ComputerBase Menü
Aktuelles

News Google Authenticator: Passwort-Synchronisation überträgt Daten im Klartext

ich habe gerade herausgefunden das verschlüsselungen nur existieren damit der endanwender nicht erkennt welcher hersteller daten abzwagt ;)
 
  • Gefällt mir
Reaktionen: Hellyeah
h00bi schrieb:
Für die meisten Dinge funktioniert der in Bitwarden integrierte Authenticator ganz gut.
Zum Vergrößern anklicken....
Ich frag mich halt immer wie sinnvoll es ist, beide Faktoren (TOTP und Passwort) im selben Passwortmanager zu speichern.
 
  • Gefällt mir
Reaktionen: DNS81, Burfi, Ben99 und 6 andere
h00bi schrieb:
Für die meisten Dinge funktioniert der in Bitwarden integrierte Authenticator ganz gut.
Zum Vergrößern anklicken....
Selbst gehostet ? Wenn nicht, genauso sinnlos Bitwarden könnte ja auch von Sicherheitslücken betroffen sein :)
 
Vor allem der Satz: Laut Google ist das abschalten der Funktion die Lösung, für die die selbst eine Backuplösung nutzen wollen wie bisher. Bringt mich dezent zum schmunzeln:
Wenn ich ein Backup meiner Auth Codes machen will, generiert mir das Teil einen QR Code, welchen ich aus mir NICHT NACHVOLLZIEHBAREN GRÜNDEN! nicht Screenshotten kann ( kompletter Screen Blackout ) sondern über Umwege ( anderes Gerät / Remote View mit Externer App ) ein Foto anfertigen muss damit ich es in meiner Privaten ( und verschlüsselten ) Cloudlösung ablegen kann ...
 
Meine Passwörter habe ich alle lokal gespeichert in einer KeyPass Datei. Für den 2FA nutze ich Google. Was gibt es für sinnvolle Varianten wo man dann wirklich sagen kann, dass ist besser und vertrauenswürdiger? Wenn ich jetzt, sobald aktualisiert, das Teil öffne und anwähle, dass ich nicht mit der Cloud syncen kann, dann stellt sich halt schon die Frage, ob ich da wirklich schlechter unterwegs bin als mit einem andere App wie z. B. das von Authy. Gerade Authy bietet ja auch etliche Optionen mit Synchronisationen an. Es ist eine Zwiespalt. Ich denke aber, wenn Passwörter und 2FA in zwei verschiedenen Containern hinterlegt sind, ist man schon mal nicht schlecht bedient.

Wie schaut es mit der App 2FA Authenticator (von 2FAS) aus? Sollte zumindest Open-Source sein.
 
Es is ja auch nicht eine kreuzdämliche Idee seine PASSWÖRTER in der der Cloud zu speichern...
Was, wenn die Cloud gehackt wird?
Da haste wegen solchen "Versäumnissen" dann die A-Karte.

Genau wegen solchen blödsinnigen Sachen benutz ich einen lokalen Passwort-Store (KeepassXC) und alles, was in die Cloud kommen muss, liegt in nem Truecrypt-Container.
Auch nicht 100%ig sicher (Was ist schon 100%ig sicher?), aber immer schön Lokal n Schloss vorhängen, bevor mans in die Cloud schiebt.

Ist genau das Gleiche, wie mit Cloud-basierten Smart-Home Geräten. Dümmer gehts echt nicht...
 
  • Gefällt mir
Reaktionen: dafReak
Überrascht mich eher weniger. Alles was über die Basics hinausgeht kostet ja Geld und das steckt man am Ende lieber in andere Dinge als sowas unwichtiges wie eine Verschlüsselung von Passwörten bei Synchronisation.

Schließe mich deswegen den meisten hier an: weil die Annahme, dass so ein Käse wie hier eher die Regel als die Ausnahme darstellt, hab ich nur lokale PW Speicherung. "Better safe than sorry" halte ich bei sowas für sinnvoll, gerade wenn es um Passwörter geht, wo ein Fehler einen potentiell viel Zeit/Stress/Geld kosten könnte.
 
Es geht hier doch gar nicht um klassische Passwörter, wie man sie in Keypass und ähnlichen Tools speichert, sondern um dynamisch generierte 2FA OTPs, bzw. ganz konkret um die Seeds, die dazu dienen diese zu generieren.
 
  • Gefällt mir
Reaktionen: Tanzmusikus, stevefrogs, DNS81 und 5 andere
DonDonat schrieb:
...hab ich nur lokale PW Speicherung. "Better safe than sorry" halte ich bei sowas für sinnvoll, gerade wenn es um Passwörter geht, wo ein Fehler einen potentiell viel Zeit/Stress/Geld kosten könnte.
Zum Vergrößern anklicken....

