Sicherheitsexperten lehnen die neue Synchronisierungsfunktion von Google Authenticator ab
Ist die Synchronisierungsfunktion von Google Authenticator wirklich sicher?
Das neueste Google Authenticator-Update fügt die Kontosynchronisierung hinzu. Grundsätzlich können Sie jetzt Einmalpasswörter in Ihrem Google-Konto speichern, was praktisch sein kann, wenn Sie Ihr Telefon verlieren oder aktualisieren. Doch seltsamerweise sind Sicherheitsforscher mit dieser vielgefragten Funktion nicht zufrieden.
In einem aktuellen Tweet entdeckte der Entwickler und Sicherheitsforscher Mysk die Synchronisierungsfunktion von Google Authenticator verwendet keine Ende-zu-Ende-Verschlüsselung. Wenn also jemand Ihre Synchronisierungsdaten abfängt (durch eine Datenschutzverletzung oder durch Hacken Ihres Google-Kontos), kann er den Startwert finden, den Ihr Authenticator zum Generieren von Einmalpasswörtern verwendet. Von dort aus kann der Hacker Einmalpasswörter für jede Website generieren, die mit Ihrem Authenticator-Konto verknüpft ist.
Darüber hinaus weist Mysk darauf hin, dass die 2FA-QR-Codes von Google Authenticator Website- und Kontonamen enthalten. Google kann auf diese persönlichen Daten zugreifen, wenn Sie die Synchronisierungsfunktion von Authenticator verwenden, da die Funktion keine Ende-zu-Ende-Verschlüsselung verwendet. (Ich persönlich halte dies für einen strittigen Punkt. Google weiß bereits, welche Websites Sie verwenden. Durch einen Blick auf Ihre Authenticator-Daten wird es nichts Bahnbrechendes erfahren.)
(1/4) Wir konzentrieren uns immer auf die Sicherheit von @Google Benutzer, und die neuesten Google Authenticator-Updates bildeten keine Ausnahme. Unser Ziel ist es, Funktionen bereitzustellen, die Benutzer schützen, ABER nützlich und bequem sind.
— Christiaan Brand (@christiaanbrand) April 26 2023
Google hat seinerseits eine recht maßvolle Antwort auf diese Bedenken. Christliche Marke, der Produktmanager von Google Identity and Security, erklärt, dass der Zweck der Synchronisierungsfunktion von Authenticator darin besteht, zu verhindern, dass Benutzer von mit 2FA verknüpften Konten ausgeschlossen werden. Daher sollten diese Backups relativ einfach zugänglich sein.
Christiaan Brand sagt, dass die vollständige Ende-zu-Ende-Verschlüsselung „irgendwann“ kommen wird, vermutlich als optionale Einstellung für Benutzer, die Authenticator-Daten mit ihrem Google-Konto synchronisieren.
Aber so oder so scheint es, dass die Synchronisierungsfunktion von Authenticator ein Gleichgewicht zwischen Sicherheit und Komfort finden muss, eine Realität, die dazu führen könnte, dass 2FA viel weniger nützlich ist, als Sicherheitsforscher gehofft hatten. Dies gilt insbesondere im Unternehmensbereich, da Hacker, die ein Unternehmen angreifen wollen, dies in der Regel tun, indem sie dessen Mitarbeiter ins Visier nehmen.
Die gute Nachricht ist, dass die Synchronisierungsfunktion von Authenticator optional ist. Und wenn Ihnen der Zugriff auf 2FA-geschützte Konten entzogen wird, gibt es normalerweise eine Möglichkeit, wieder auf das Konto zuzugreifen (das ist nur nervig und in einer Arbeitsumgebung etwas umständlich).
