News Google Authenticator: Passwort-Synchronisation überträgt Daten im Klartext

Google: "Ops :p"

Wenn ich wissen wollen würde, welche Passwörter am häufigsten genutzt werden bzw. was die beliebteste Länge, Sonderzeichen, etc. sind, würde ich als Unternehmen, welches tausende Milliarden mit Daten verdient, auch über einen Zeitraum "versehentlich" Passwörter via Klartext übertragen.

Ich würde auch eine Tastatur auf mein Smartphone-Betriebssystem integrieren, welches sämtliche Eingaben an meine Server schickt. Selbstverständlich nur um, um die Autovervollständigung, Wortvorhersagen, Autokorrektur und vorgeschlagene Antwort-Sätze zu verbessern. ;)
 
  • Gefällt mir
Reaktionen: Tanzmusikus, hax69 und Falc410
Vexz schrieb:
Sehe ich jetzt weniger kritisch, denn zum Entsperren der Datenbank von Bitwarden brauchst du ja immer noch ein Passwort (und 2FA lässt sich zusätzlich auch noch einstellen, sodass du zusätzlich ein TOTP brauchst)
Mir ging’s eher darum wenn ich den Zugriff auf Bitwarden verliere, vielleicht auch nur temporär. Ich lasse meine Passwörter durch einen Algorithmus erzeugen den ich kontrolliere und kann die dann ggf. Wiederherstellen. Hier wäre halt beides auf einmal futsch. Vom Angreifer Szenario mal abgesehen. Wir nutzen Bitwarden in der Cloud auch wenn ich natürlich meine Datenbank per TOPT noch zusätzlich geschützt habe
 
Bei Security kommt für mich nur mehr Open Source in Frage, deswegen: 2FA - > Aegis (verschlüsselte Backups auf hardwareverschlüsselten USB-Stick). Passwortmanager - > Bitwarden mit 2FA (und vor allem keine 2FA-Secrets mit abgespeichert. Macht 2FA sinnbefreit...). Jeder der auf Android unterwegs ist sollte gar keine andere App als Aegis in Betracht ziehen. Rest ist propietärer Schrott, siehe aktuelle Meldung. Ein 2FA-Backup hat auch nichts in der Cloud verloren...
 
  • Gefällt mir
Reaktionen: DieRenteEnte
Das meisste was Euch bekannt ist, ist nichtmal E2E Direktweg, sondern läuft über drittserver.
Die Hochstapler aus Polizei und zuredenter (bekann als Regierung, wenn auch im höherenhöhsten Leistungsdiensten fast nur s. Betrug) nennt das auch 2-Fach Verschlüsselungs-Pflicht. Dies abgeleitet von AGB's der vorgeblichen Verscherungsgesellschaften, welche Software wieder5um nur zukaufen.

Als Beispiel nehme ich mal WhatsApp (wenn auch schlechtes Bsp, die meisste Software ist lange nicht so oft genutzt). Es dient der Veranschaulichung, das so oder so nur ein Schuldvorschub vorliegt (hier durch die Softwareanbieter, welche so oder so meisst wehrlos durch Hochstaplei und Falschaussagen ist!).

WA ist keine E2E Komm, sondern läuft über Drittserver.
E2E ist demnach zu betrachten wie von Falc410 beschieben.
Wäre dem anders, also es liegt E2E-V zusätzliche zu SSL/RSA (PupPriv-Key- Auth und u.U. Vers) vor könnte egal welche Software, insb. solche die heitige Gesellschaft gerne nutzt (Smartphone u.W.) über Updates mit Funktionen versorgt werden (bei Apple und Google sowie anderen App-Store-Geschichten auch Personengenau, insb. bei Amtsmissbrauch u.Ä.) um Dateizugriff zu erhalten um eben so Keystores u.W. als Eingriff zu erhalten.
Da Google u.W. PR-Großdienste (also nicht die Suchmaschine sondern deren zusatzfilter) in De insb. von Hochstaplern aus den Verwaltungsgerichten 'gesteuert' wird (und nicht von Google) ist bei derleit Aussagen immer Geldwäscheverdacht (durch int. Schuldverschiebungen sowie u.U. Korrupte- oder Neuhausnamenvergebungsverfahren n Drittstaaten) vorliegend. Dies insb. zu gusten von PR beim deutschen Großvorstand (IHK u.A. als Bundesverbandmarke oder auch sowas wie IT.NRW als Mitwirkende PR [vort. Beratungsquali] Org Bundeswehr ) sowie eben den Politikern (Schauspielerei zu gegenseitigkeitiger Hinhaltung / illegale Holding heute oft in DE üblich)..

