Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 

Google Authenticator: Kehrtwende nach Klartext-Synchronisierung

28.04.2023

zur Newsdatenbankhome

Google hat in seinem Authenticator eine oft gewünschte Funktion eingebaut. Mit ihr lassen sich die geheimen Seeds, die zur Berechnung des Einmal-Codes als zweiter Faktor nötig sind, synchronisieren und auf andere Geräte wiederherstellen. Allerdings werden diese Daten im Klartext übertragen. Google hat angekündigt, dass die Ende-zu-Ende-Verschlüsselung auch für den Authenticator kommen soll.

Die Funktion zum Synchronisieren der geheimen "Saat" wurde gestern bekannt gemacht und lässt sich wie gedacht aktivieren. Allerdings werden die Daten dabei lediglich Base32-kodiert, quasi also als Klartext, übertragen. Dadurch lässt sich die Mehr-Faktor-Authentifizierung faktisch aushebeln. Daher sollte es unbedingt ausschließlich im Zugriff des rechtmäßigen Besitzers bleiben.

Google oder Angreifer in einer Man-in-the-Middle-Position im Netzwerk können beim derzeitigen Verfahren allerdings potenziell auf diese sensiblen Daten zugreifen.

Zu diesem Thema hat Google jetzt Stellung bezogen. Eine Unternehmenssprecherin sagte gegenüber heise online: "Die Sicherheit unserer Nutzer:innen steht bei allem, was wir bei Google tun, an erster Stelle. Diese Verantwortung nehmen wir ernst. Das jüngste Update der Google Authenticator-App wurde unter Berücksichtigung dieser Mission durchgeführt, und wir haben sorgfältige Schritte unternommen, um sicherzustellen, dass wir es Nutzer:innen auf eine Art und Weise anbieten können, die ihre Sicherheit und Privatsphäre schützt, aber auch nützlich und bequem ist".

Weiter führte sie aus: "Die Ende-zu-Ende-Verschlüsselung (E2EE) ist eine leistungsstarke Funktion, die zusätzlichen Schutz bietet. Um sicherzustellen, dass wir unseren Nutzer:innen alle Optionen anbieten, haben wir damit begonnen, E2EE optional in einigen unserer Produkte einzuführen, und wir planen, E2EE für Google Authenticator in Zukunft anzubieten".

Noch hat Google keinen Zeitrahmen genannt, wann die Ende-zu-Ende-Verschlüsselung für den Google Authenticator erscheinen soll.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE

 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89