Google Authenticator - Versionsgeschichte

Horst Gräbner: Wikilinks für das Artikelverständnis nicht erforderlich

2025-01-25T10:44:02Z

Wikilinks für das Artikelverständnis nicht erforderlich

← Nächstältere Version		Version vom 25. Januar 2025, 12:44 Uhr
Zeile 27:		Zeile 27:
	Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>		Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>

	Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem [[Mobilgerät]]. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />		Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />

	Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; es sei denn die integrierte Fingerprint-Identifikation in der App wurde aktiviert.		Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; es sei denn die integrierte Fingerprint-Identifikation in der App wurde aktiviert.

	Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein [[Passwort]].		Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort.

	== Synchronisation und Backup ==		== Synchronisation und Backup ==

OnionObserver: /* growthexperiments-addlink-summary-summary:2|0|0 */

2025-01-25T10:32:55Z

Linkvorschlag-Funktion: 2 Links hinzugefügt.

← Nächstältere Version		Version vom 25. Januar 2025, 12:32 Uhr
Zeile 27:		Zeile 27:
	Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>		Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>

	Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />		Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem [[Mobilgerät]]. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />

	Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; es sei denn die integrierte Fingerprint-Identifikation in der App wurde aktiviert.		Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; es sei denn die integrierte Fingerprint-Identifikation in der App wurde aktiviert.

	Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort.		Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein [[Passwort]].

	== Synchronisation und Backup ==		== Synchronisation und Backup ==

2001:A62:1AD0:1:A0F4:4DDE:61CE:245E: Werbung für Konkurrenzprodukte in der Einleitung entfernt

2025-01-03T10:51:00Z

Werbung für Konkurrenzprodukte in der Einleitung entfernt

← Nächstältere Version		Version vom 3. Januar 2025, 12:51 Uhr
Zeile 20:		Zeile 20:
	}}		}}
	[[Datei:Google Authenticator for Android icon.svg\|mini\|136x136px\|Logo bis April 2023]]		[[Datei:Google Authenticator for Android icon.svg\|mini\|136x136px\|Logo bis April 2023]]
	'''Google Authenticator''' ist eine [[Mobile App]] des Unternehmens [[Google Inc.\|Google]]. Sie ermöglicht ~~– ähnlich wie etwa [[Authy\|Twilio Authy]] oder Microsoft Authenticator –~~ eine [[Zwei-Faktor-Authentisierung]] (2FA) mittels [[Einmalkennwort\|Einmalkennwörtern]] gemäß der branchenübergreifenden [[Initiative For Open Authentication]] (OATH).		'''Google Authenticator''' ist eine [[Mobile App]] des Unternehmens [[Google Inc.\|Google]]. Sie ermöglicht eine [[Zwei-Faktor-Authentisierung]] (2FA) mittels [[Einmalkennwort\|Einmalkennwörtern]] gemäß der branchenübergreifenden [[Initiative For Open Authentication]] (OATH).

	== Funktionsweise und Schwachstellen ==		== Funktionsweise und Schwachstellen ==

Joschi71: /* Funktionsweise und Schwachstellen */ typo

2024-12-03T22:14:11Z

Funktionsweise und Schwachstellen: typo

← Nächstältere Version		Version vom 4. Dezember 2024, 00:14 Uhr
Zeile 29:		Zeile 29:
	Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />		Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />

	Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; es sei denn die integrierte Fingerprint Identifikation in der App wurde aktiviert.		Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; es sei denn die integrierte Fingerprint-Identifikation in der App wurde aktiviert.

	Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort.		Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort.

212.8.243.74: /* Funktionsweise und Schwachstellen */

2024-12-03T17:18:09Z

Funktionsweise und Schwachstellen

← Nächstältere Version		Version vom 3. Dezember 2024, 19:18 Uhr
Zeile 29:		Zeile 29:
	Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />		Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />

	Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; ~~die~~ ~~App~~ ~~selbst~~ ~~ist~~ ~~nicht~~ ~~separat~~ ~~mit~~ ~~[[Persönliche~~ ~~Identifikationsnummer\|PIN]]~~ ~~oder~~ ~~Fingerabdruck~~ ~~geschützt~~.		Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; es sei denn die integrierte Fingerprint Identifikation in der App wurde aktiviert.

	Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort.		Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort.

