News Google Authenticator: Passwort-Synchronisation überträgt Daten im Klartext
- Ersteller mischaef
- Erstellt am
- Zur News: Google Authenticator: Passwort-Synchronisation überträgt Daten im Klartext
Vor allem der Satz: Laut Google ist das abschalten der Funktion die Lösung, für die die selbst eine Backuplösung nutzen wollen wie bisher. Bringt mich dezent zum schmunzeln:
Wenn ich ein Backup meiner Auth Codes machen will, generiert mir das Teil einen QR Code, welchen ich aus mir NICHT NACHVOLLZIEHBAREN GRÜNDEN! nicht Screenshotten kann ( kompletter Screen Blackout ) sondern über Umwege ( anderes Gerät / Remote View mit Externer App ) ein Foto anfertigen muss damit ich es in meiner Privaten ( und verschlüsselten ) Cloudlösung ablegen kann ...
Wenn ich ein Backup meiner Auth Codes machen will, generiert mir das Teil einen QR Code, welchen ich aus mir NICHT NACHVOLLZIEHBAREN GRÜNDEN! nicht Screenshotten kann ( kompletter Screen Blackout ) sondern über Umwege ( anderes Gerät / Remote View mit Externer App ) ein Foto anfertigen muss damit ich es in meiner Privaten ( und verschlüsselten ) Cloudlösung ablegen kann ...
machiavelli1986
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.657
Meine Passwörter habe ich alle lokal gespeichert in einer KeyPass Datei. Für den 2FA nutze ich Google. Was gibt es für sinnvolle Varianten wo man dann wirklich sagen kann, dass ist besser und vertrauenswürdiger? Wenn ich jetzt, sobald aktualisiert, das Teil öffne und anwähle, dass ich nicht mit der Cloud syncen kann, dann stellt sich halt schon die Frage, ob ich da wirklich schlechter unterwegs bin als mit einem andere App wie z. B. das von Authy. Gerade Authy bietet ja auch etliche Optionen mit Synchronisationen an. Es ist eine Zwiespalt. Ich denke aber, wenn Passwörter und 2FA in zwei verschiedenen Containern hinterlegt sind, ist man schon mal nicht schlecht bedient.
Wie schaut es mit der App 2FA Authenticator (von 2FAS) aus? Sollte zumindest Open-Source sein.
Wie schaut es mit der App 2FA Authenticator (von 2FAS) aus? Sollte zumindest Open-Source sein.
Lord Horu$
Commander
- Registriert
- Mai 2008
- Beiträge
- 2.175
Es is ja auch nicht eine kreuzdämliche Idee seine PASSWÖRTER in der der Cloud zu speichern...
Was, wenn die Cloud gehackt wird?
Da haste wegen solchen "Versäumnissen" dann die A-Karte.
Genau wegen solchen blödsinnigen Sachen benutz ich einen lokalen Passwort-Store (KeepassXC) und alles, was in die Cloud kommen muss, liegt in nem Truecrypt-Container.
Auch nicht 100%ig sicher (Was ist schon 100%ig sicher?), aber immer schön Lokal n Schloss vorhängen, bevor mans in die Cloud schiebt.
Ist genau das Gleiche, wie mit Cloud-basierten Smart-Home Geräten. Dümmer gehts echt nicht...
Was, wenn die Cloud gehackt wird?
Da haste wegen solchen "Versäumnissen" dann die A-Karte.
Genau wegen solchen blödsinnigen Sachen benutz ich einen lokalen Passwort-Store (KeepassXC) und alles, was in die Cloud kommen muss, liegt in nem Truecrypt-Container.
Auch nicht 100%ig sicher (Was ist schon 100%ig sicher?), aber immer schön Lokal n Schloss vorhängen, bevor mans in die Cloud schiebt.
Ist genau das Gleiche, wie mit Cloud-basierten Smart-Home Geräten. Dümmer gehts echt nicht...
DonDonat
Commodore
- Registriert
- Apr. 2013
- Beiträge
- 4.739
Überrascht mich eher weniger. Alles was über die Basics hinausgeht kostet ja Geld und das steckt man am Ende lieber in andere Dinge als sowas unwichtiges wie eine Verschlüsselung von Passwörten bei Synchronisation.
Schließe mich deswegen den meisten hier an: weil die Annahme, dass so ein Käse wie hier eher die Regel als die Ausnahme darstellt, hab ich nur lokale PW Speicherung. "Better safe than sorry" halte ich bei sowas für sinnvoll, gerade wenn es um Passwörter geht, wo ein Fehler einen potentiell viel Zeit/Stress/Geld kosten könnte.
