Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Google Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Anzeige

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Datenverkehr analysiert 

Kommentieren



Anzeige

  1. Inbetriebnehmer / Programmierer (m/w)
    Luft- und Thermotechnik Bayreuth GmbH, Goldkronach
  2. Projekt Office Mitarbeiter (m/w)
    ADAC e.V., München
  3. Mobile Developer (m/w)
    Mobile Software AG, München
  4. SW-Entwickler (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim

 

Detailsuche


Top-Angebote
  1. TIPP: Amazon Last-Minute-Angebote Tag 9: Games, Blu-ray, Technik u. v. m.
  2. TOP-PREIS: Dead Space 3 Download
    2,99€
  3. NEU: Gewinnspiel zum 20. Geburtstag der PlayStation
    (Teilnahme über Kauf eines PSN-Code im Wert von über 30 EUR)

 

Weitere Angebote


Folgen Sie uns
       


  1. Medienbericht

    Axel Springer will T-Online.de übernehmen

  2. Directory Authorities

    Tor-Projekt befürchtet baldigen Angriff auf seine Systeme

  3. Zeitserver

    Sicherheitslücken in NTP

  4. Core M-5Y10 im Test

    Kleiner Core M fast wie ein Großer

  5. Guardians of Peace

    Sony-Hack wird zum Politikum

  6. Urheberrecht

    Flickr Wall Art nutzt keine CC-Bilder mehr

  7. Rohrpostzug

    Hyperloop entsteht nach Feierabend

  8. IT-Bereich

    China will ausländische Technik durch eigene ersetzen

  9. Chaton

    Samsung schaltet seinen Messenger ab

  10. Lehrreiche Geschenke

    Stille Nacht, Bastelnacht



Haben wir etwas übersehen?

E-Mail an news@golem.de



Jahresrückblick: Was 2014 bei Golem.de los war
Jahresrückblick
Was 2014 bei Golem.de los war
  1. In eigener Sache Golem.de sucht (Junior) Concepter/-in für Onlinewerbung
  2. In eigener Sache Golem.de offline und unplugged
  3. In eigener Sache Golem.de sucht Videoredakteur/-in

E-Mail-Ausfall in München: Und wieder wars nicht Limux
E-Mail-Ausfall in München
Und wieder wars nicht Limux
  1. Öffentliche Verwaltung Massiver E-Mail-Ausfall bei der Stadt München
  2. Limux Kopf einziehen und über Verschwörung tuscheln
  3. Limux Windows-Rückkehr würde München Millionen kosten

Nexus 6 gegen Moto X: Das Nexus ist tot
Nexus 6 gegen Moto X
Das Nexus ist tot
  1. Teardown Nexus 6 kommt mit wenig Kleber aus
  2. Google Nexus 6 kommt doch erst viel später
  3. Google Nexus 6 erscheint nächste Woche - doch nicht

    •  / 
    Zum Artikel