- Eine Analyse der Cloud-Synchronisierungsfunktion von Google Authenticator zeigt, dass sie nicht Ende-zu-Ende-verschlüsselt ist.
- Alle synchronisierten Zwei-Faktor-Authentifizierungscodes können unverschlüsselt auf Google-Servern gespeichert werden und dadurch Sicherheitsrisiken ausgesetzt sein.
- In dem Moment, in dem ein Google-Konto kompromittiert wird, werden auch alle Zwei-Faktor-Authentifizierungscodes offengelegt.
- Google kann alle Zwei-Faktor-Authentifizierungscodes einsehen.
- Es wird empfohlen, die Cloud-Synchronisierungsfunktion vorerst nicht zu verwenden.
- Der ähnliche Dienst Authy verschlüsselt die Zwei-Faktor-Authentifizierungscodes, bevor sie an den Server gesendet werden.
4 Kommentare
Dann sollte man wohl einfach Authy verwenden … Google macht wieder Google-Dinge.
Ich hatte überlegt, zu Google zu wechseln, weil es dort auch Synchronisierung gibt, aber dann bleibe ich wohl einfach weiter bei Authy..
Dann sollte ich wohl doch einfach bei Authy bleiben T_T
Ich dachte, wenn man 2FA-Codes sichert, wäre Ende-zu-Ende-Verschlüsselung zwingend erforderlich ...
So scheint es noch schwierig zu sein, das zu benutzen.
Was die Aussage im Inhalt betrifft, dass „Google alle 2FA-Codes einsehen kann“: Gemeint ist wohl weniger, dass Google das tatsächlich tut, sondern eher, dass die Daten durch einen Datenabfluss bei Google oder aufgrund rechtlicher Probleme offengelegt werden könnten.