Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Google Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Anzeige

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Datenverkehr analysiert 

Kommentieren



Anzeige

  1. SAP - HR Key User (m/w)
    Porsche Holding Salzburg über NP Neumann & Partners, Salzburg (Österreich)
  2. Fachbereichsleiter Bildungsförderung (m/w)
    Datenzentrale Baden-Württemberg, Stuttgart
  3. Netzwerk- und IT-Spezialist (m/w)
    skytron® energy über dispenso HR Solutions + Services GmbH, Berlin-Adlershof
  4. Senior Product Owner eCommerce (m/w)
    über HRM CONSULTING GmbH, Ravensburg (Home-Office möglich)

 

Detailsuche


Blu-ray-Angebote
  1. Gravity - Diamond Luxe Edition [Blu-ray] [Limited Edition]
    12,99€
  2. NEU: Blu-ray-Boxsets zum Aktionspreis
    (u. a. Transformers Trilogie 13,97€, Der Pate 28,97€, Star Trek Collection 59,97€, Die nackte...
  3. The Dark Knight (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 31.03.

 

Weitere Angebote


Folgen Sie uns
       


  1. Nationales Roaming

    Telefónica legt heute 3G-Netze von O2 und E-Plus zusammen

  2. Tracking

    Klage gegen Googles Safari-Cookies hat Erfolg

  3. Orbit

    Bioware veröffentlicht quelloffenes Online-Framework

  4. Suchranking

    Googles neue Suchformel kann den Markt verändern

  5. Streaming

    Amazon-Streik auf Prime Instant Video ausgeweitet

  6. Netzwerk und Smartphone

    Huawei verdient 4,5 Milliarden US-Dollar

  7. Home Services

    Amazon vermittelt Handwerker

  8. E-Mail-App

    Gmail für Android mit gemeinsamer Inbox

  9. Windows 10

    Project Spartan kann ab sofort ausprobiert werden

  10. Phase One iXU 180

    80 Megapixel für die Drohnenfotografie



Haben wir etwas übersehen?

E-Mail an news@golem.de



Lenovo Thinkpad X1 Carbon im Test: Zurück zu den Wurzeln
Lenovo Thinkpad X1 Carbon im Test
Zurück zu den Wurzeln
  1. HyperX-Serie Kingstons Predator ist die vorerst schnellste Consumer-SSD
  2. Dell XPS 13 Ultrabook im Test Bis zur Unendlichkeit und noch viel weiter!
  3. Ultrabook Lenovo zeigt neues Thinkpad X1 Carbon

Test USB 3.1 mit Stecker Typ C: Die Alleskönner-Schnittstelle
Test USB 3.1 mit Stecker Typ C
Die Alleskönner-Schnittstelle
  1. MSI 970A SLI Krait Edition Erstes AMD-Mainboard mit USB 3.1 vorgestellt
  2. Mit Stecker Typ C Asrock stattet Intel-Mainboards mit USB-3.1-Karte aus
  3. USB 3.1 Richtig schnelle Mangelware

AMD Freesync im Test: Kostenlos im gleichen Takt
AMD Freesync im Test
Kostenlos im gleichen Takt
  1. eDP 1.4a Displayport-Standard für 8K-Bildschirme ist fertig
  2. Adaptive Sync für Notebooks Nvidia arbeitet an G-Sync ohne Zusatzmodul
  3. Displayport über USB-C Huckepack-Angriff auf HDMI

  1. Re: O2 Never ever again

    corpid | 11:41

  2. Re: Wer kauft bitte schön ein 850 Euro Handy mit...

    Trollversteher | 11:40

  3. Re: War das nicht schon so?

    taudorinon | 11:39

  4. Re: Microsoft Werbung

    koelnerdom | 11:38

  5. Re: Kundinnen und Kunden schaden

    Anonymouse | 11:37


  1. 11:01

  2. 10:49

  3. 09:54

  4. 09:30

  5. 09:05

  6. 08:32

  7. 07:36

  8. 07:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel