Kürzlich hat der Google Authenticator eine neue Funktion eingeführt, die es Benutzern ermöglicht, die App bequem über verschiedene Installationen hinweg zu synchronisieren. Doch diese Funktion wurde nun von Sicherheitsforschern kritisiert, da Google bei der Synchronisation auf eine Ende-zu-Ende-Verschlüsselung verzichtet hat. Es soll sogar möglich sein, den Startwert über eine Man-in-the-Middle-Attacke abzurufen.

Ein Entwickler von Google hat inzwischen auf diese Bedenken reagiert und betont, dass die Sicherheit beim Google Authenticator stets höchste Priorität genieße. Ziel sei es, Funktionen anzubieten, die Benutzer schützen, jedoch nützlich und bequem bleiben. Die Daten werden während der Übertragung und im Ruhezustand über die Produkte hinweg verschlüsselt, einschließlich des Google Authenticators. Zwar bietet die Ende-zu-Ende-Verschlüsselung zusätzlichen Schutz, doch besteht das Risiko, dass Benutzer ohne Wiederherstellungsmöglichkeit ihre eigenen Daten verlieren. Allerdings ist geplant, die Ende-zu-Ende-Verschlüsselung später im Google Authenticator anzubieten.

Momentan glaubt Google, dass das aktuelle Produkt für die meisten Benutzer die richtige Balance zwischen Sicherheit und Bequemlichkeit darstellt und erhebliche Vorteile gegenüber der Offline-Nutzung bietet. Dennoch bleibt die Option, die App offline zu nutzen, eine Alternative für diejenigen, die ihre Backup-Strategie lieber selbst verwalten möchten.

Der Beitrag Google Authenticator 6.0 wegen neuer Klartext-Synchronisierung in Kritik erschien zuerst auf NETZKAPITAEN - ICH + DER BLOG..