Die kostenlose Authenticator-App von Google ist seit langem eine der besten Möglichkeiten, um die zeitgesteuerten Codes zu speichern, die für die Zwei-Faktor-Authentifizierungssysteme (2FA) benötigt werden, die von vielen Online-Diensten verwendet werden. Es litt jedoch immer unter einer ärgerlichen Einschränkung: Diese Codes wurden nur auf dem von Ihnen verwendeten Gerät gespeichert.
Während es schwierig ist, gegen die Sicherheit eines solchen Ansatzes zu argumentieren, machte es ihn zu einem Problem für Leute, die von mehreren Geräten wie einem iPhone und iPad auf ihre Zwei-Faktor-Codes zugreifen wollten. Es war auch ein Ärgernis beim Upgrade auf ein neueres iPhone, da die Codes normalerweise nicht aus einem Backup auf einem neuen Telefon wiederhergestellt werden, da sie in der App gespeichert sind.
Natürlich war es ein Hauch frischer Luft, als Google-Produktmanager Christiaan Brand teilte diese Woche die Neuigkeit mit, dass Google Authenticator einmalige Codes mit Ihrem Google-Konto sichern und synchronisieren kann. Das bekommt ein wohlverdientes „endlich“, wenn man bedenkt, dass die App 2010 als eine der ersten 2FA-Apps auf dem Markt veröffentlicht wurde.
Diese Aufregung war jedoch nur von kurzer Dauer, nachdem Sicherheitsforscher einen genaueren Blick auf die Aktivitäten von Google geworfen und festgestellt hatten, dass es an wichtigen Schutzmechanismen für die Speicherung so sensibler Daten wie den 2FA-Codes von Personen mangelt.
In einem langen Tweet (ja, Twitter Lässt jetzt zahlende Mitglieder Aufsätze schreiben), die Entwickler und Sicherheitsanalysten unter Mysk wies auf die fehlende Ende-zu-Ende-Verschlüsselung (E2E) im neuen System hin und riet Nutzern von Google Authenticator, diese nicht zu aktivieren.
Google hat gerade seine 2FA Authenticator-App aktualisiert und eine dringend benötigte Funktion hinzugefügt: die Möglichkeit, Geheimnisse zwischen Geräten zu synchronisieren.
TL;DR: Drehen Sie es nicht on.
Mit dem neuen Update können sich Benutzer mit ihrem Google-Konto anmelden und 2FA-Secrets auf ihren iOS-und Android-Geräten synchronisieren.… pic.twitter.com/a8hhelupZR— Mysk ???? (@mysk_co) 26. April 2023
Wir haben den Netzwerkverkehr analysiert, wenn die App die Geheimnisse synchronisiert, und es stellt sich heraus, dass der Datenverkehr nicht Ende-zu-Ende verschlüsselt ist. Wie in den Screenshots gezeigt, bedeutet dies, dass Google die Geheimnisse sehen kann, wahrscheinlich sogar, während sie auf ihren Servern gespeichert sind. Es gibt keine Option, eine Passphrase hinzuzufügen, um die Geheimnisse zu schützen, um sie nur dem Benutzer zugänglich zu machen. Mysk
Obwohl Sie vielleicht denken, dass es nicht schadet, 2FA-Codes offenzulegen, die sich alle 30 Sekunden ändern enthalten die unverschlüsselt in Ihrem Google-Konto gespeicherten Google Authenticator-Informationen auch die geheimen Schlüssel oder „Seeds“, die zum Generieren dieser Codes verwendet werden. Dies bedeutet, dass jeder mit Zugriff auf diese Informationen dieselben 2FA-Codes auf einem anderen Gerät generieren könnte, was zu einer potenziellen Gefährdung Ihrer Sicherheit führen könnte.
Natürlich müssten sie auch Ihr Passwort kennen, aber der ganze Sinn von 2FA besteht darin, Ihre Konten für den Fall zu sichern, dass Ihr Passwort abgefangen wird oder durch eine Datenpanne preisgegeben wird.
Auf der anderen Seite sind die 2FA-Geheimnisse nicht in Daten enthalten, die aus Ihrem Google-Konto exportiert werden, daher sind sie in dieser Hinsicht sicher, aber es besteht immer noch das Risiko, dass sie auf andere Weise offengelegt werden, wenn a Hacker Zugriff auf Ihr Google-Konto erhalten sollten.