Xiooix am 2. August 2024 um 13:35 Uhr

2024-08-02T13:35:28Z

← Nächstältere Version		Version vom 2. August 2024, 15:35 Uhr
Zeile 7:		Zeile 7:
	\|Hersteller = [[Google LLC\|Google]]		\|Hersteller = [[Google LLC\|Google]]
	\|Erscheinungsjahr = 20. September 2010		\|Erscheinungsjahr = 20. September 2010
	\|AktuelleVersion = 6.0		\|AktuelleVersion = 7.0
	\|AktuelleVersionFreigabeDatum = 24. ~~April~~ ~~2023~~		\|AktuelleVersionFreigabeDatum = 02. August 2024
	\|AktuelleVorabVersion =		\|AktuelleVorabVersion =
	\|AktuelleVorabVersionFreigabeDatum =		\|AktuelleVorabVersionFreigabeDatum =

Jowereit: Fix Weiterleitungslinks

2024-01-08T07:07:23Z

Fix Weiterleitungslinks

← Nächstältere Version		Version vom 8. Januar 2024, 09:07 Uhr
Zeile 23:		Zeile 23:

	== Funktionsweise und Schwachstellen ==		== Funktionsweise und Schwachstellen ==
	Google Authenticator unterstützt in nicht [[Request for Comments\|RFC]]-konformer Implementierung mit in der Länge reduzierten Geheimcodes den Standard [[HMAC-based ~~One~~-time ~~Password Algorithmus~~]] (~~OATH-~~HOTP) nach <nowiki>RFC 4226</nowiki>, ein auf einem Zähler basierendes ~~Einmalkennwortverfahren~~,<ref>{{RFC-Internet \|RFC=4226 \|Titel=HOTP: HMAC-based One-time Password Algorithm \|Datum=}}</ref> und davon ~~abgeleitet~~ ~~den~~ [[Time-based ~~One~~-time ~~Password Algorithmus~~]] (~~OATH-~~TOTP) nach <nowiki>RFC 6238</nowiki>, ~~der~~ ein zeitbezogenes ~~Einmalkennwortverfahren darstellt~~.<ref name="RFC6238" />		Google Authenticator unterstützt in nicht [[Request for Comments\|RFC]]-konformer Implementierung mit in der Länge reduzierten Geheimcodes den Standard [[HMAC-based one-time password]] (HOTP) nach <nowiki>RFC 4226</nowiki>, ein auf einem Zähler basierendes Einmalkennwort-Verfahren,<ref>{{RFC-Internet \|RFC=4226 \|Titel=HOTP: HMAC-based One-time Password Algorithm \|Datum=}}</ref> und den davon abgeleiteten Standard [[Time-based one-time password]] (TOTP) nach <nowiki>RFC 6238</nowiki>, ein zeitbezogenes Einmalkennwort-Verfahren.<ref name="RFC6238" />

	Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>		Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>

Emberwit: linkfix

2023-08-11T18:40:36Z

linkfix

← Nächstältere Version		Version vom 11. August 2023, 20:40 Uhr
Zeile 5:		Zeile 5:
	\|Beschreibung =		\|Beschreibung =
	\|Maintainer =		\|Maintainer =
	\|Hersteller = [[Google]]		\|Hersteller = [[Google LLC\|Google]]
	\|Erscheinungsjahr = 20. September 2010		\|Erscheinungsjahr = 20. September 2010
	\|AktuelleVersion = 6.0		\|AktuelleVersion = 6.0
Zeile 20:		Zeile 20:
	}}		}}
	[[Datei:Google Authenticator for Android icon.svg\|mini\|136x136px\|Logo bis April 2023]]		[[Datei:Google Authenticator for Android icon.svg\|mini\|136x136px\|Logo bis April 2023]]
	'''Google Authenticator''' ist eine [[Mobile App]] des Unternehmens [[Google Inc.]] Sie ermöglicht – ähnlich wie etwa [[Authy\|Twilio Authy]] oder Microsoft Authenticator – eine [[Zwei-Faktor-Authentisierung]] (2FA) mittels [[Einmalkennwort\|Einmalkennwörtern]] gemäß der branchenübergreifenden [[Initiative For Open Authentication]] (OATH).		'''Google Authenticator''' ist eine [[Mobile App]] des Unternehmens [[Google Inc.\|Google]]. Sie ermöglicht – ähnlich wie etwa [[Authy\|Twilio Authy]] oder Microsoft Authenticator – eine [[Zwei-Faktor-Authentisierung]] (2FA) mittels [[Einmalkennwort\|Einmalkennwörtern]] gemäß der branchenübergreifenden [[Initiative For Open Authentication]] (OATH).

