iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Sync von 2FA-Codes

Authenticator-App: Google will nach Fingerklopfer nachbessern

Artikel auf Mastodon teilen.
9 Kommentare 9

Schräge Nummer: Ausgerechnet der für seine hervorragenden Cybersecurity-Kompetenzen bekannte Suchmaschinen-Riese Google, hat beim letzten Update seiner offiziellen Google Authenticator-App einen Patzer hingelegt, der die Community der IT-Sicherheitsspezialisten mit dem Kopf schütteln lies.

Google Authenticator Sync

Geheimschlüssel ließen sich auslesen

Google erweiterte die 2-Faktor-Appliaktion um die Möglichkeit, die in der Anwendung gesicherten Geheimschlüssel, über den persönlichen Google-Account mit anderen iOS- und Android-Geräten zu synchronisieren.

Eigentlich eine begrüßenswerte Neuerung, die dafür Sorge trägt, dass die wichtigen Zugangssicherungen für die diversen Logins und Online-Konten, die man heutzutage so braucht, nicht nur auf einem Gerät gesichert sind. Zudem ist der Abgleich natürlich auch super-bequem.

Unverschlüsselte Übertragung

Allerdings hat Google nicht dafür Sorge getragen, dass die Geheimschlüssel selbst während der Synchronisation auch verschlüsselt übertragen wurden. Dies haben die schon durch andere Aktionen in Erscheinung getretenen Sicherheitsspezialisten von Mysk festgestellt und (zurecht) auf der Kurznachrichten-Plattform Twitter breitgetreten.

Wer in der Lage ist den Netzwerkverkehr mitzulesen, der könnte die 2-Faktor-Codes einfach abgreifen. Entsprechend empfahl man bei Mysk einen Bogen um den 2-Faktor-Sync zu machen.

Eine Empfehlung, auf die Googles Christiaan Brand nun mit einer Stellungnahme reagiert hat, in der Besserung gelobt wird. Man habe bislang auf eine Ende-zu-Ende-Verschlüsselung verzichtet, da Anwender die ihre Zugangsdaten vergessen würden, keine Möglichkeit mehr hätten, diese zu reaktivieren.

Man sei jedoch bereits mit der Bereitstellung einer umfangreichen Ende-zu-Ende-Verschlüsselung in mehrere der hauseigenen Angebote beschäftigt und plane perspektivisch auch diese bei der Google Authenticator-App einzusetzen.

Laden im App Store
‎Google Authenticator
‎Google Authenticator
Entwickler: Google
Preis: Kostenlos
Laden

27. Apr 2023 um 13:00 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    9 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Interessantes Zitat:
    „…Ausgerechnet der für seine hervorragenden Cybersecurity-Kompetenzen bekannte Suchmaschinen-Riese Google…“
    Mich würde mal ein wirklich unabhängiger Vergleich von Google, Apple und Microsoft zu diesem Thema interessieren.

  • Sind die „Schlüssel“ in meinem Lokalen Backup vorhaben?

  • ‚Wer in der Lage ist den Netzwerkverkehr mitzulesen, der könnte die 2-Faktor-Codes einfach abgreifen.‘

    Stimmt so nicht. Der Verkehr ist immer noch verschlüsselt, der Payload jedoch nicht noch mal extra E2E verschlüsselt.

    • Wenn man heise.de glaubt stimmt das schon, dass man nur den Netzwerkverkehr abgreifen muss um an das Geheimnis zu kommen.
      Jedoch egal wie, sollte man die Funktion meiden oder sogar ganz auf den Authenticator verzichten.

      • Lol auf 2FA verzichten für Sicherheit, what, lol

        Einfach 2FA i. Keepass file speichern und in webDAV fähige cloud laden

        Mit Keepassium oder srongbox syncen und in die Automatische PW ausfüll option von iOS integrieren

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven