Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Google Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Anzeige

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Datenverkehr analysiert 

Kommentieren



Anzeige

  1. Softwaretester - Engineering Software (m/w)
    Festo AG & Co. KG, Esslingen bei Stuttgart
  2. Leiter (m/w) Elektronik- / Embedded Software-Entwicklung
    invenio Group AG, Rüsselsheim, Mannheim, Karlsruhe oder Stuttgart
  3. Softwareentwickler für Embedded Systeme (m/w)
    MBtech Group GmbH & Co. KGaA, Neutraubling bei Regensburg
  4. Projektleiter (m/w) für IT-Transformationsprogramm in der Betriebsorganisation
    Allianz Deutschland AG, Unterföhring

 

Detailsuche


Hardware-Angebote
  1. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  2. PCGH-PCs mit GTX 970/980 inkl. Batman Arkham Knight + The Witcher 3
  3. Canon Cashback-Aktion (bitte auf die Cashback-Preise klicken!)
    bis zu 200,00€ zurück erhalten

 

Weitere Angebote


Folgen Sie uns
       


  1. Catalyst 15.5 Beta

    Neuer Radeon-Grafiktreiber beschleunigt Project Cars stark

  2. Akku-Uhrenarmband

    Apple Watch soll über verdeckten Port schneller laden

  3. Sprachassistent

    Google Now wird schlauer

  4. Google

    Fotos-App mit unbegrenztem Cloud-Speicher

  5. Project Brillo

    Google vertieft Bemühungen im Smart-Home-Bereich

  6. Umfrage

    IT-Nachwuchs erwartet Einstiegsgehalt von über 46.000 Euro

  7. Android M

    Google mit neuem System für App-Berechtigungen

  8. Windows 7

    Drahtzieher von PC Fritz erhält über sechs Jahre Haft

  9. NC Soft

    Wildstar wird Free-to-Play

  10. SMS

    O2 warnt Handy-Kunden vor automatischem Internetzugriff



Haben wir etwas übersehen?

E-Mail an news@golem.de



Surface 3 im Test: Tolles teures Teil
Surface 3 im Test
Tolles teures Teil
  1. Surface Pro 3 Microsoft erhöht Preise um bis zu 250 Euro
  2. Surface 3 im Hands on Das Surface ohne RT

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

BND-Affäre: Keine Frage der Ehre
BND-Affäre
Keine Frage der Ehre
  1. NSA-Affäre Merkel wohl über Probleme mit No-Spy-Abkommen informiert
  2. Freedom Act US-Senat lehnt Gesetz zur NSA-Reform ab
  3. BND-Chef Schindler "Wir sind abhängig von der NSA"

  1. Re: Das Ding taugt nicht mal für Termine

    Tzven | 06:06

  2. Witcher 3 Verbesserungen

    Algo | 06:00

  3. Re: Saläre Schweiz: Median = 85k / Jahr direkt...

    DerVorhangZuUnd... | 05:49

  4. Re: Bitte nicht wie bei iOS...(SuperSU for...

    zettifour | 05:36

  5. Re: Ist auch eine Korruptions-Simulation enthalten?

    Atzeonacid | 05:19


  1. 03:08

  2. 23:20

  3. 21:09

  4. 20:58

  5. 20:12

  6. 20:06

  7. 19:57

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel