the other
Well-known member
Moinsen,
wie schon auf einigen Seiten zu erfahren, sollten Nutzer*innen des Google Authenticators kurz mal aufhorchen:
nach dem letzten Update des Programms werden die zur Erstellung des TOTP (time-based one-time password) für die 2 Faktoren Anmeldung benötigten "Geheimnisse" (das was viele per QR Code einscannen oder manuell angeben bei Einrichtung der 2fa) gesichert. Es wird als ein Backup dieser Geheimnisse ermöglicht. Leider liegt dieses Backup dann auf den Google Servern.
Das Bescheidene dabei: bei der Übermittlung werden diese sensiblen Daten NICHT end-zu-end verschlüsselt, so dass die gespeicherten Geheimnisse bei Google im Klartext ankommen (und dementsprechend zu lesen sind, die Gefahr des Missbrauches also extrem steigt).
Dazu auch:
https://www.heise.de/news/Google-Au...up-der-geheimen-Saat-im-Klartext-8979932.html
Also: es bietet sich an, über Alternativen nachzudenken oder aber auf die Backup Funktion zu verzichten und die Geheimnisse selber zu sichern. Dazu bieten sich etwa Passwortmanager an. Diese können dann auch lokal als Backup vorgehalten werden, so dass diese Daten euer Haus gar nicht mehr verlassen müssen (außer wenn die 3-2-1 Regel des Backups befolgt wird)...
wie schon auf einigen Seiten zu erfahren, sollten Nutzer*innen des Google Authenticators kurz mal aufhorchen:
nach dem letzten Update des Programms werden die zur Erstellung des TOTP (time-based one-time password) für die 2 Faktoren Anmeldung benötigten "Geheimnisse" (das was viele per QR Code einscannen oder manuell angeben bei Einrichtung der 2fa) gesichert. Es wird als ein Backup dieser Geheimnisse ermöglicht. Leider liegt dieses Backup dann auf den Google Servern.
Das Bescheidene dabei: bei der Übermittlung werden diese sensiblen Daten NICHT end-zu-end verschlüsselt, so dass die gespeicherten Geheimnisse bei Google im Klartext ankommen (und dementsprechend zu lesen sind, die Gefahr des Missbrauches also extrem steigt).
Dazu auch:
https://www.heise.de/news/Google-Au...up-der-geheimen-Saat-im-Klartext-8979932.html
Also: es bietet sich an, über Alternativen nachzudenken oder aber auf die Backup Funktion zu verzichten und die Geheimnisse selber zu sichern. Dazu bieten sich etwa Passwortmanager an. Diese können dann auch lokal als Backup vorgehalten werden, so dass diese Daten euer Haus gar nicht mehr verlassen müssen (außer wenn die 3-2-1 Regel des Backups befolgt wird)...
