Flexible Security for Your Peace of Mind

Was sollten IT-Teams bei Sicherheitsbedenken im Zusammenhang mit der neuen Synchronisierungsfunktion von Google Authenticator tun?

Aktuelle Meldungen über Sicherheitsrisiken im Zusammenhang mit einer neuen Funktion von Google Authenticator veranlassen IT-Teams dazu, die Nutzung der App für die Authentifizierung in ihren Netzwerken oder in den von ihren Unternehmen genutzten Anwendungen zu überdenken.

Die 2010 eingeführte mobile App Google Authenticator bot eine sicherere 2FA-Option als SMS-Einmalcodes. Die verbesserte Sicherheit ergab sich aus der Funktionsweise – die Codes der App wurden auf dem Telefon des Nutzers generiert und waren nie über ungesicherte Netzwerke unterwegs.

Die neue Funktion ermöglicht es Nutzern, 2FA-Codes geräteübergreifend über die Cloud zu synchronisieren – etwas, das sich Nutzer schon lange gewünscht haben. Damit entfällt die Notwendigkeit, jeden Code bei einem verlorenen oder gestohlenen Gerät zurückzusetzen, und der Zugriff auf 2FA-Codes auf einem neuen Telefon wird vereinfacht.

Die Forscher von Mysk berichteten jedoch auf Twitter, dass die Synchronisierung nicht verschlüsselt ist:

“Wir haben den Netzwerkverkehr analysiert, wenn die App die “Secrets” synchronisiert, und es hat sich herausgestellt, dass der Verkehr nicht Ende-zu-Ende-verschlüsselt ist. Warum ist das problematisch? Jeder 2FA-QR-Code enthält ein “Secret” oder einen Seed, der verwendet wird, um die Einmalcodes zu generieren. Wenn jemand anderes das Secret kennt, kann er dieselben Einmalcodes generieren und den 2FA-Schutz umgehen. Sollte es also jemals zu einer Datenpanne kommen oder jemand Zugang zu Ihrem Google-Konto erhalten, wären alle Ihre 2FA-Geheimnisse gefährdet.”

Dies steht im Widerspruch zu der anfänglichen Sicherheit, die die App bei ihrer Einführung bot – nämlich eine Alternative zu Codes, die durch unsichere Netzwerke übertragen werden.

Das SC Magazin fasste die Bedenken bezüglich der neuen geheimen Synchronisierungsfunktion für Google Authenticator zusammen:

“Die Forscher sagten, dass die fehlende Verschlüsselung die Nutzer für Datenlecks und eine mögliche Übernahme des Google-Kontos anfällig macht. Ein erfolgreicher Angriff verschafft einem Angreifer Zugriff auf den QR-Code der Zwei-Faktor-Authentifizierung, der zur Generierung eines Einmal-Codes verwendet wird, und ermöglicht es dem Angreifer, denselben Einmal-Code zu generieren.”

Die App ist eine sehr beliebte 2FA-Methode mit über 100 Millionen Downloads im Google Play Store. Dies ist jedoch nicht das erste Mal, dass Sicherheitsprobleme für Google Authenticator gemeldet werden.

Im Jahr 2020 wurde berichtet, dass ein Android-Malware-Stamm über Google Authenticator generierte Einmal-Passwörter extrahiert und gestohlen hat. Die App wurde auch schon früher wegen des Fehlens eines Passcodes oder einer biometrischen Sperre in der App selbst bemängelt, was die Gefahr durch ein verlorenes Gerät für eine Organisation erhöht. Diese Gefahr erhöht sich natürlich für Unternehmen, die BYOD nutzen und deren IT-Teams die Geräte der Endbenutzer nicht löschen können.

Was besorgte IT-Teams in Sachen Google Authenticator tun können

Die Realität dieser neuen Funktion von Google Authenticator besteht darin, dass der Endnutzer diese Funktion aktivieren muss. Daher ist das unmittelbare Risiko für ein Unternehmen, dessen Nutzer sich mit der App authentifizieren, erstmal gering.

Dennoch können besorgte IT-Teams Maßnahmen ergreifen:

  • Informieren Sie Endnutzer über die neue Funktion und empfehlen Sie ihnen, sie erst dann zu aktivieren, wenn Google eine Ende-zu-Ende-Verschlüsselung für die App anbietet.
  • Nutzen Sie eine flexible MFA-Plattform, bei der Sie einstellen können, wie groß die Gewichtung eines einzelnen Faktors im Benutzerauthentifizierungsprozess ist (wie die Plattform, die Specops uReset für Self Service Password Reset von Active Directory-Passwörtern betreibt).
  • Vergessen Sie auch Kennwörter nicht. Google Authenticator ist oft der zweite Faktor. Sicherheitsbedenken im Zusammenhang mit der App entstehen nur dann, wenn der Angreifer die erste Barriere überwindet – das Passwort. Wenn es darum geht, die Active Directory-Passwörter Ihres Unternehmens vor diesem Risiko zu schützen, sollten Sie Lösungen wie Specops Password Policy nutzen, die die Umsetzung von starken Kennwortrichtlinien zur Verbesserung der Passwortsicherheit ermöglichen und die Verwendung von über 4 Milliarden einzigartigen, kompromittierten Passwörtern blockieren.

Dennoch ist kein einzelner MFA-Faktor kugelsicher. Jeder Faktor hat seine eigenen potenziellen Schwachstellen und Sicherheitsrisiken. Ein pragmatisches IT-Team weiß das und trifft Entscheidungen, die diese Risiken mit den Anforderungen der Endbenutzer in Einklang bringen. Diese Herangehensweise an den Schutz von MFA und Passwörtern hilft, einzelne Probleme zu mindern.

Haben Sie Fragen Passwortsicherheit und Multi-Faktor Authentifizierung? Unser Team hilft Ihnen gerne weiter – kontaktieren Sie uns.

Prüfen Sie Ihr Active Directory auf Passwortrelevante Schwachstellen mit dem kostenlosen Specops Password Auditor

(Zuletzt aktualisiert am 13/10/2023)

Zurück zum Blog