Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Google Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Anzeige

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Datenverkehr analysiert 

Kommentieren



Anzeige

  1. Softwareentwickler (.NET) (m/w)
    dawin GmbH, Troisdorf
  2. EDI-Spezialist (m/w)
    KNV Logistik GmbH, Erfurt
  3. PDM Consultant (m/w)
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Elektronikerin / Elektroniker für die Qualitätssicherung
    VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden

 

Detailsuche


Top-Angebote
  1. TIPP: Speedlink Ledos Core Gaming-Maus gratis bei Kauf eines ausgewählten Speedlink-Headsets
    (z. B. Speedlink Medusa XE + Ledos Core zusammen für nur 39,99€ anstatt 61,68€)
  2. VORBESTELLBAR: Mario Party 10 + amibo (Wii U)
    45,99€ (Vorbesteller-Preisgarantie) - Release 20.03.
  3. NUR HEUTE: Saturn Super Sunday
    (alle Angebote versandkostenfrei, u. a. Samsung Galaxy Note 4 599,00€)

 

Weitere Angebote


Folgen Sie uns
       


  1. Galaxy S6 und Edge-Variante

    Samsungs neue Top-Smartphones im Glaskleid

  2. Smart Home

    D-Link will Z-Wave-Funk in seine Router integrieren

  3. Vive

    Valves VR-Brille kommt von HTC

  4. Huawei Watch im Hands On

    Kompakte Smartwatch mit rundem Saphirglas

  5. One M9 im Hands on

    HTCs Lollipop-Smartphone hat ein Zusatzknöpfchen

  6. Watch Urbane LTE im Hands On

    LGs Edelstahl-Uhr für geduldige Golfer

  7. Qi Wireless Charging

    Ikea-Möbel laden schnurlos Akkus

  8. Linux-Desktops

    Xfce 4.12 ist endlich fertig

  9. Fahrerdienst

    Uber verschweigt monatelang einen Server-Einbruch

  10. Linux 4.0

    Streit um das Live-Patching entbrennt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Honor Holly im Test: 130 Euro - wer bietet weniger?
Honor Holly im Test
130 Euro - wer bietet weniger?
  1. Honor Preis des Holly sinkt auf 110 Euro
  2. Honor Holly Je mehr Interessenten, desto günstiger das Smartphone
  3. Honor T1 8-Zoll-Tablet im iPad-Mini-Format für 130 Euro

SLED 12 im Test: Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
SLED 12 im Test
Die Sinnhaftigkeit eines kostenpflichtigen Linux-Desktops
  1. Linux-Jahresrückblick 2014 Umbauarbeiten, Gezanke und Container

Test Samsung NX1: Profikamera oder nicht - Samsung muss noch viel lernen
Test Samsung NX1
Profikamera oder nicht - Samsung muss noch viel lernen
  1. Freihändige 40-Megapixel-Fotos Olympus verändert Kameramarkt mit Zittersensor
  2. EOS M3 Neue Systemkamera mit deutlich schnellerem Autofokus
  3. Micro-Four-Thirds-Sensor Olympus Air ist eine Smartphonekamera zum Anklemmen

  1. Re: Wird sich wohl gut verkaufen :/

    hhf1 | 21:50

  2. Re: Oh weh, das is aber ein "Testbericht"

    kawaroar | 21:48

  3. Re: Ein Gigant begeht Selbstmord

    Tzven | 21:46

  4. Re: Alternative? Wer hätte da eine Empfehlung

    KingFisherMacD | 21:45

  5. LG G3

    KingFisherMacD | 21:45


  1. 19:36

  2. 17:29

  3. 17:20

  4. 17:16

  5. 17:00

  6. 15:39

  7. 13:23

  8. 13:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel