Google Authenticator: Die Gefahr der Auto-Updates
iOS 7 führt automatische Updates ein und auch der Google Play Store kann Apps automatisch aktualisieren. Diese automatische Aktualisierung kann de- beziehungsweise aktiviert werden. Was alles schief gehen kann, hat Google erst jüngst bewiesen. Über die eigene App Google Authenticator kann man sich Codes generieren lassen, die man zusätzlich zum Passwort eingeben muss, wenn man sich an neueren Geräten einloggt.
Der Sinn dürfte klar sein: versucht jemand euer Konto zu kapern, so schafft er dies nicht einmal, wenn er euer Passwort hat – als letzte Instanz greift hier der Sicherheitscode aus dem Smartphone. Nun hat Google ein Update auf die Version 2 für iOS nachgeschoben, welches nicht nur neue Optik bringt, sondern auch alle Konten löscht. Über die App ließ sich so kein Code mehr generieren.
[werbung]
Unfassbarer Fehler eigentlich, den man nun auf einer Support-Seite erklärt hat. Dort gibt man auch Hilfestellungen – wohl dem, der Backup-Codes oder vielleicht die Einrichtungscodes in Form des QR-Codes noch hat. Mein persönliches Glück? Ich nutze die Alternative HDE OTP Generator, weil Google über lange Zeit nicht in der Lage war, die eigene Sicherheits-App mal auf das iPhone 5 anzupassen. Eine Sicherheits-App so zu verhunzen ist schon ein dummes Ding, Google – lässt aber auch immer an fehlenden Rollback-Möglichkeiten diverser Betriebssysteme zweifeln.
Android hat Titanium Backup — da wird selbst Google Authenticator mitsamt allen Key-Algorithmen gesichert – aber eigentlich bieten viele Dienste auch an, den Code per SMS oder Sprachanruf durchzugeben.
Man kann den QR Code bzw. den Schlüssel ja auch als Bilddatei speichern und auf einem USB Stick sicher. Der an einem sicheren Ort aufbewahrt wird, natürlich verschlüsselt.
Selten doof wer die Backup Codes nicht parat hat.
da in letzter zeit vieles bei google verschlimmbessert wurde, bin ich dazu übergegangen immer mehr programme durch eigene signierung von updates auszuschliessen. ebenso browser chrome auf w7 usw.
für mich persönlich sind viele updates bereits zum verhindernswerten ärgernis geworden. bezüglich echter sicherheit halte ich sowohl die alten als auch die aktualisierten apps und programme für anfällig, weshalb ich dafür sorge dafür dass keine kritischen daten drauf sind bzw verschlüsselt.
Google kann auch über SMS einen Code versenden.
Peinlicher Fehler, zweifelsohne. Gleich nach einer Rollback Möglichkeit für Smartphones zu rufen finde ich aber etwas übertrieben. Schließlich sind es – zumindest in meinen Augen – immer noch „smart devices“: Geräte, wo die Einfachheit und Übersichtlichkeit auch auf Kosten der Funktionalität geht (1). Und das finde ich auch in Ordnung.
Ich persönlich nutze aus genau solchen Gründen aber die automatische Aktualisierung nicht. Ich aktualisiere schon regelmäßig meine Apps, allerdings eben manuell und immer mit einigen Tagen bewusster Verzögerung. Dabei werfe ich auch gleich einen Blick in die Änderungen.
(1) Bei Tablets ist diese Angelegenheit schon nicht mehr so klar.
ein unglaublich dummer fehler!! wer kann denn so einen naiven kack zusammenbauen?? jetzt sitz ich hier und google’s dummheit hat mich so ziemlich aus jedem konto, das 2faktor authentifizierung ermöglicht, ausgeschlossen,,,,
jonas, zu doof backups zu machen? oder einfach den bACKUPCODE haben? -.-
Es fehlt imho immer noch die Möglichkeit, ältere Adroiden (2.3.x) ohne Root vernünftig (d.h. vollständig) zu sichern. Otto Normaluser hat damit dann ein schwerwiegendes Problem.
An alle, die einen hier wegen fehlender Backups anmachen: viele nutzen den Authenticator unterwegs und ich nehme sensible Backup Codes sicher nicht auf dienstlichen oder privaten Reisen mit.
simon, der code ist kurz, den kann man sich merken,, ich jedenfalls
Tsss… Klar ist das ärgerlich und dank der Unfähigkeit dieser Firma bin ich großteils eh schon weg davon aber (!), wo hier alle so schreien. Was ist denn eure „Ausweichstrategie“, wenn euer Handy kaputt/verloren gehen wurde bzgl. des Authentifikators? Denkt mal darüber nach, denn das Szenario aktuell ist ja das selbe 😉