Anzeige
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Google Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Anzeige

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Datenverkehr analysiert 

eye home zur Startseite

Kommentieren



Anzeige

  1. Trainee Requirements Engineer (m/w) Cloud Produkte
    Haufe Gruppe, Freiburg im Breisgau
  2. Software-Entwickler (m/w) Java/C++
    IVU Traffic Technologies AG, Berlin, Aachen
  3. IT Subject Matter Expert (SME) (m/w) Contract Management System for the strategic project GET ONE
    Daimler AG, Stuttgart
  4. Senior Consultant SAP HCM (m/w)
    über Mentis International Human Resources GmbH, Nordbayern

Detailsuche



Anzeige
Spiele-Angebote
  1. Overwatch - Origins Edition [PC]
    54,99€
  2. VORBESTELLBAR: Gran Turismo Sport - Steel Book Edition [PlayStation 4]
    79,99€ (Vorbesteller-Preisgarantie)
  3. Battleborn stark reduziert
    ab 29,97€

Weitere Angebote


Folgen Sie uns
       


  1. Model S

    Teslas Autopilot verursacht Auffahrunfall

  2. Security

    Microsoft will Passwort 'Passwort' verbieten

  3. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  4. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  5. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  6. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  7. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!

  8. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  9. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab

  10. Beam

    Neues Modul für Raumstation klemmt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. Konkurrenz zu DJI Xiaomi mit Kampfpreis für Mi-Drohne
  2. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

  1. Re: lowcarb funktioniert auch .. (ganz ohne Sport)

    OhYeah | 13:39

  2. Re: Passwortdelay

    /usr/ | 13:38

  3. Pa$$w0rd

    jayjay | 13:38

  4. Warum wohl kann man private WoW Server machen!?

    Der schwarze... | 13:37

  5. Re: Oh Wow

    NobodZ | 13:37


  1. 13:47

  2. 13:00

  3. 12:30

  4. 11:51

  5. 11:22

  6. 11:09

  7. 09:01

  8. 17:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel