• IT-Karriere:
  • Services:

Google: Passwörter konnten leicht missbraucht werden

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Artikel veröffentlicht am ,
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich.
Mit anwendungsspezifischen Passwörtern war ein einfacher Zugang zu einem Google-Konto möglich. (Bild: Google/Screenshot: Golem.de)

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

  • Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.
Für den Zugang zu Google können auch anwendungsspezifische Passwörter per URL übergeben werden.

Zweifach abgesichert

Inhalt:
  1. Google: Passwörter konnten leicht missbraucht werden
  2. Datenverkehr analysiert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Datenverkehr analysiert 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (u. a. Unravel für 9,99€, Battlefield 1 für 7,99€, Anthem für 8,99€)
  2. 11,99€
  3. 17,99€

Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /