Daten werden unverschlüsselt übertragen
Es gibt Bedenken bezüglich der Sicherheit des Google Authenticators, einer App zur Zweifaktorauthentifizierung (2FA). Bei der Übertragung des zweiten Faktors werden die Daten unverschlüsselt übertragen, was ein potentielles Sicherheitsrisiko darstellt. Da Google ein riesiges Unternehmen ist und sehr verbreitet, ist auch der Google Authenticator weit verbreitet. Vor kurzem wurde eine Funktion zur Kontosynchronisierung hinzugefügt, die jedoch möglicherweise unerwartet dazu führen kann, dass die geheimen Codes auf mehr Geräten gespeichert werden, als es beabsichtigt war.
Wie kann das einer Firma, wie Google nur passieren
Obwohl Google viele IT-Experten und -Legenden wie Rob Pike, Larry Page, Lars Rasmussen und Kathy Pham beschäftigt, sind sie nicht gegen Anfängerfehler bei der Übertragung von 2FA-Secrets gefeit. Die Sicherheitsforscher und iOS-Entwickler von Mysk, die letztes Jahr durch eine große iOS-VPN-Lücke bekannt wurden, haben entdeckt, dass Google keine End-to-End-Verschlüsselung für das Backup von Informationen verwendet und die Daten unverschlüsselt übermittelt. Das ist besonders besorgniserregend, da die URLs, die die Secrets enthalten, oft den Namen der Webseite oder sogar des Kontos enthalten.
Es besteht möglicherweise die Versuchung, das Problem mit dem 2FA-Authenticator als unbedeutend zu betrachten. Allerdings kann jemand, der euer Netzwerk überwacht – zum Beispiel durch einen dauerhaften MITM-Angriff, der in großen Unternehmen oft durchgeführt wird – einen eurer Faktoren abfangen. Wenn ihr dann noch ein Passwort habt, das durch Social Engineering erlangt werden kann, entsteht schnell ein ernstes Problem.
Wir empfehlen dir folgendes zu machen
Wechsel am Besten zu einem Open-Source Authenticator wie:
- Aegis (Android)
- AuthenticatorPro (Android)
- FreeOTP (Android/iOS)
- Mauth (Android)
- Twilio Authy (Android/iOS)