Google Authenticator: Die Gefahr der Auto-Updates

iOS 7 führt automatische Updates ein und auch der Google Play Store kann Apps automatisch aktualisieren. Diese automatische Aktualisierung kann de- beziehungsweise aktiviert werden. Was alles schief gehen kann, hat Google erst jüngst bewiesen. Über die eigene App Google Authenticator kann man sich Codes generieren lassen, die man zusätzlich zum Passwort eingeben muss, wenn man sich an neueren Geräten einloggt.

Bildschirmfoto 2013-09-05 um 19.48.54

Der Sinn dürfte klar sein: versucht jemand euer Konto zu kapern, so schafft er dies nicht einmal, wenn er euer Passwort hat – als letzte Instanz greift hier der Sicherheitscode aus dem Smartphone. Nun hat Google ein Update auf die Version 2 für iOS nachgeschoben, welches nicht nur neue Optik bringt, sondern auch alle Konten löscht. Über die App ließ sich so kein Code mehr generieren.

[werbung]

Unfassbarer Fehler eigentlich, den man nun auf einer Support-Seite erklärt hat. Dort gibt man auch Hilfestellungen – wohl dem, der Backup-Codes oder vielleicht die Einrichtungscodes in Form des QR-Codes noch hat. Mein persönliches Glück? Ich nutze die Alternative HDE OTP Generator, weil Google über lange Zeit nicht in der Lage war, die eigene Sicherheits-App mal auf das iPhone 5 anzupassen. Eine Sicherheits-App so zu verhunzen ist schon ein dummes Ding, Google – lässt aber auch immer an fehlenden Rollback-Möglichkeiten diverser Betriebssysteme zweifeln.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Android hat Titanium Backup — da wird selbst Google Authenticator mitsamt allen Key-Algorithmen gesichert – aber eigentlich bieten viele Dienste auch an, den Code per SMS oder Sprachanruf durchzugeben.

  2. Man kann den QR Code bzw. den Schlüssel ja auch als Bilddatei speichern und auf einem USB Stick sicher. Der an einem sicheren Ort aufbewahrt wird, natürlich verschlüsselt.

  3. Selten doof wer die Backup Codes nicht parat hat.

  4. da in letzter zeit vieles bei google verschlimmbessert wurde, bin ich dazu übergegangen immer mehr programme durch eigene signierung von updates auszuschliessen. ebenso browser chrome auf w7 usw.
    für mich persönlich sind viele updates bereits zum verhindernswerten ärgernis geworden. bezüglich echter sicherheit halte ich sowohl die alten als auch die aktualisierten apps und programme für anfällig, weshalb ich dafür sorge dafür dass keine kritischen daten drauf sind bzw verschlüsselt.

  5. Google kann auch über SMS einen Code versenden.

  6. Peinlicher Fehler, zweifelsohne. Gleich nach einer Rollback Möglichkeit für Smartphones zu rufen finde ich aber etwas übertrieben. Schließlich sind es – zumindest in meinen Augen – immer noch „smart devices“: Geräte, wo die Einfachheit und Übersichtlichkeit auch auf Kosten der Funktionalität geht (1). Und das finde ich auch in Ordnung.
    Ich persönlich nutze aus genau solchen Gründen aber die automatische Aktualisierung nicht. Ich aktualisiere schon regelmäßig meine Apps, allerdings eben manuell und immer mit einigen Tagen bewusster Verzögerung. Dabei werfe ich auch gleich einen Blick in die Änderungen.

    (1) Bei Tablets ist diese Angelegenheit schon nicht mehr so klar.

  7. ein unglaublich dummer fehler!! wer kann denn so einen naiven kack zusammenbauen?? jetzt sitz ich hier und google’s dummheit hat mich so ziemlich aus jedem konto, das 2faktor authentifizierung ermöglicht, ausgeschlossen,,,,

  8. jonas, zu doof backups zu machen? oder einfach den bACKUPCODE haben? -.-

  9. Es fehlt imho immer noch die Möglichkeit, ältere Adroiden (2.3.x) ohne Root vernünftig (d.h. vollständig) zu sichern. Otto Normaluser hat damit dann ein schwerwiegendes Problem.

  10. An alle, die einen hier wegen fehlender Backups anmachen: viele nutzen den Authenticator unterwegs und ich nehme sensible Backup Codes sicher nicht auf dienstlichen oder privaten Reisen mit.

  11. simon, der code ist kurz, den kann man sich merken,, ich jedenfalls

  12. Tsss… Klar ist das ärgerlich und dank der Unfähigkeit dieser Firma bin ich großteils eh schon weg davon aber (!), wo hier alle so schreien. Was ist denn eure „Ausweichstrategie“, wenn euer Handy kaputt/verloren gehen wurde bzgl. des Authentifikators? Denkt mal darüber nach, denn das Szenario aktuell ist ja das selbe 😉

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.