Schließe mich deswegen den meisten hier an: weil die Annahme, dass so ein Käse wie hier eher die Regel als die Ausnahme darstellt, hab ich nur lokale PW Speicherung. "Better safe than sorry" halte ich bei sowas für sinnvoll, gerade wenn es um Passwörter geht, wo ein Fehler einen potentiell viel Zeit/Stress/Geld kosten könnte.
machiavelli1986
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.657
DonDonat schrieb:
Die Aussage macht aber keinen Sinn. Denn ein zusätzlicher 2FA OTP wäre ja keine Minderung der Sicherheit zu deiner aktuellen lokalen PW Speicherung. Im Gegenteil. Den der Ort wo du dein Passwort eingibst kann genau so eine Schwachstelle sein. Ich habe meine verschlüsselte PW-Datei auch lokal auf dem NAS zusätzlich nochmals in einer TrueCrypt Datei verschlüsselt. Trotzdem würde ich deshalb niemals auf eine 2FA verzichten. Und ja, einloggen wird mühsamer mit 2FA, aber was solls? Lieber so als ein unnötiges Risiko eingehen, mit dem was man da mittlerweile auf Plattformen alles hinterlegt.
U
User_0815
Gast
Dafür gibt es ja dann den Google VPN, der macht die Übertragung wieder sicher 
B
Brink_01
Gast
Spielt das eigentlich eine große Rolle? Außer mir hat doch niemand den Key.Paddy0293 schrieb:Selbst gehostet ? Wenn nicht, genauso sinnlos Bitwarden könnte ja auch von Sicherheitslücken betroffen sein
@ news
Das ist schon echt schwach! Habe gestern erst wieder hier und da die 2FA aktiviert und war eigentlich kurz davor den Authenticator von Google zu verwenden.
Bigeagle
Lt. Commander
- Registriert
- Nov. 2008
- Beiträge
- 1.530
Google kann also sehen wo ihre Kunden Accounts haben und bei Bedarf Sicherheitsbehörden auch gleich noch das Passwort dazu liefern? Praktisch ...
Aus irgendeinem Grunde höre ich gerade im Hinterkopf die Prinzen singen, mit leicht abgewandeltem Text.
Ui, sowas findet sich sogar auf Youtube
Derweil hoffe ich dass niemand meine Platte durchsucht und die Anmeldedaten für Nexusmods findet die da immer noch unverschlüsselt rumliegen. Aber hey, wer auf meinem System ist kann auch die Zwischenablage und die Tastatur abgreifen. >.>
Aus irgendeinem Grunde höre ich gerade im Hinterkopf die Prinzen singen, mit leicht abgewandeltem Text.
Ui, sowas findet sich sogar auf Youtube
Derweil hoffe ich dass niemand meine Platte durchsucht und die Anmeldedaten für Nexusmods findet die da immer noch unverschlüsselt rumliegen. Aber hey, wer auf meinem System ist kann auch die Zwischenablage und die Tastatur abgreifen. >.>
Paddy0293
Lt. Commander
- Registriert
- Jan. 2012
- Beiträge
- 1.063
Klar wenn Hacker sich ins System klinken, wird es ein leichtes für die Hacker sein die Passwörter ect. auszulesen.Brink_01 schrieb:
Das ist ein riesen Unterschied "privat hosten + VPN" im Gegensatz zu bitwarden direkt.
Das ist ja genau der Grund warum viele überhaupt privat hosten.
LuminousVision
Lieutenant
- Registriert
- Mai 2011
- Beiträge
- 1.003
Nilson schrieb:
Und wenn Authy irgendwann mal Scheiße baut, darfst du überall 2FA neu einrichten, weil du die Secrets nicht übertragen kannst.
eSportWarrior
Lieutenant
- Registriert
- Jan. 2016
- Beiträge
- 984
Wow das ist Unentschuldbar.
Bin beim MS Authenticator + Offline Backupsmartphones.
Klar unrealistisch dass da was passiert aber mindestens ein Entwickler wusste genau was er da geschrieben hat. Schwachstelle ok egal, aber absichtlich eine Schwachstelle?!?
Bin beim MS Authenticator + Offline Backupsmartphones.
Klar unrealistisch dass da was passiert aber mindestens ein Entwickler wusste genau was er da geschrieben hat. Schwachstelle ok egal, aber absichtlich eine Schwachstelle?!?
Tobber83 schrieb:
Naja das Update wird in Wellen verteilt. Ich habe es noch nicht erhalten, aber wenn ich so in den Foren lese wir nach dem Update gefragt ob du es Snchronisieren möchtest und da kann man es verneinen und es bleibt deaktiviert. Und vermutlich gibt es dann bei den Einstellungen ein zusätzlichen Punkt.
