Sicherheitslücke in den anwendungsspezifischen Passwörtern von Google

Aug 30, 2013
Allgemein
0 0

Google AuthenticatorEines vorweg: Google selbst bezeichnet das Ganze keineswegs als Sicherheitslücke und gibt an, dass alles wie gewünscht läuft (“working as intended”). Unter gewissen Umständen könnte das Ganze – meiner Meinung nach – jedoch durchaus zu Problemen führen.

Um das eigene Konto sicherer zu machen, bietet Google die Bestätigung in 2 Schritten an. Hierbei werden neben den normalen Login-Daten noch zusätzliche Zahlencodes benötigt, man man wahlweise via Authenticator-App oder SMS bekommt.

Da sämtliche Apps, Services und Desktop-Programme logischerweise nicht direkt mit diesem System arbeiten können und um die Sicherheit zu erhöhen, gibt es für alle externen Anwendungen die sogenannten anwendungsspezifischen Passwörter, kurz ASP.

Jedem Programm oder Service teilt man so ein eigenes Passwort zu. Wird besagter Zugriff nicht mehr benötigt, löscht man das Passwort einfach und der Zugriff ist nicht mehr möglich.

Alex Kunz hat uns, bzw meine Kollegin in den Google Produktforen nun darauf hingewiesen, dass all diese Zugriffe auch dann noch bestehen bleiben, wenn man die Bestätigung in 2 Schritten – und damit die Funktion und den Zugriff auf die ASP – komplett deaktiviert.

Hat man also beispielsweise irgendwann einmal Thunderbird, Outlook und einem Smartphone Zugriff gewährt, haben diese auch weiterhin Zugriff, nachdem die Bestätigung in 2 Schritten deaktiviert wurde. Der Zugriff funktioniert auch dann uneingeschränkt weiter, wenn man das eigene Account-Passwort ändert. Zudem hat man überhaupt keinen Zugriff mehr auf diese ASP, um sie zu deaktivieren.

Die Lösung: Man muss die Bestätigung in 2 Schritten komplett erneut einrichten, die gesamte Einrichtung nochmals durchlaufen und dann alle Passwörter löschen. Danach kann man dann die Bestätigung in 2 Schritten wieder deaktivieren.

 

accounts-2step-ASP-generated

 

Zugegeben, es spricht nur wenig dafür, die Bestätigung grundsätzlich zu deaktivieren. Allerdings erleben wir sehr oft, dass Nutzer diese aus den verschiedensten Gründen dennoch ausschalten und zurück zum normalen Passwort wechseln möchten.

Die Gefahr – daher schreibe ich auch von einer Sicherheitslücke – besteht nun darin, dass die Nutzer einfach nicht wissen, dass obwohl sie die Bestätigung in 2 Schritten deaktivieren, die damit verbundenen ASP weiterhin aktiv bleiben. Für den normalen Anwender ist das Ganze mit der Deaktivierung einfach erledigt.

Hat man also ein Smartphone ursprünglich mit einem solchen Passwort eingerichtet und dieses wird irgendwann gestohlen, weiß der Nutzer vielleicht schon gar nicht mehr, dass dieses über ein ASP verbunden ist. Nach bestem Wissen und Gewissen ändert er entsprechend der Empfehlungen nun sein Passwort und wähnt sich sicher. Das über ein ASP verbundene Smartphone zeigt sich davon natürlich völlig unbeeindruckt und behält den Zugriff auf das eigene Konto.

Ähnliches gilt natürlich auch für Tablets, Laptops oder Netbooks. Wurden diese einmal eingerichtet, behalten sie – trotz Passwortänderung – so lange den Zugriff, bis der Nutzer überhaupt bemerkt, dass trotz Deaktivierung diese Passwörter weiterhin gültig sind und dann handelt.

Auf die Rückfrage erhielten wir die Antwort, dass dies kein Problem sei und alles wie gewünscht arbeiten würde.

Solltet ihr also zu jenen Nutzern gehören, die – aus welchen Gründen auch immer – die Bestätigung in 2 Schritten irgendwann einmal deaktivieren wollen, denkt daran, vorher alle Passwörter von Hand zu löschen.

Wie seht ihr das Ganze? Sicherheitslücke oder nicht?

Comments
  • Stimmt schon aber eine 100%ige Sicherheit gibt es leider nie. Einfach die Zugangsdaten ab und an ändern, dann ist man nicht auf der sicheren aber auf eine halbwegs sicheren Seite.

    Emanuel 3. September 2013 14:55 Antworten

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.