Darüber hinaus gibt es, wie das Team von Mysk feststellt, auch einen Datenschutzaspekt: „Da Google all diese Daten sehen kann, weiß es, welche Online-Dienste Sie verwenden, und könnte diese Informationen möglicherweise für personalisierte Werbung verwenden.“ Die Data-Mining-Praktiken von Google sind bekannt, daher kann man nicht davon ausgehen, dass Google diese Daten nicht zur Profilerstellung seiner Nutzer verwenden würde.
Glücklicherweise ist die neue Synchronisierungsfunktion vollständig Opt-in; Sie können die App weiterhin wie gewohnt verwenden und Ihre Geheimnisse nur auf Ihrem Gerät speichern. Nach dem Bericht über Sicherheitsbedenken hat Googles Marke Christiaan erklärte, warum das Unternehmen auf die Ende-zu-Ende-Verschlüsselung verzichtete, mit dem Hinweis, dass dies „auf Kosten der Möglichkeit geht, Benutzern zu ermöglichen, ohne Wiederherstellung aus ihren eigenen Daten ausgesperrt zu werden“. Er fügt hinzu, dass E2E für Google Authenticator „auf der ganzen Linie“ kommen wird, an welchem Punkt Sie es vermutlich sicher verwenden können. Es ist am besten, dies zu vermeiden, bis dies geschieht, oder eine alternative App für die Handhabung Ihrer 2FA-Codes in Betracht zu ziehen.
Lassen Sie Google Authenticator hinter sich und verwenden Sie den iCloud-Schlüsselbund
Da Google natürlich seine eigene Google Authenticator-App vorantreibt, sind viele Gmail-Nutzer zu der Überzeugung gelangt, dass dies die App ist, die sie für den Zugriff verwenden müssen ihr Google-Konto und andere Dienste, die 2FA verwenden.
Allerdings könnte nichts weiter von der Wahrheit entfernt sein. Sicher, Google Authenticator handhabt das gut und es gibt es schon so lange, dass es zu einem De-facto-Standard für 2FA-Anmeldeinformationen geworden ist. Es ist jedoch bei weitem nicht das einzige Spiel in der Stadt.
Tatsächlich können Sie, wenn Sie iOS 15 und/oder macOS Monterey oder höher verwenden, Google Authenticator vollständig aufgeben und zu iCloud Keychain wechseln, das seit seiner Einführung eine robuste End-to-End-Verschlüsselung enthält in iOS 7 und OS X Mavericks im Jahr 2013.
Während der iCloud-Schlüsselbund Passwörter seit Jahren sicher speichern kann, kam die Fähigkeit zur Handhabung von Zwei-Faktor-Authentifizierungscodes erst in iOS 15 und den anderen begleitenden iPadOS und macOS-Versionen. Das macht es jetzt jedoch zu einem vollständigen Ersatz für Google Authenticator, zumal es bereits alle diese Informationen auf allen iPhones, iPads und Macs synchronisiert, die in Ihrem iCloud-Konto angemeldet sind, und diese Codes in Safari automatisch für Sie ausfüllen kann. Apple bietet dafür auch eine Windows-App an.
Passwortmanager von Drittanbietern wie 1Password unterstützen ebenfalls seit langem das Speichern von 2FA-Codes mit denselben Autofill-Funktionen diese.
Es gibt jedoch ein stichhaltiges Argument, dass das Speichern Ihrer Passwörter und 2FA-Codes in derselben App alle Ihre Eier in einem einzigen Korb hält. Eine Sicherheitsverletzung dieser App würde Hackern alle Teile geben, die sie brauchen, um Ihre Konten zu kompromittieren. Wenn Sie das betrifft, gibt es eine Vielzahl von eigenständigen 2FA-Apps wie Authy, OTP-Auth und TOTP, die die Arbeit erledigen. Einige bieten sogar Apple Watch-Apps an, um Ihre 2FA-Codes schnell von Ihrem Handgelenk zu erhalten. Das ist etwas, was Google Authenticator nicht für Sie erledigt.
Denken Sie nur daran, dass Sie die Sicherheit nicht wirklich verbessern, indem Sie eine separate 2FA-App verwenden, wenn sie auf demselben iPhone wie Ihr Passwort-Manager installiert ist, es sei denn, Sie schützen sie mit einem anderen Passwort und sie unterstützt die lokale Verschlüsselung von Ihre OTP-Daten. Andernfalls kann jeder, der Ihr iPhone in die Hände bekommt und es entsperren kann, Ihre 2FA-Codes noch einfacher aus einer separaten App fischen, als er in einen sichereren Passwort-Manager wie 1Password gelangen kann.
