Cassiuzz
Aktives Mitglied
Thread Starter
- Dabei seit
- 28.02.2023
- Beiträge
- 1.015
- Reaktionspunkte
- 907
Google Authenticator now supports Google Account synchronization
"We are excited to announce an update to Google Authenticator, across both iOS and Android, which adds the ability to safely backup your one-time codes (also known as one-time passwords or OTPs) to your Google Account."
https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
Der Transport der Seeds wird "nicht" E2E übertragen
"Bei dem synchronisierten Seed handelt es sich um das Geheimnis, mit dem ein Authenticator den aktuellen Code für eine Zweifaktor-gesicherte Anmeldung berechnet. Mit diesem können Angreifer also die Zweifaktor-Authentifizierung aushebeln und auf die damit geschützten Konten zugreifen, sofern sie sich zuvor bereits das Passwort beschafft haben. Ein Backup muss daher so gesichert sein, dass nur die eigentlichen Nutzer darauf Zugriff erhalten können. Dass Google das durchaus kann, beweist die zuvor erwähnte E2E-Verschlüsselung von Passwörtern und Passkeys.
Von der Synchronisation der Geheimnisse in Google Authenticator ist derzeit daher dringend abzuraten, resümiert Mysk auf Twitter. heise Security rät im aktuellen Zustand sogar ganz von einer Nutzung des Authenticators ab, da man einen ungewollten Abfluss der Seeds etwa durch versehentliches Einschalten der Synchronisierung nicht ausschließen kann."
https://www.heise.de/news/Google-Au...up-der-geheimen-Saat-im-Klartext-8979932.html
https://twitter.com/mysk_co/status/1651021165727477763
"We are excited to announce an update to Google Authenticator, across both iOS and Android, which adds the ability to safely backup your one-time codes (also known as one-time passwords or OTPs) to your Google Account."
https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
Der Transport der Seeds wird "nicht" E2E übertragen
"Bei dem synchronisierten Seed handelt es sich um das Geheimnis, mit dem ein Authenticator den aktuellen Code für eine Zweifaktor-gesicherte Anmeldung berechnet. Mit diesem können Angreifer also die Zweifaktor-Authentifizierung aushebeln und auf die damit geschützten Konten zugreifen, sofern sie sich zuvor bereits das Passwort beschafft haben. Ein Backup muss daher so gesichert sein, dass nur die eigentlichen Nutzer darauf Zugriff erhalten können. Dass Google das durchaus kann, beweist die zuvor erwähnte E2E-Verschlüsselung von Passwörtern und Passkeys.
Von der Synchronisation der Geheimnisse in Google Authenticator ist derzeit daher dringend abzuraten, resümiert Mysk auf Twitter. heise Security rät im aktuellen Zustand sogar ganz von einer Nutzung des Authenticators ab, da man einen ungewollten Abfluss der Seeds etwa durch versehentliches Einschalten der Synchronisierung nicht ausschließen kann."
https://www.heise.de/news/Google-Au...up-der-geheimen-Saat-im-Klartext-8979932.html
https://twitter.com/mysk_co/status/1651021165727477763
Zuletzt bearbeitet:
