News Google Authenticator: Passwort-Synchronisation überträgt Daten im Klartext

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.143
  • Gefällt mir
Reaktionen: BrollyLSSJ, Hellyeah, aid0nex und 10 andere
Oh Mann was für Anfänger arbeiten denn bei Google?
Genau deswegen vertraue ich keinem Onlinedienst wenn es um Passwörter/MFA geht (im Sinne von Speicherung/Backup)

Alles nur lokal in eigener Keepass Datenbank.
 
  • Gefällt mir
Reaktionen: nosound, BrollyLSSJ, Hellyeah und 28 andere
Oha nach dem Update der App wurde ich gefragt ob ich meine Sachen mit einem Google-Konto synchronisieren möchte. Direkt dankend abgelehnt - gut gemacht! Brain.exe läuft mit aktuellen Pattern xD
 
  • Gefällt mir
Reaktionen: J@ck, Steini1990, aid0nex und 10 andere
Typo?: "Google hat den Authenticator, einen Generator für Einmalpasswörter, erst vor kurzem mit einer von vielen Nutzern gewünschten Funktion zur Synchronisation ausgestatte."
 
Wenn man die Engerätesynchronisation aktiviert hat ballert Google also andauernd unverschlüsselte 2FA Saaten durch die Gegend?
 
N1 Google. Well done.

Ich weiß schon, warum ich diese Funktion nicht aktiviert habe und niemals aktivieren werde.
 
  • Gefällt mir
Reaktionen: hanjef
Die Begründung des „Warum“ ist Comedy Gold!
😂🤣👍
 
  • Gefällt mir
Reaktionen: Hellyeah, Steini1990, aid0nex und 6 andere
Kann einem Startup in Muttis Keller schon mal passieren /s
 
  • Gefällt mir
Reaktionen: Hellyeah, Roesi, nan1bot und 8 andere
Wie stümperhaft?!
 
  • Gefällt mir
Reaktionen: Recharging und hanjef
Somit werden die Daten im Klartext an Googles Server sowie die jeweiligen Geräte gesendet.
Also das ist einfach nicht korrekt, die Daten werden verschlüsselt übertragen und auch auf einem verschlüsselten Medium gespeichert. Aber es ist eben nicht E2E verschüsselt - das bedeutet, Google kann eure Seeds lesen und ein Angreifer der Google hackt, könnte die Seeds auch abgreifen und hätte dann den 2. Faktor.
Wenn die Seeds E2E verschlüsselt wären, dann würde es einen unique Schlüssel geben und nur euer Account kann die Daten entschlüsseln. Google hätte dann (theoretisch) keinen Zugriff mehr auf die Seeds.

Was aber wirklich nervig ist, man kann die Option nicht deaktivieren und die Seeds löschen lassen. D.h. man muss wirklich alle Dienste neu verbinden. Wobei, selbst wenn Google behauptet sie würden die Seeds löschen, würde ich ihnen das nicht glauben. Davon abgesehen, wenn sie wollen, hätten sie schon längst die Seeds in der App einfach abgreifen können.
 
  • Gefällt mir
Reaktionen: Sur5ive, domin95, brthr_nemiel und 8 andere
Ich hatte dem google Authenticator schon lange den Rücken gekehrt. Die fehlende Synchonisation/Backup-Funktion war ein Ausschlusskriterium für mich. Offenbar nun trotzt der Funktion eine gute Wahl. Aktuell nutz ich Authy.
 
  • Gefällt mir
Reaktionen: nightmare devil und Lindar
Klar nicht schön, aber wie reell ist das ? das genau eure Daten jetzt abgefangen wurden und warum gleich alle 2fa neu aufsetzen ? Einfach wieder deaktivieren bzw deinstallieren sollte doch dicke reichen oder steh ich auf dem Schlauch ?

edit: bzw. als ob Google die nicht ohnehin schon speichern würde :)
 
  • Gefällt mir
Reaktionen: Freak_On_Silicon
Ich würde sowieso nie auf die Idee kommen, Passwörter oder 2FA-Secrets in einem proprietären Stück Software zu speichern. Egal ob jetzt der Google Authenticator, Authy, das Microsoft Ding oder sonstwas.
 
  • Gefällt mir
Reaktionen: ###Zaunpfahl### und dafReak
Google ist auch schon lange nicht mehr das was es einmal war.
Generell sollte man ja kritisch bei Google und ihrem Geschäft und Produkten sein.
 
Ich nutze Aegis und die Backups werden durch Cryptomator verschlüsselt auf meine Cloud geladen.
Würde niemals den Google Auth. nutzen...
 
  • Gefällt mir
Reaktionen: Krik, tiga05, Der Kabelbinder und 4 andere
Falc410 schrieb:
Also das ist einfach nicht korrekt, die Daten werden verschlüsselt übertragen und auch auf einem verschlüsselten Medium gespeichert.
Im Text steht:
"Bei der Synchronisierung wurde der sogenannte Seed an die Server von Google übertragen, mittels einer Man-in-the-Middle-Aktion konnte dieses Base32-kodiert im Datenstrom aufgespürt werden."

Der Screenshot auf Twitter zeigt das auch.
 
Testen die schon ChatGPT an der Endgerätesynchronisation?
 
Ich wurde beim Starten der App auch gleich dazu genötigt, mein Google Konto zu verknüpfen, Gut, dass ich das nicht gemacht habe...
 
nn|none schrieb:
Der Screenshot auf Twitter zeigt das auch.
Also wenn du es in der Praxis schaffst, eine MitM Attacke gegenüber Google Diensten zu fahren, hast du ganz andere Probleme.
Der Transportweg ist verschlüsselt, mit deiner Argumentation wird auch das Passwort von deinem Onlinebanking "unverschlüsselt" übertragen. So gesehen wird alles unverschlüsselt übertragen was du nicht explizit selbst noch einmal vor dem Transport verschlüsselt hast. Dann dürften wir viele Dienste nicht mehr nutzen wenn wir dem Anbieter nicht vertrauen (was durchaus angebracht ist teilweise).

Also ganz klar, bei Passwörtern hört der Spaß auf, das Risiko ist aktuell aber trotzdem gering.
Weiß jemand wie das beim MS Authenticator ist? Der speichert die Seeds ja ebenfalls (automatisch? ungefragt?) in der Cloud.
 
  • Gefällt mir
Reaktionen: DNS81, BeBur, rosenholz und eine weitere Person
Zurück
Oben