Google: 2-Faktor-Authentifizierung als Mogelpackung

Seit Anfang Jahr ist 2-Faktor-Authentifizierung für alle Benutzer von Google-Diensten verfügbar und stellt einen erheblichen Sicherheitsgewinn dar – sofern 2-Faktor-Authentifizierung für die Anmeldung bei Google-Diensten genutzt werden kann. Faktisch besteht diese Möglichkeit nur im Browser und allenfalls noch in Google-eigenen Apps.

Für andere Anwendungen und Verwendungen – beispielsweise die Kalender-Synchronisation auf dem iPhone – muss man so genannt anwendungsspezifische Passwörter generieren lassen und auf die Sicherheit von 2-Faktor-Authentifizierung verzichten:

Solche Passwörter bestehen aus 16 Kleinbuchstaben, im obigen Beispiel lautet das generierte Passwort «wgxoaqbasvbkfjlu». Ist ein solches Passwort sicher genug? In jedem Fall wünschte ich mir, ich könnte optional eigene Passwörter generieren.

«Anwendungsspezifisch» sind diese Passwörter übrigens nicht. Es handelt sich schlicht um von Google generierte Passwörter, denen man eine Bezeichnung verleiht. Man kann aber problemlos ein solches Passwort für alle Anwendungen nutzen. Sinnvoll ist aber zumindest, pro Gerät ein Passwort zu generieren – geht das Gerät verloren, kann man das Passwort dann sperren.

8 Comments

  1. Heiko
    7. November 2011

    Wenn es ein echtes OTP ist, dann wird dieses Passwort schlicht und einfach den Schlüsselaustausch autorisieren. Danach wird es gelöscht und zur Autorisierung dient ein kryptografischer Schlüssel, der vermutlich viel länger ist (und damit sicherer als jedes Passwort). Man könnte es als eine Art anwendungsspezifischer Cookie erklären.
    Weiß nicht ob Google das so macht, aber so (ganz grob) wird das in der Regel gemacht.

    Reply
    • Martin (MacMacken)
      7. November 2011

      Es handelt sich um ein gewöhnliches Passwort – wer Benutzernamen und dieses Passwort kennt, kann auf das entsprechende Google-Konto zugreifen.

  2. Peter
    7. November 2011

    Habe gerade mal versucht mich mit einem Anwendungsspezifischen Passwort ein zu loggen. Das geht nicht.
    Es geht zwar für mehrer Anwendungen (ich nehme an, du hast das auch getestet), aber daran sehe ich selbst noch keine Bedrohung. Da wird sich Google schon etwas dabei gedacht haben.

    Reply
    • Martin (MacMacken)
      7. November 2011

      @Peter:

      Habe gerade mal versucht mich mit einem Anwendungsspezifischen Passwort ein zu loggen. Das geht nicht.

      Selbstverständlich funktionieren diese Passwörter – ich verwende sie täglich und in zahlreichen Anwendungen, wo keine 2-Faktor-Authentifizierung möglich ist. Im Web, wo 2-Faktor-Authentifizierung möglich ist, kann man diese Passwörter selbstverständlich nicht verwenden.

      Es geht zwar für mehrer Anwendungen (ich nehme an, du hast das auch getestet), aber daran sehe ich selbst noch keine Bedrohung. Da wird sich Google schon etwas dabei gedacht haben.

      Für verschiedene Anwendungen unterschiedliche Passwörter zu nutzen ist nicht sinnvoll, sondern wie erwähnt für einzelne Geräte – dann kann man das verwendete Passwort bei einem Verlust des Gerätes sperren.

      Google mag sich etwas gedacht haben. Die Bewerbung als «anwendungsspezifisch» ist bei diesen Passwörtern aber irreführend und die generierten Passwörter sind unnötig einfach.

    • Peter
      7. November 2011

      Mit einloggen meinte ich natürlich die Web Oberfläche und nicht irgend eine App! Das es funktioniert ist mir auch klar, nutze es schliesslich schon länger.

      Weshalb sollte das nicht sinvoll sein???
      Ich mach bei der beschreibung immer klar Deutlich welches Gerät es ist. (z.B. MBP Reeder, i3Gs Mail,…)
      Kommt jetzt echt nicht drauf an, wobei wenn ich ein Programm lösche, z.B. weil ich erfahren habe, dass der Entwickler die Passwörter ausspäht, dann darf ich natürlich das ganze Gerät wieder mit den Eingaben füttern… (ok, beim iPhone kann so etwas eigentlich nicht passieren), an sonsten kann ich einfach genau dieses sperren…

      Und was Sinvoll ist und was nicht überlässt man am besten jedem Anwender selbst! Ausser man Arbeitet für die Firma Apple ^^

    • Martin (MacMacken)
      7. November 2011

      @Peter:

      Kommt jetzt echt nicht drauf an, wobei wenn ich ein Programm lösche, z.B. weil ich erfahren habe, dass der Entwickler die Passwörter ausspäht, dann darf ich natürlich das ganze Gerät wieder mit den Eingaben füttern… (ok, beim iPhone kann so etwas eigentlich nicht passieren), an sonsten kann ich einfach genau dieses sperren…

      Wenn Du das erfährst, ist es zu spät …

    • Peter
      7. November 2011

      1. wird so etwas nie in den App Store kommen (wegen Apple).
      2. Was will er damit machen? Jede Google API damit ansprechen?
      Aber das sei jetzt dahin gestellt.

      Wenn ich einfach meine Programme genau im Auge behalten will, dann kann ich genau den Zugang wiederrufen, welchen ich nicht mehr nutze und nicht gleich alle!
      Wenn du findest, dass du es nicht brauchst, dann bist du ja nicht an den Weg gebunden.

      Ich sage es noch einmal: Was Sinvoll ist und was nicht überlässt man am besten jedem Anwender selbst!

      Wenn ich etwas von meinem Lehrmeister gelernt habe, dann das nichts Falsch ist, solange man es logisch Begründen kann! Und wenn du dich für deinen Weg entscheidest, ist meiner deswegen noch lange nicht falsch!

  3. Schwache Anwendungsspezifische Passwörter bei Google?
    7. November 2011

    […] behauptet Martin jedoch in seinem Artikel, dass diese 2-Faktor-Authentifizierung bei Google (Zitat) eine Mogelpackung ist! Das darum, weil […]

    Reply

Leave a Reply