Die Aussage macht aber keinen Sinn. Denn ein zusätzlicher 2FA OTP wäre ja keine Minderung der Sicherheit zu deiner aktuellen lokalen PW Speicherung. Im Gegenteil. Den der Ort wo du dein Passwort eingibst kann genau so eine Schwachstelle sein. Ich habe meine verschlüsselte PW-Datei auch lokal auf dem NAS zusätzlich nochmals in einer TrueCrypt Datei verschlüsselt. Trotzdem würde ich deshalb niemals auf eine 2FA verzichten. Und ja, einloggen wird mühsamer mit 2FA, aber was solls? Lieber so als ein unnötiges Risiko eingehen, mit dem was man da mittlerweile auf Plattformen alles hinterlegt.
 
  • Gefällt mir
Reaktionen: stevefrogs, DonDonat und Paddy0293
Dafür gibt es ja dann den Google VPN, der macht die Übertragung wieder sicher :daumen:
 
Paddy0293 schrieb:
Selbst gehostet ? Wenn nicht, genauso sinnlos Bitwarden könnte ja auch von Sicherheitslücken betroffen sein :)
Zum Vergrößern anklicken....
Spielt das eigentlich eine große Rolle? Außer mir hat doch niemand den Key.

@ news
Das ist schon echt schwach! Habe gestern erst wieder hier und da die 2FA aktiviert und war eigentlich kurz davor den Authenticator von Google zu verwenden.
 
Google kann also sehen wo ihre Kunden Accounts haben und bei Bedarf Sicherheitsbehörden auch gleich noch das Passwort dazu liefern? Praktisch ...
Aus irgendeinem Grunde höre ich gerade im Hinterkopf die Prinzen singen, mit leicht abgewandeltem Text.
Ui, sowas findet sich sogar auf Youtube

Derweil hoffe ich dass niemand meine Platte durchsucht und die Anmeldedaten für Nexusmods findet die da immer noch unverschlüsselt rumliegen. Aber hey, wer auf meinem System ist kann auch die Zwischenablage und die Tastatur abgreifen. >.>
 
  • Gefällt mir
Reaktionen: Tanzmusikus
Dramamodus aktiviert
 
  • Gefällt mir
Reaktionen: piepenkorn und rosenholz
Brink_01 schrieb:
Spielt das eigentlich eine große Rolle? Außer mir hat doch niemand den Key.
Zum Vergrößern anklicken....
Klar wenn Hacker sich ins System klinken, wird es ein leichtes für die Hacker sein die Passwörter ect. auszulesen.

Das ist ein riesen Unterschied "privat hosten + VPN" im Gegensatz zu bitwarden direkt.
Das ist ja genau der Grund warum viele überhaupt privat hosten.
 
  • Gefällt mir
Reaktionen: Seven2758
Wow das ist Unentschuldbar.

Bin beim MS Authenticator + Offline Backupsmartphones.

Klar unrealistisch dass da was passiert aber mindestens ein Entwickler wusste genau was er da geschrieben hat. Schwachstelle ok egal, aber absichtlich eine Schwachstelle?!?
 
Wo kann man denn im Google Authenticator sehen, ob die Funktion aktiviert ist?
Mir ist nicht bewußt, dies aktiviert zu haben. Aber sicher bin ich mir nicht.
 
Tobber83 schrieb:
Wo kann man denn im Google Authenticator sehen, ob die Funktion aktiviert ist?
Mir ist nicht bewußt, dies aktiviert zu haben. Aber sicher bin ich mir nicht.
Zum Vergrößern anklicken....

Naja das Update wird in Wellen verteilt. Ich habe es noch nicht erhalten, aber wenn ich so in den Foren lese wir nach dem Update gefragt ob du es Snchronisieren möchtest und da kann man es verneinen und es bleibt deaktiviert. Und vermutlich gibt es dann bei den Einstellungen ein zusätzlichen Punkt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kim88
Leserartikel Gnome-Projekt: Ein Quantensprung in der digitalen Infrastruktur durch die Finanzierung des Sovereign Tech Fund?
Antworten
14
Aufrufe
1.165
netzgestaltung
netzgestaltung
eYc
Pixel 4a/7a Now Playing Verlauf sichern/exportieren - Google Drive - Displayschaden
Antworten
3
Aufrufe
1.526
eYc
eYc
DJMadMax
Leserartikel PCIe 4.0-SSDs im RAID0-Verbund: 1x, 2x und 3x Kingston KC3000 im Spieletest
2
Antworten
35
Aufrufe
5.950
DJMadMax
DJMadMax
DJMadMax
  • Artikel
Leserartikel Intel Alder Lake und die E-Cores im Gaming: gelöst? Mitnichten!
3 4 5
Antworten
94
Aufrufe
36.220
DJMadMax
DJMadMax
SFFox
Fritz!Box 7590 AX - WiFi 6 VR Streaming - Quest 2 & 3 / Pico 4
15 16 17
Antworten
334
Aufrufe
46.142
SFFox
SFFox

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz