Wussten Sie, dass Google Authenticator bisher nicht sicher war? Es mag schwer zu akzeptieren sein, aber es ist wahr. Google plant nun, Google Authenticator um eine Ende-zu-Ende-Verschlüsselung zu erweitern. Vor einigen Tagen hatten Sicherheitsforscher das Unternehmen dafür kritisiert, dass es seinem Premium-Tool kein hohes Maß an Sicherheit hinzugefügt hatte.
Als Reaktion auf die Kritik führt das Unternehmen eine Kontosynchronisierungsfunktion für Google Authenticator ein. Google-Produktmanager Christiaan Bran schreibt auf seinem Twitter-Account, dass das Unternehmen plant, künftig E2EE anzubieten. Herr Brand schreibt:
„Im Moment glauben wir, dass unser aktuelles Produkt für die meisten Benutzer die richtige Balance findet und erhebliche Vorteile gegenüber der Offline-Nutzung bietet. Die Option, die Anwendung offline zu verwenden, bleibt jedoch eine Wahl für diejenigen, die es vorziehen, ihre eigene Backup-Strategie zu verwalten.“
Google Authenticator erhält End-to-End-Authentifizierung…
Es war schockierend zu erfahren, dass Google Authenticator keine zuverlässige Sicherheitsfunktion hat. Anfang dieser Woche hatte das Tool damit begonnen, seinen Benutzern eine Zwei-Faktor-Authentifizierungsoption anzuzeigen. Mit dieser Option können Benutzer Zwei-Faktor-Authentifizierungscodes mit ihren Google-Konten synchronisieren. Dadurch können sich Nutzer auf neuen Geräten einfacher bei ihren Google-Konten anmelden.
Neuigkeiten der Woche aus Gizchina
Das ist eine willkommene Änderung, kann aber einige Sicherheitsbedenken mit sich bringen. Mit dieser Änderung können Hacker auf alle verknüpften Google-Konten eines Benutzers zugreifen, indem sie in eines einbrechen. Eines ist sicher, Hacker und sogar Google werden die Informationen der Benutzer nicht sehen können, wenn diese Funktion E2EE-Unterstützung erhält. Mysk, ein Sicherheitsforscher, wies auf Twitter auf diese Risiken hin. Sie sagten:
“Wenn es jemals zu einer Datenschutzverletzung kommt oder jemand Zugriff auf Ihr Google-Konto erhält, werden alle Ihre 2FA-Geheimnisse kompromittiert.”
Laut den Forschern wird Google es sein ohne E2EE auf Benutzerinformationen zugreifen können, um personalisierte Werbung anzuzeigen. Sie rieten Benutzern, diese Funktion nicht zu verwenden, bis Google E2EE-Unterstützung hinzufügt. Im Gegenzug schlug Brand den Kritikern zurück und sagte:
„Während Google in allen unseren Produkten, einschließlich Google Authenticator, Daten während der Übertragung und im Ruhezustand verschlüsselt, geht die Anwendung von E2EE auf Kosten der Sperrung der Benutzer ihre eigenen Daten ohne Wiederherstellung.
Zum jetzigen Zeitpunkt sind wir nicht sicher, wann Google die E2EE-Funktion zu Google Authenticator hinzufügen wird. Benutzer haben jedoch die Möglichkeit, diese Funktion ohne E2EE zu aktivieren, oder sie können diese Funktion weiterhin offline verwenden.
Source/VIA:
