Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Google Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Anzeige

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Datenverkehr analysiert 

Kommentieren



Anzeige

  1. IT Services Manager (m/w)
    Sanofi Pasteur MSD, Berlin
  2. IT Consultant (m/w)
    Olympus Europa SE & Co. KG, Hamburg
  3. Administratoren / -innen IT-Netze, IT-Sicherheit
    Bundesstelle für Informationstechnik (BIT), Wiesbaden
  4. AMG User Interface Design (m/w)
    Daimler AG, Affalterbach

 

Detailsuche


Top-Angebote
  1. NEU: Gravity - Diamond Luxe Edition [Blu-ray] [Limited Edition]
    10,50€
  2. TIPP: Alien - Jubiläums Collection - 35 Jahre [Blu-ray]
    20,99€
  3. TIPP: FSK-18-Filme reduziert
    (u. a. Scarface 8,99€, Band of Brothers 17,97€, Robocop 1-3 Collection 20,65€, Dawn of the...

 

Weitere Angebote


Folgen Sie uns
       


  1. Windows 10 für Smartphones

    Office-Universal-App kommt noch im April

  2. Keine Science-Fiction

    Mit dem Laser gegen Weltraumschrott

  3. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  4. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  5. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  6. Windkraftwerke

    Kletterroboter überprüft Windräder

  7. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt

  8. ÖBB

    WLAN im Spaceshuttle einfacher zu machen als im Zug

  9. Google

    Chrome unterstützt Windows XP bis Ende 2015

  10. Kernel

    GNU Hurd 0.6 erschienen



Haben wir etwas übersehen?

E-Mail an news@golem.de



P8 im Hands On: Huawei setzt auf die Kamera
P8 im Hands On
Huawei setzt auf die Kamera
  1. Huawei P8 Max Riesen-Smartphone mit 6,8-Zoll-Display kostet 550 Euro
  2. Netzwerk und Smartphone Huawei verdient 4,5 Milliarden US-Dollar
  3. Neue Kirin-Prozessoren Nächstes Google Nexus soll von Huawei kommen

Vorratsdatenspeicherung: Das erste Placebo mit Nebenwirkungen
Vorratsdatenspeicherung
Das erste Placebo mit Nebenwirkungen
  1. Überwachung Telekom begrüßt Speicherdauer der Vorratsdatenspeicherung
  2. Vorratsdatenspeicherung Regierung will Verkehrsdaten zehn Wochen lang speichern
  3. Asyl für Snowden Bundesregierung bestreitet Drohungen der USA

Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

  1. Re: In Deutschland: ICE mit 80kmh.

    Stefan1200 | 15:03

  2. Re: verdampfendes Metall bzw plasma?

    HiddenX | 15:03

  3. 2 "low cost" Ansätze

    pk_erchner | 15:02

  4. Re: Transrapid

    Muhaha | 15:02

  5. ist office wirklich die App, die jeder braucht ?

    pk_erchner | 14:55


  1. 14:40

  2. 13:28

  3. 09:01

  4. 20:53

  5. 19:22

  6. 18:52

  7. 16:49

  8. 16:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel