodass Ggl sie bereits kennt.

Ich habe auch jemanden in meiner Umgebung, der eine gM-Adresse nutzt. Ich habe es ihm „verboten“ vertrauliche Dinge darüber zu senden, für ihn habe ich mir sogar eine neutrale gesonderte Adresse angelegt.

Du musst bestätigen, dass du Zugriff auf diese Nummer hast. Und es ist inzwischen relativ schwierig, eine anonyme Nummer zu registrieren. Du bestätigst mit der Handynummer im Wesentlichen, dass du ein echter Mensch bist (mehr oder weniger) und gibst ein (mehr oder weniger sicheres) Identifikationsmerkmal an. Das soll a) (strafbaren) Missbrauch eindämmen und dient b) natürlich der Datensammlung. Das dürften die Hauptgründe für Google sein.

Sich eine neue, ebenfalls auf einen selbst registrierte Nummer dafür zuzulegen, kann nur den Zweck haben, ein Zusammenführen der Nummer mit anderen bei Google vorhandenen Daten zu verhindern und ggf. einen Missbrauch der Primärnummer für Werbung einzudämmen. Ob das hier überhaupt sinnvoll und erfolgversprechend ist, kann nur der TE beantworten.

@TomArsch

Ich meine, die vermeintliche Bestätigung deiner Identität durch Angabe deiner Handynr. soll vermutlich sicherstellen, dass Du es bist. Aber die Frage ist hier doch, wie kann Ggl feststellen, dass Du es tatsächlich bist? Durch die Angabe der Nummer jedenfalls nicht, man wird zum Glück nicht mit einer Rufnummer geboren

Das nicht. Meine Bedenken erstrecken sich eher auf gewise dreibuchstabige Regierungs"agenturen", die in den USA ja noch weniger als in Deutschland durch die Gesetze behindert sind.

In Deutschland ist die Angabe eigener Identität für die Anmeldung einer Rufnummer verpflichtend, somit würdest Du mit einer VoIP-Nummer (ich vermute von Sipgate) auch keine Punkte gewinnen im Bezug auf die Preisgabe deiner personenbezogenen Daten .

Für eine deutsche Nummer ist der Bezug gegeben, das stimmt. Ich hatte tatsächlich zunächst daran gedacht, mich aber entsonnen, daß es zumindest früher auch kostenlose VoIP-Nummern aus anderen Ländern gab, wo die Identität nicht weiter überprüft wurde. Auf den ersten Blick gibt es da Möglichkeiten, aber die habe ich noch nicht näher angeschaut.

Ich dachte allerdings, daß auch eine deutsche VOIP-Nummer wenigstens etwas unproblematischer sein könnte als eine Handy-Nummer, weil die Handies ja getrackt werden können. Andererseits könnte man natürlich auch einen VoIP Provider zu zwingen versuchen, einem eventuell abgreifbare Daten zu geben, wenn der Betreffende ständig mit dieser Nummer online ist. Wenn er sie allerdings sowieso meist nur von zu Hause aus verwendet, ist das bei regulärer Anmeldung eines Wohnsitzes de facto wohl eher kein zusätzliches Problem.

Wie ich schon geschrieben habe, wäre für mich die Überlegung entscheidend, ob Du über gMail wichtige Dinge abwickelst, wie „offizielle“ Kommunikation. Falls Du mit dem Konto „nur“ im Bekanntenkreis unterwegs bist und eine evtl. Übernahme deines Kontos vergl.w. geringen Schaden anrichten würde, sehe ich den 2FA als vernachlässigbar an.

(Für mich ist gerade der Erhalt einiger Mails von Freunden sehr wichtig. Ich werde aber über Deine Einschätzung nachdenken, vielen Dank.)

Wenn über das Konto mit „offiziellen“ Institutionen kommuniziert wird, also wo ggf. auch pers.bez. Daten unverschlüsselt über den Ether gehen, dann weiß Ggl eh alles über dich und das Absichern des Kontos mit 2FA wäre wichtig. Vermutlich gibst Du deine Handynr. eh in den Mails an, sodass Ggl sie bereits kennt.

Ich nutze es teilweise auch noch für Bewerbungen, habe das jedenfalls getan, schon bevor ich über diese Dinge so ausführlich nachzudenken begann. Insofern hat Google schon viele Informationen. Meine Handynummer kennt Google möglicherweise allerdings noch nicht, da ich sie kaum herausgebe. Meine VoIP-Nummer kennt Google allerdings aus meinen Signaturen, außerdem steht sie im Impressum meiner Websites. Insofern wäre diese dann „richtig“ anzugeben wahrscheinlich auch nicht mehr viel problematischer.

Ich habe auch jemanden in meiner Umgebung, der eine gM-Adresse nutzt. Ich habe es ihm „verboten“ vertrauliche Dinge darüber zu senden, für ihn habe ich mir sogar eine neutrale gesonderte Adresse angelegt.

