WoFNuLL schrieb:
Wenn ich ein Backup meiner Auth Codes machen will, generiert mir das Teil einen QR Code, welchen ich aus mir NICHT NACHVOLLZIEHBAREN GRÜNDEN! nicht Screenshotten kann
Die Gründe sind schon nachvollziehbar. Es soll Phising Attacken erschweren - wo man Leute dazu bringt, den QR Code an eine dritte Person zu senden. Es gibt leider sehr viele Enduser, die auf so etwas hereinfallen. Wenn Du technisch noch so affine/versierte Familienmitglieder hast, erlebst Du das leider regelmäßig.
Du musst immer bedenken, die Mehrheit der Nutzer hat viel weniger Ahnung von Sicherheit als Du.
Lord Horu$ schrieb:
Es is ja auch nicht eine kreuzdämliche Idee seine PASSWÖRTER in der der Cloud zu speichern...
Wenn Sie ausreichend verschlüsselt sind, kannst Du sie offen im Internet ablegen.
Und die Cloud beginnt auf Deinem PC oder Smartphone sobald es mit dem Internet verbunden ist. Ich verstehe immer nicht, das Leute glauben ihre privaten Geräte sind nicht Bestandteilt der Cloud und sicherer als die Außenwelt.
machiavelli1986 schrieb:
Trotzdem würde ich deshalb niemals auf eine 2FA verzichten. Und ja, einloggen wird mühsamer mit 2FA, aber was solls?
Das ist genau der Punkt. 2FA bringt einen erheblichen Sicherheitsgewinn. Problem ist allerdings auch, dass man das Risiko steigert, sich selbst auszusperren. Wenn man 2FA für einen Dienst einrichtet, sollte man sich unmittelbar und sofort damit auseinandersetze, wie das Recovery geht, und z.B. Recovery Codes sicher abspeichern oder sicherstellen das die Telefonnummern für Verifizierungs-SMS aktuell sind, usw.
Ein Backup des Seed zu machen, ist immer eine Kompromiss bzgl. Sicherheit, aber man muss immer abwägen was wichtiger ist:
- Sicherstellen das immer Zugriff auf die geschützte Konto möglich ist
- Höchstmögliche Maß an Schutz vor Zugriff Dritter auf das Konto
Für einen Studenten kann z.B. der Verlust des Zugriffs auf das Online Konto der Hochschule bedeuten, dass Termin gebundene Abgaben oder Anmeldungen nicht mehr möglich sind (hatte gerade so einen Fall im privaten Umfeld, 2FA Recovery ging nur durch persönliches Erscheinen beim IT Helpdesk, blöd wenn man gerade 500km von der Hochschule entfernt auf Heimatbesuch ist...)
Man kann das Backup der Seeds definitiv besser implementieren als Google das nun gemacht hat.
Insofern ist die Empfehlung von Heise schon richtig, allerdings sollten Authenticator Anwender auch nicht in Panik geraten und sicherstellen, dass sie sich beim Reset der OTP nicht aussperren.
Bigeagle schrieb:
Google kann also sehen wo ihre Kunden Accounts haben und bei Bedarf Sicherheitsbehörden auch gleich noch das Passwort dazu liefern? Praktisch ...
Das Passwort nicht, sondern den OTP Seed - theoretisch. Um die Vorlieben seiner Kunden (also Leute mit Google Account) zu kennen, braucht Google aber sicher nicht die Metadaten des Authenticators, da haben die bessere Infos (z.B. Browserverlauf)
eSportWarrior schrieb:
Schwachstelle ok egal, aber absichtlich eine Schwachstelle?!?
Wenn die Stellungnahme von Google nicht eine nachträglich hinterhergeschobene Rechtfertigung war, würde ich sagen keine Schwachstelle, sondern bewusste Designentscheidung.
Ich kann mir nicht vorstellen, das Google nicht eine Risikobewertung gemacht hat, und die Schwächen der Implementierung kennt.
Ich würde es eher als "Kommunikationspanne" bezeichnen. Denn eigentlich muss Google klar sein, das eine so relevante Software wie der Google Authenticator sofort untersucht und diese Schwäche sofort gefunden und veröffentlich wird.
So blöd können die eigentlich nicht sein....
![MadCat[me]](https://pics.computerbase.de/forum/avatars/m/705/705061.jpg?1526466493){kind=avatar}
