Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsGoogle Authenticator: Passwort-Synchronisation überträgt Daten im Klartext
Google hat den Authenticator, einen Generator für Einmalpasswörter, erst vor kurzem mit einer von vielen Nutzern gewünschten Funktion zur Synchronisation ausgestattet. Nun will ein Entwickler aber herausgefunden haben, dass die jeweiligen Daten nicht mit Ende-zu-Ende-Verschlüsselung übertragen werden.
Oh Mann was für Anfänger arbeiten denn bei Google?
Genau deswegen vertraue ich keinem Onlinedienst wenn es um Passwörter/MFA geht (im Sinne von Speicherung/Backup)
Oha nach dem Update der App wurde ich gefragt ob ich meine Sachen mit einem Google-Konto synchronisieren möchte. Direkt dankend abgelehnt - gut gemacht! Brain.exe läuft mit aktuellen Pattern xD
Typo?: "Google hat den Authenticator, einen Generator für Einmalpasswörter, erst vor kurzem mit einer von vielen Nutzern gewünschten Funktion zur Synchronisation ausgestatte."
Also das ist einfach nicht korrekt, die Daten werden verschlüsselt übertragen und auch auf einem verschlüsselten Medium gespeichert. Aber es ist eben nicht E2E verschüsselt - das bedeutet, Google kann eure Seeds lesen und ein Angreifer der Google hackt, könnte die Seeds auch abgreifen und hätte dann den 2. Faktor.
Wenn die Seeds E2E verschlüsselt wären, dann würde es einen unique Schlüssel geben und nur euer Account kann die Daten entschlüsseln. Google hätte dann (theoretisch) keinen Zugriff mehr auf die Seeds.
Was aber wirklich nervig ist, man kann die Option nicht deaktivieren und die Seeds löschen lassen. D.h. man muss wirklich alle Dienste neu verbinden. Wobei, selbst wenn Google behauptet sie würden die Seeds löschen, würde ich ihnen das nicht glauben. Davon abgesehen, wenn sie wollen, hätten sie schon längst die Seeds in der App einfach abgreifen können.
Ich hatte dem google Authenticator schon lange den Rücken gekehrt. Die fehlende Synchonisation/Backup-Funktion war ein Ausschlusskriterium für mich. Offenbar nun trotzt der Funktion eine gute Wahl. Aktuell nutz ich Authy.
Klar nicht schön, aber wie reell ist das ? das genau eure Daten jetzt abgefangen wurden und warum gleich alle 2fa neu aufsetzen ? Einfach wieder deaktivieren bzw deinstallieren sollte doch dicke reichen oder steh ich auf dem Schlauch ?
edit: bzw. als ob Google die nicht ohnehin schon speichern würde
Ich würde sowieso nie auf die Idee kommen, Passwörter oder 2FA-Secrets in einem proprietären Stück Software zu speichern. Egal ob jetzt der Google Authenticator, Authy, das Microsoft Ding oder sonstwas.
"Bei der Synchronisierung wurde der sogenannte Seed an die Server von Google übertragen, mittels einer Man-in-the-Middle-Aktion konnte dieses Base32-kodiert im Datenstrom aufgespürt werden."
Also wenn du es in der Praxis schaffst, eine MitM Attacke gegenüber Google Diensten zu fahren, hast du ganz andere Probleme.
Der Transportweg ist verschlüsselt, mit deiner Argumentation wird auch das Passwort von deinem Onlinebanking "unverschlüsselt" übertragen. So gesehen wird alles unverschlüsselt übertragen was du nicht explizit selbst noch einmal vor dem Transport verschlüsselt hast. Dann dürften wir viele Dienste nicht mehr nutzen wenn wir dem Anbieter nicht vertrauen (was durchaus angebracht ist teilweise).
Also ganz klar, bei Passwörtern hört der Spaß auf, das Risiko ist aktuell aber trotzdem gering.
Weiß jemand wie das beim MS Authenticator ist? Der speichert die Seeds ja ebenfalls (automatisch? ungefragt?) in der Cloud.
Für die meisten Dinge funktioniert der in Bitwarden integrierte Authenticator ganz gut.
Nur für Bitwarden selbst verwende ich noch eine Alternative, aktuell den FortiToken Mobile