So weit bin ich noch nicht gegangen, aber alle Achtung vor Deiner Konsequenz und davor, daß jene Freunde sich darauf einlassen.

In ganz elementar vertraulichen Fällen wähle ich allerdings auch andere Kommunikationswege, aber eher zu selten aus strikter Perspektive.

@NordWest

Genau. (Ich habe eine anonyme Handy-Nummer aus einem anderen Land (oder nicht mehr so anonym, ich habe sie sicher einmal in Gmail oder Outlook erwähnt), die habe ich z. B. zur Registrierung bei Telegram verwendet. Mancherorts gibt es das zum Glück noch, man muß dann nur etwas weiter reisen oder schauen; möglicherweise gibt es das aber auch in Handy- bzw. Telephonkartengeschäften mit internationalem Publikum, das weiß ich nicht.)

Sich eine neue, ebenfalls auf einen selbst registrierte Nummer dafür zuzulegen, kann nur den Zweck haben, ein Zusammenführen der Nummer mit anderen bei Google vorhandenen Daten zu verhindern und ggf. einen Missbrauch der Primärnummer für Werbung einzudämmen. Ob das hier überhaupt sinnvoll und erfolgversprechend ist, kann nur der TE beantworten.

Ich denke, es wäre ein „Steinchen“ - viele Tropfen auf einen heißen Stein lindern die Hitze vielleicht auch etwas? Man muß es den Trackenden, ob privater oder staatlicher Natur, ja nicht unnötigerweise leicht machen. Hier habe ich noch nicht endgültig gegenüber der Bequemlichkeit und anderen Faktoren abgewogen. Grundsätzlich gilt aber in jedem Falle: Je weniger Daten man preisgibt, desto sicherer ist man in bezug auf die Privatsphäre. Bezüglich der IT-Sicherheit sieht das eben wieder anders aus, Proton z. B. bietet als Teil seines Proton-Sentinel-Angebots gar den Nutzern an, Proton mehr über sich zu erzählen, um das Account so besser schützen zu können.

Google kennt meine Identität schon längst (Gmail, Google Drive, ein früherer ausländischer Arbeitgeber nutzte gar Google für seine gesamte E-Mail-Kommunikation, Google Webmaster Tools).

Die Frage für mich war, wie stark erhöhe ich die Exposition, wenn ich - temporär - eine Handynummer oder dann, worauf ich im Laufe des Threads kam, eine inländische oder, vielleicht besser, ausländische (idealerweise dann nicht identitätsverifzierte, falls ich das finde) VoIP-Nummer anzugeben (sofern ich nicht doch FIDO o. ä. nutze, danke noch einmal auch für diesen Hinweis an die Betreffenden).

Ich denke, meine unterschwellige Hauptüberlegung gilt, inwieweit ich nich durch die Angabe auch örtlich noch „trackbarer“ mache über die Möglichkeiten deutscher Behörden hinaus.

Da ich derzeit mein Handy nicht immer dabei habe (und wenn, es auch da meist aus ist, wobei ich nicht weiß, ob das reicht, sicherer wäre natürlich, stets die SIM-Karte zu entfernen, aber wer tut das schon immer?) und auch meinen Computer nicht, also mein VoIP-Programm nicht immer läuft, ist das nicht allumfassend, aber dennoch. Als freiheitsliebender Menschen möchte ich nicht, daß der Staat immer weiß, wo ich bin - auch wenn ich nichts Illegales tue. Auch wenn ich hoffe, daß der Rechtsstaat doch noch Durchsetzungskraft erweist. Aber sicher ist sicher. Lieber mehr Schutz als weniger. So gesehen wäre natürlich Konsequenz anzuraten, soweit aber das „Kind“ in der Tat schon „in den Brunnen gefallen“ ist (oder der Brunnen nicht so schlimm für es wäre, wobei natürlich die wenigsten in einem Brunnen werden leben wollen, außer sie wären in der Wüste vielleicht, aber auch dort wäre daneben ja auch ganz nett), dann kann man natürlich auch Bequemlichkeit in die Abwägung einbringen.

Ich halte es einfach für sinnvoll, seine Situation zu kennen und potentielle Folgen zu kennen, wenn man zu einem Abwägungsergebnis kommen möchte. Hierbei helfen die Beiträge in diesem Thread, vielen Dank.

Man kann natürlich auch informiert weise oder weniger weise Entscheidungen treffen, aber wenn man informiert entscheidet und auch seiner Intuition folgt, dann ist das ja in der Welt schon etwas.

Du verwendest Google und machst dir Sorgen über Sicherheit und Privatsphäre? Das nennt man wohl eine kognitive Dissonanz.
Sichere 2FA bekommst du mit einigen TOTP Apps auch, auch in FOSS, ganz ohne Google. Ich persönlich nutze Aegis am liebsten.