Warum du den Google-Authenticator nicht nutzen solltest.

In diesem Artikel geht es um die Zwei-Faktor-Authentifizierung (2FA).
Diese 2FA nutzen viele Programme, bei Bankanwendung ist dies mittlerweile sogar gesetzlich vorgeschrieben. Die 2FA funktioniert folgendermaßen:
Bei der Anmeldung zu einem Programm musst du zusätzlich zu deinen normalen Anmeldedaten einen für jede Anmeldung neugenerierten Code angeben.
So kann sichergestellt werden, dass du der tatsächliche Nutzer dieser Anmeldedaten bist.

Dabei gibt es viele verschiedene Arten für 2FA, z.B. über eine SMS, einen YubiKey oder eben Apps und Programme. Die bekannteste und weitverbreiteste App ist Google Authenticator. Allerdings hat die App ein paar entsprechende, fehlende Sicherheitsfunktionen. Deshalb möchte ich euch anhand zweier Beispiele erklären und aufzeigen, warum der Google Authenticator NICHT sicher ist.

Beispiel 1:

Man kann die App nicht sichern.

Denke zum Beispiel mal an deine Bank-App. Diese ist mit einem Passwort, PIN oder sogar deinem Fingerabdruck verschlüsselt. Selbst dann, wenn jemand Zugriff auf dein Handy erlangt, muss er noch eine Sicherheitsstufe durchbrechen, bevor er auf dein Konto zugreifen kann.
Bei Google Authenticator ist das nicht der Fall.
Das bedeutet, jeder der Zugriff zu deinem Handy hat, kann auch die 2FA-Codes für seine Zwecke missbrauchen.

Beispiel 2:

Du kannst deine Codes nicht sichern.

Stell dir vor, dein Handy fällt dir aus deiner Tasche und der gesamte Speicher geht kaputt. Dann sind dein 2FA-Codes weg. Du kommst also nicht wieder in deine Accounts hinein.

Alternativen:

Alternativen zu Google Authenticator wären zum Beispiel:

  • Aegis ist eine Open-Source-Alternative [Github]. Sie bietet Verschlüsselung mit Passwort, Pin und Biometrie an. Außerdem hat sie die Option, deine Codes verschlüsselt zu exportieren, um sie im Falle eines Verlustes wieder herzustellen
  • Authy bietet ebenfalls Verschlüsselung über Passwort, Pin oder Biometrie. Außerdem hat Authy die Möglichkeit, die Codes zwischen deinen zugelassenen Geräten zu synchronisieren. Die letztere Funktion ist meiner Meinung nach eine Sicherheitslücke. Wenn man Authy allerdings ohne diese Funktion verwendet, ist diese App eine recht sichere Alternative.

Author: Joshua Hehnle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.