Der Google Authenticator ist nicht frei von Kritik und Versäumnissen. Beispielsweise ist das Verlangen nach einer Funktion immer lauter geworden, mit der geheime Seeds sich für andere Geräte synchronisieren lassen. Allerdings hat Google dabei versäumt, die E2E-Verschlüsselung einzubauen. Das soll jetzt nachgerüstet werden.
Klartext bei der Verschlüsselung
Wenn Menschen Klartext reden, dann wird etwas verständlich und offen ausgesprochen. Spricht eine Verschlüsselung im übertragenen Sinne Klartext, kann das eine Sicherheitslücke sein.
Die geheimen Seeds, die der Google Authenticator zur Berechnung des Codes für zweiten Faktor der 2FA-Verschlüsselung verwendet, wurden bisher im Klartext übertragen.
Das Problem: Der Klartext ermöglicht es in der Theorie, die Mehr-Faktor-Authentifizierung auszuhebeln und die Daten von Mittelsmännern abgegriffen werden. Dazu ist ausschließlich ein Zugriff auf das entsprechende Netzwerk notwendig. Für Angreifer also eine willkommene Einladung, zu versuchen, sich in das Netzwerk zu hacken.
Dadurch ist die Zwei-Faktor-Authentifizierung über den Google Authenticator gefährlicher als zuvor. Google selbst könnte ebenfalls ganz einfach auf die Daten im eigenen Netzwerk zugreifen, da diese als Klartext verfügbar sind. Es ist zwar unwahrscheinlich, dass Google selbst sich an diesen Daten vergreift, aber wer weiß, wo man überall schwarze Schafe findet, die eine Chance wittern, sich auf Kosten anderer zu bereichern.
Google selbst ist sich des Problems direkt bewusst geworden und hat darauf reagiert. In einem Statement wurde versprochen, dass die Sicherheit der Nutzer und Nutzerinnen immer an erster Stelle steht und man die Verantwortung für die Daten sehr ernst nimmt. Deshalb wird bereits über Möglichkeiten nachgedacht, wie man den Schutz der Nutzerdaten wieder gewährleisten kann. Ganz vorne mit dabei ist die Ende-zu-Ende-Verschlüsselung oder auch E2E-Verschlüsselung. Google sieht dabei aber noch einige Nachteile für ihre Nutzer und will deshalb nichts überstürzen.
E2E bei Google Produkten
Die Ende-zu-Ende-Verschlüsselung ist ein beliebtes System beim Umgang mit sensiblen Daten. Es bietet zusätzlichen Schutz vor Angriffen und unbefugtem Zugriff auf Daten. Allerdings sträubt sich Google selbst bisher ein wenig, dieses Verfahren auch für seine Dienste anzuwenden.
Das liegt daran, dass Anwender ohne eine Wiederherstellung nicht mehr an ihre Daten gelangen könnten, beziehungsweise von den eigenen Daten abgesperrt werden. Das würde zwar die Sicherheitslücke schließen, aber die Nutzer selbst wären dann auch ausgeschlossen. Sowas will man natürlich verhindern.
Google hat allerdings bereits damit begonnen, vereinzelte Produkte mit einer Option für die E2E-Verschlüsselung auszustatten. Der Google Authenticator ist noch nicht darunter, soll in Zukunft aber folgen. Wann genau das der Fall sein wird, ist aber nicht klar. Google hält E2E-Verschlüsselung zwar für eine sehr starke und sinnvolle Funktion, aber scheint diese nicht direkt in alle Produkte und Anwendungen einpflegen zu wollen. Der Google Authenticator steht dabei scheinbar nicht ganz oben auf der Liste der Prioritäten, wird aber irgendwann an die Reihe kommen.
In jedem Fall soll es aber nicht so sein, dass die Ende-zu-Ende-Verschlüsselung bei Googles Produkten zur Pflicht wird. Sie soll optional bleiben, damit Nutzer auf Wunsch ihre Backup-Strategien selbst verwalten können. Bisher ist die Option aber noch nicht verfügbar und die Sicherheitslücke weiterhin offen.
Deshalb rät beispielsweise heise Security – die unter den ersten waren, die von diesem Problem berichteten – vorerst davon ab, den Google Authenticator zu verwenden. Stattdessen sollen Anwender vorübergehend lieber auf eine Alternative umsteigen. Zumindest so lange, bis die E2E-Verschlüsselung auch im Google Authenticator verfügbar ist.
Fazit
Der Google Authenticator hat durch die fehlende E2E-Verschlüsselung momentan mit einer Sicherheitslücke zu kämpfen. Dadurch ist der Schutz der eigenen Daten nicht mehr gewährleistet. Für den Moment ist es also empfehlenswert, eine andere Form der Multi-Faktor-Authentifizierung vorzunehmen. Wie lange dieser Zustand noch anhalten wird, ist nicht bekannt. Google ist sich des Problems bewusst und hat bereits Schritte angekündigt, um die Sicherheit für die Daten seiner Nutzer wieder zu gewährleisten. Bis dahin ist es ratsam, eine andere Form der Multi-Faktor-Authentifizierung zu verwenden. Beispielsweise den Authenticator von Reiner SCT, der maximale Sicherheit bietet und keine Sicherheitslücken hat.