2FA-Secrets offengelegt: Google Authenticator bläst geheime Daten in den Äther

Kommentare
1

Mit 2FA auf Nummer sicher gehen, oder?
Mit 2FA auf Nummer sicher gehen, oder?2560×1548 231 KB

Kommentare zu folgendem Beitrag: 2FA-Secrets offengelegt: Google Authenticator bläst geheime Daten in den Äther

2

OTP sind auch nichts anderes als (zeitlich befristete) Passwörter, den „Sinn“ diese zu Synchronisieren statt sie einfach lokal und sicher auf dem jeweiligen Endgerät mit minimalen Aufwand zu generieren jetzt mal aussen vor, die man nicht a) im (base64 encoded) Klartext und b) unverschlüsselt in Internet bläst…

Bei Google scheint das Problem auch zunehmend zwischen Monitor und Stuhl im Open Office zu sitzen.

Als nächste dann Cloud 2FA, Google generiert deinen Bank OTP mit deinem Private Key auf seinen Servern und schickt ihn dir per Mail :crazy_face:

Kauft euch einen FIDO (Yubikey, Solokey, was auch immer) den könnt ihr zwar (aus guten Grund) nicht Synchronisieren aber in eure Hosentasche stecken.

3

Naja, wenn man das Gerät wechseln möchte ist es schon sinnvoll nicht alle Websites darüber informieren zu müssen… Die Implementierung hier lässt nur echt zu Wünschen übrig. Ähnlich wie Googles „Passwort-Manager“.

4

Dir ist aber schon klar, dass nicht die generierten Passwörter synchronisiert werden sollen, sondern die Faktoren, die zur Generierung notwendig sind, oder?

Die Möglichkeit zu haben die 1Time-Passwörter auf mehrere Seiten generieren zu können macht schon Sinn. Wichtigster ist sicherlich einen (sofort verfügbaren) Backup Passwortgenerator zu haben.

5

Ich bin gerade ziemlich froh, dass ich mich, obwohl ich sonst ja gern (und oft) Google-Dienste nutze, schon vor Jahren gegen den Google-Authenticator entschieden habe. :slight_smile:

Aber jetzt wird mir gerade wieder bewusst, dass meine damals gewählte App andOTP ja gar nicht mehr gepflegt wird :fearful:

Wird wohl doch langsam Zeit nach einer Alternative zu suchen!

Gibt’s eine OSS Empfehlung für Android mit integriertem (lokal verschlüsselten) Backup auf einen Cloud-Speicher meiner Wahl?

6

Deswegen ein Hardware Key, mit dem kannst du auf jedem Gerät Tokens generieren, muss nicht mal dein eigenes sein :wink:

Das wäre ja „nur“ halb so Schlimm, da die Dinger nach 30/60 Sekunden eh verfallen, aber Google Synchronisiert die Seeds, womit sie dann munter Tokens generieren können, denn ich bin mir ziemlich sicher wenn Google die Dinger ohne E2EE Synchronisiert werden die bei Google auch unverschlüsselt gespeichert…

Wie gesagt, als nächstes dann Google Cloud 2FA, TOTPs haben sie ja schon :grin: