Google Authenticator synchronisiert jetzt Ihr Konto

Die Einmalcodes, die die Authenticator-App von Google zur Sicherung Ihrer Konten generiert, müssen nicht mehr an einem Ort gespeichert sein. Stattdessen können sie mit Ihrem Google-Konto synchronisiert werden.

Dieses am Montag von Google angekündigte Update schließt eine Funktionslücke zwischen Authenticator und konkurrierenden Authentifizierungs-Apps wie Authy von Twilio (sowie vielen Passwort-Manager-Diensten), die seit langem Cloud-Synchronisierung ermöglichen.

Alle diese Apps verhindern, dass ein Passwort die letzte Verteidigungslinie für ein Konto darstellt, indem sie schnell ablaufende Einmalcodes generieren, wie im TOTP-Standard (Time-Based One-Time Password) definiert. Wenn Sie diese Zahlen auf der Anmeldeseite einer Site eingeben, vergleicht die Site den von Ihnen eingegebenen Code mit einem Code, den sie gerade generiert hat, basierend auf einer gemeinsamen kryptografischen Formel, die erstellt wurde, als Sie die TOTP-Verifizierung aktiviert haben. Wenn sie übereinstimmen, sind Sie dabei.

Google Authenticator gehörte mit seiner Einführung im Jahr 2010 zu den ersten TOTP-Apps für den Massenmarkt, unterstützte jedoch in den ersten Jahren keine Telefon-zu-Telefon-Übertragung gespeicherter Codes. Man musste sie für jedes Konto auf einem neuen Gerät neu einrichten, eine Aufgabe, die, wie Google-Sicherheitschef Stephan Somogyi mir 2017 zugab, „eine völlige, totale und ungemilderte Qual“ war.

Google hat später ein angenehmeres Codeübertragungssystem hinzugefügt, bei dem die Kopie von Authenticator auf Ihrem alten Telefon einen QR-Code generiert, den Sie mit Authenticator auf Ihrem neuen Gerät scannen. Dies funktioniert jedoch nicht mit einem verlorenen oder gestohlenen Telefon, während die neue Funktion zur Kontosynchronisierung sicherstellt, dass Ihre Codes bei Ihnen bleiben, es sei denn, Sie entscheiden sich für die Verwendung von Authenticator ohne Konto.

Um es einzurichten, aktualisieren Sie die Google Authenticator-App und Sie werden aufgefordert, ein Google-Konto zu verknüpfen. Anschließend können Sie beispielsweise den Google Authenticator für iPad herunterladen, sich mit demselben Google-Konto anmelden und Codes sowohl auf dem iPad als auch auf dem iPhone erhalten.

Darüber hinaus hat sich das App-Symbol von Google Authenticator von einem stilisierten grauen „G“ zu einem Sternchen in den Markenfarben von Google, Blau, Rot, Gelb und Grün, geändert.

Durch die Synchronisierung Ihrer TOTP-Codes mit Ihrem Google-Konto erhöht sich auch der potenzielle Schaden, der durch eine Gefährdung Ihres Google-Kontos entstehen könnte. Wenn Sie dies verwenden möchten, sollten Sie Ihr Konto mit einem USB-Sicherheitsschlüssel sperren, der sichersten verfügbaren Zwei-Faktor-Authentifizierung. Diese Schlüssel, die bei Yubico und anderen Anbietern für 25 US-Dollar und mehr erhältlich sind, überprüfen auch Ihre Identität auf der Grundlage gemeinsamer kryptografischer Geheimnisse. Und da sie diesen Austausch nicht einmal mit dem falschen Domainnamen versuchen, sind sie immun gegen Phishing.

Die passwortlose Authentifizierung, bei der Sie Ihre Anmeldung an einem Computer bestätigen, indem Sie Ihr Telefon per biometrischer Authentifizierung entsperren (um zu bestätigen, dass Sie es sind), während Sie sich in unmittelbarer Nähe dieses Computers befinden (durch Bluetooth überprüft, um zu beweisen, dass Sie tatsächlich dort sind), ist möglich Wegfall der gesamten Notwendigkeit einer Zwei-Faktor-Authentifizierung. Aber obwohl Apple, Google und Microsoft im vergangenen Frühjahr eine ungewöhnliche gemeinsame Unterstützung für die passwortlose Spezifikation abgegeben haben, steht die Branche gerade erst am Anfang der Unterstützung dieses Standards.

Melden Sie sich bei SecurityWatch anNewsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.

Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich mit unseren Nutzungsbedingungen und Datenschutzrichtlinien einverstanden. Sie können den Newsletter jederzeit abbestellen.

Ihr Abonnement wurde bestätigt. Behalten Sie Ihren Posteingang im Auge!