Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Google Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Anzeige

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Datenverkehr analysiert 

Kommentieren



Anzeige

  1. Spezialist Business Relationship Management (m/w) - IT-Fertigungssysteme und -programme
    Ford-Werke GmbH, Köln
  2. SAP UI5 Frontend-Entwickler (m/w)
    BRUNATA Wärmemesser GmbH & Co. KG, München
  3. Systementwickler-/in für autonome Fahrzeuge
    Daimler AG, Sindelfingen
  4. Solution Architect (m/w) für IT - Connected Vehicle
    Daimler AG, Stuttgart

Detailsuche


Hardware-Angebote
  1. DANK IOS-APP ANDROID WEAR JETZT AUCH IPHONE-KOMPATIBEL: LG Watch Urbane Smartwatch
    259,50€
  2. NEU: MSI-Cashback-Produkte bei Alternate
    Bis zu 60 € Cashback von MSI (2 Produkte müssen gekauft werden - Mainboard + Grafikkarte)
  3. Sandisk 16-GB-USB-3.0-Stick
    8,99€

Weitere Angebote


Folgen Sie uns
       


  1. RSA-CRT

    RSA-Angriff aus dem Jahr 1996 wiederentdeckt

  2. Runtastic Moment ausprobiert

    Die Fitness-Tracker für Uhrenliebhaber

  3. Media Broadcast

    DVB-T2-Endgeräte kommen schneller als gedacht

  4. Telekom Puls

    Festnetzkunden bekommen 8-Zoll-Tablet für 50 Euro

  5. Magnetschwebetechnik

    Hoverboard-Technik soll Satelliten bewegen

  6. IMHO

    Roboter plündern nicht

  7. Office Malware

    AGB gegen Spammer

  8. Magenta Mobil Start

    Deutsche Telekom startet mit speziellem Kindertarif

  9. Acer Revo Build ausprobiert

    Ein Mini-PC wie ein Duplo-Turm

  10. ZTE Nubia Z9 im Hands on

    Das Smartphone mit dem Rubbelrand



Haben wir etwas übersehen?

E-Mail an news@golem.de



Ideapad Miix 700 im Hands On: Lenovo baut ein Surface
Ideapad Miix 700 im Hands On
Lenovo baut ein Surface
  1. Smartphones, Tablets und eine Smartwatch Asus' Zen-Armada
  2. Smartwatches Motorola stellt neue Moto 360 und Moto 360 Sport vor
  3. Notebooks mit neuem Intel-Prozessor Mit Skylake kommt meist USB-Typ-C

Primove in der Hauptstadt: Berlin hat wieder eine E-Bus-Linie
Primove in der Hauptstadt
Berlin hat wieder eine E-Bus-Linie
  1. Berliner Verkehrsbetriebe Update legt elektronischen Echtzeit-Fahrplan tagelang lahm
  2. Bombardier Primove Eine E-Busfahrt, die ist lustig
  3. Bombardier Primove Erste Tests mit Induktionsbussen in Berlin

Digiskopie ausprobiert: Ich schau dir in die Augen, Wildes!
Digiskopie ausprobiert
Ich schau dir in die Augen, Wildes!
  1. Modulo Neue Kamera belichtet nie über
  2. Obstruction-Free Photography Algorithmus entfernt störende Elemente aus Fotos
  3. Flir One Hochauflösende Wärmebildkamera für iOS und Android

  1. Re: In wie weit das schief gehen kann...

    vlad_tepesch | 14:21

  2. Re: Eigentlich bin ich Nvidia Fan...

    Clarissa1986 | 14:21

  3. Re: Vorteile zum Retina macbook?

    wori | 14:20

  4. Re: Wo ist euer Problem...

    vlad_tepesch | 14:20

  5. Re: Typische Macken von Razer

    lestard | 14:19


  1. 14:13

  2. 14:00

  3. 13:46

  4. 12:59

  5. 12:37

  6. 12:12

  7. 12:10

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel