Google Authenticator: Kehrtwende nach Klartext-Synchronisierung
Der Google Authenticator überträgt bei der Synchronisierung des wichtigen Geheimnisses Klartext. Jetzt kündigt Google an, E2E-Verschlüsselung nachzurüsten.
Microsoft hat das Sicherheitsverhalten der Internet-Nutzer unter die Lupe genommen.
(Bild: dpa, Andrea Warnecke)
Google hat die oft gewünschte Funktion im Authenticator eingebaut, mit der sich die geheimen Seeds, die zur Berechnung des Einmal-Codes als zweiter Faktor nötig sind, synchronisieren und auf andere Geräte wiederherstellen lassen. Dabei hat das Unternehmen jedoch den Bock geschossen, diese Daten im Klartext zu übertragen. Jetzt bemüht sich Google um Schadensbegrenzung: Ende-zu-Ende-Verschlüsselung soll auch für den Authenticator kommen.
Google Authenticator: Geheimer Klartext
Gestern wurde bekannt, dass die Funktion zum Synchronisieren der geheimen "Saat" sich wie gedacht aktivieren lässt. Dabei gingen die Daten jedoch lediglich Base32-kodiert, de facto also als Klartext, über die Leitung. Dies konnte heise Security in eigenen Tests nachvollziehen.
Da sich mit dem Geheimnis die Mehr-Faktor-Authentifizierung faktisch aushebeln lässt, sollte es unbedingt ausschließlich im Zugriff des rechtmäßigen Besitzers bleiben. Beim derzeitigen Verfahren können jedoch etwa Google oder Angreifer in einer Man-in-the-Middle-Position im Netzwerk potenziell auf diese sensiblen Daten zugreifen. Daher rät heise Security beim derzeitigen Stand davon ab, den Google Authenticator zu nutzen.
Google hat jetzt dazu Stellung bezogen. Gegenüber heise online sagte eine Unternehmenssprecherin: "Die Sicherheit unserer Nutzer:innen steht bei allem, was wir bei Google tun, an erster Stelle. Diese Verantwortung nehmen wir ernst. Das jüngste Update der Google Authenticator-App wurde unter Berücksichtigung dieser Mission durchgeführt, und wir haben sorgfältige Schritte unternommen, um sicherzustellen, dass wir es Nutzer:innen auf eine Art und Weise anbieten können, die ihre Sicherheit und Privatsphäre schützt, aber auch nützlich und bequem ist".
Übertragung mittels TLS-gesicherter Verbindung
Weiter führte sie aus, dass die Daten während der Übertragung und im Ruhezustand in allen Produkten verschlüsselt würden, auch in Google Authenticator. "Die Ende-zu-Ende-Verschlüsselung (E2EE) ist eine leistungsstarke Funktion, die zusätzlichen Schutz bietet. Um sicherzustellen, dass wir unseren Nutzer:innen alle Optionen anbieten, haben wir damit begonnen, E2EE optional in einigen unserer Produkte einzuführen, und wir planen, E2EE für Google Authenticator in Zukunft anzubieten", schloss sie ihre Stellungnahme ab.
Die Übertragung erfolgt mittels TLS-gesicherter Verbindung, wobei jedoch die Endpunkte mit Klartext-Informationen arbeiten – soweit lässt sich die Aussage nachvollziehen. Einen Zeitrahmen, wann die Ende-zu-Ende-Verschlüsselung für den Google Authenticator kommen soll, nennt Google jedoch nicht. Bis die Entwickler die Funktion nachgerüstet haben, bleibt heise Security bei der bisherigen Empfehlung, einen anderen Authenticator einzusetzen. Andere Apps wie Authy bieten ebenfalls Synchronisierung und Backup der TOTP-Geheimnisse, sichern diese aber mit einem nur dem Nutzer bekannten Master-Passwort.
(dmk)