Es macht keinen Unterschied solange ihr Systeme nutzt de Drittserver nutzen.
Will wirklich jemand Schaden, behauptet er mit Urkindenfälschungen StA zu sein oder z.B. Polizei.
Bis ein Prüfungsverfrahren eingeleitet wird (wenn überhaupt, je nach eigener Vorwurfmöglichkeit die von der BRD u.A. auch dirch r. Erp. abgewehrt werden will und in vort. 'normaler jur. Wege' durch überall vorfindbare Hochstapler/Faule Nichtsnutze) hat derjenige bzw bis dahin (die beklagbare Gruppe) längst was sie will.

Ich konnte kein fehlverhalten von Google feststellen. Insoweit ich zu Falc410's Aussage (und solcher die ihr immer in der PR als s. Bertugs [Wiederholung/Dist/Verläumdung/Report] kennt/hört): Welche Abteilung müsste denn angegriffen werden beim Großunternehmen mit vielen SSL-Keys?
Die Wildcards-SSL Systeme sind meisst nur zur Auth und Sub- (Vielfach) verschlüsseungs (für die Schlüssel - also kein Generalschlüssel), wodurch es viele hunderte oder auch tausenden verschiedene Schlüssel gibt, teils bei google auch bereits zu Kunden aufgeteilt E2E-PPK ist bei Wildcards möglich [und nicht teuerer, eher als jur. Abwehr günstiger] und eben auch Pflicht für die Großen bei Dateiablagesystemen).

Lasst euch von Gamern-/Sonst-PR mit mit Nötigkeit Psychodoc als betreute Person - also der Arzt wird im normfall von wiederum Betrügern 'betreut' zu gleichem Verwaltungshintergund [teils 3-Eck. Betrug durch vergabe von anderen Namen zu gleicher Person als Betreuer] - von wiederum vorgebl. "Staat" nicht verarschen!!!

Fragt lieber mal nach wer genau die Aussage ursprünglich verbreitet!! Das ist in Deutschland wichtiger als n weniger Durcheinander-Systemen!

Und beachtet: Juristische Personen können nicht sprechen. d.H. Google kann nicht sprechen. Personen wiederum können sich im Namen Dritter wiedergeben! (und das nur unter Genehmigung von deren Nutzungsvergabestellen, ansonsten Urkundenfälschung)

Und ich wiederhole: Glaubt nicht sofort jeden Namen oder deren Nutzungsrecht!
Und beachtet: Google ist ind Deutschland nur eine kleine Verwaltung mit sehr wenigen Festangestellten und erpressbar wie jeder kleine Software/Harwareanbieter (also deutlich erpressbarer als die Altindustrie) und ist gezwungen worden u.A. "Vergabe an Bundesagentur" zu (unter)schreiben, was zwar wie eine Wildcard auffällt, jedoch unzulässig wäre - das sind wir alle!!
(Bundesagetur besteht aus Selbständigen Urkudenfälschern zu wiederum änlichen erpresten ni vortäuschu7ng alles gleichzeitig sein zu dürfen und Kollegienabsprachen (jedoch meisst unter ausschluß der ÖffK, insoweit wäre jeder Mord später nat. Tot und gerichtet von Voreingenommenen, nicht derer - widerholt von dummen Geschöpfen örtl. AG - meisst [später, als eine Form der Fahndung - ihr müsst es nur mal erkennen] in Geschäftsvetrtelungsplänen bekannt).

Und zu euren Liebliengsschreiberinnen, denen ihr gerne demütig gegenübersteht sollte es soweit kommen (da deren Eigenvorteil) sollte ihr mal das sändige Mitrennen in "Was auch immer" Phys. weniger pseudo* Gegenbeweisbar an den eigenen scheinbar meisst unqu. Kopf fassen.
Synonym zu pseudo*: Heibeiredbar/Herbeigeredet (unter Vorlage von oft widerum Pseudo-PR-Aussage-Beweis - siehe übliches Wikipedia-Vorgehen)
 
Zuletzt bearbeitet:
Falc410 schrieb:
Mir ging’s eher darum wenn ich den Zugriff auf Bitwarden verliere, vielleicht auch nur temporär.
Das ist zwar äußerst unwahrscheinlich, wenn man mehrere Geräte mit Bitwarden drauf hat, aber dann könnte man sich immer noch irgendwo anders eine Authenticator App installieren (z. B. auf einem alten Handy, das eigentlich nur noch ausgeschaltet irgendwo rumliegt, oder eine Authenticator Software in Docker selbst gehostet) und da drauf für Bitwarden TOTPs generieren lassen. Habe ich auch so als extra Absicherung.
 
  • Gefällt mir
Reaktionen: mkjxcb und SSD960
Hm, und FreeOTP bzw. FreeOTP+ (sowie diverse ähnliche) 2FA-Apps gehören deiner Meinung nach auch dazu?
 
Zurück
Oben