	== Funktionsweise und Schwachstellen ==		== Funktionsweise und Schwachstellen ==

GünniX: WPCleaner v2.05 - Wikipedia:WPSK (Undefiniertes Ende bei Einzelnachweis)

2023-06-13T04:32:17Z

WPCleaner v2.05 - Wikipedia:WPSK (Undefiniertes Ende bei Einzelnachweis)

← Nächstältere Version		Version vom 13. Juni 2023, 06:32 Uhr
Zeile 23:		Zeile 23:

	== Funktionsweise und Schwachstellen ==		== Funktionsweise und Schwachstellen ==
	Google Authenticator unterstützt in nicht [[Request for Comments\|RFC]]-konformer Implementierung mit in der Länge reduzierten Geheimcodes den Standard [[HMAC-based One-time Password Algorithmus]] (OATH-HOTP) nach <nowiki>RFC 4226</nowiki>, ein auf einem Zähler basierendes Einmalkennwortverfahren,<ref>{{RFC-Internet \|RFC=4226 \|Titel=HOTP: HMAC-based One-time Password Algorithm \|Datum=}}</ref> und davon abgeleitet den [[Time-based One-time Password Algorithmus]] (OATH-TOTP) nach <nowiki>RFC 6238</nowiki>, der ein zeitbezogenes Einmalkennwortverfahren darstellt.~~</ref>~~<ref name="RFC6238" />		Google Authenticator unterstützt in nicht [[Request for Comments\|RFC]]-konformer Implementierung mit in der Länge reduzierten Geheimcodes den Standard [[HMAC-based One-time Password Algorithmus]] (OATH-HOTP) nach <nowiki>RFC 4226</nowiki>, ein auf einem Zähler basierendes Einmalkennwortverfahren,<ref>{{RFC-Internet \|RFC=4226 \|Titel=HOTP: HMAC-based One-time Password Algorithm \|Datum=}}</ref> und davon abgeleitet den [[Time-based One-time Password Algorithmus]] (OATH-TOTP) nach <nowiki>RFC 6238</nowiki>, der ein zeitbezogenes Einmalkennwortverfahren darstellt.<ref name="RFC6238" />

	Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>		Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>

PerfektesChaos: tk k

2023-06-12T23:43:47Z

tk k

← Nächstältere Version		Version vom 13. Juni 2023, 01:43 Uhr
Zeile 19:		Zeile 19:
	\|Dateien =		\|Dateien =
	}}		}}
	[[Datei:Google Authenticator for Android icon.svg~~\|alternativtext=Logo bis April 2023~~\|mini\|136x136px\|Logo bis April 2023]]		[[Datei:Google Authenticator for Android icon.svg\|mini\|136x136px\|Logo bis April 2023]]
	'''Google Authenticator''' ist eine [[Mobile App]] des Unternehmens [[Google Inc.]] Sie ermöglicht – ähnlich wie etwa [[Authy\|Twilio Authy]] oder Microsoft Authenticator – eine [[Zwei-Faktor-Authentisierung]] (2FA) mittels [[Einmalkennwort\|Einmalkennwörtern]] gemäß der branchenübergreifenden [[Initiative For Open Authentication]] (OATH).		'''Google Authenticator''' ist eine [[Mobile App]] des Unternehmens [[Google Inc.]] Sie ermöglicht – ähnlich wie etwa [[Authy\|Twilio Authy]] oder Microsoft Authenticator – eine [[Zwei-Faktor-Authentisierung]] (2FA) mittels [[Einmalkennwort\|Einmalkennwörtern]] gemäß der branchenübergreifenden [[Initiative For Open Authentication]] (OATH).

	== Funktionsweise und Schwachstellen ==		== Funktionsweise und Schwachstellen ==
	Google Authenticator unterstützt in nicht [[Request for Comments\|RFC]]-konformer Implementierung mit in der Länge reduzierten Geheimcodes den Standard [[HMAC-based One-time Password Algorithmus]] (OATH-HOTP) nach RFC 4226, ein auf einem Zähler basierendes Einmalkennwortverfahren, und davon abgeleitet den [[Time-based One-time Password Algorithmus]] (OATH-TOTP) nach RFC 6238, der ein zeitbezogenes Einmalkennwortverfahren darstellt.~~<ref>[https://tools.ietf.org/html/rfc4226 RFC 4226 HOTP: HMAC-based One-time Password Algorithm]~~</ref><ref~~>[https://tools.ietf.org/html/rfc6238~~ ~~RFC~~ ~~6238 TOTP: Time-Based One-Time Password Algorithm]<~~/~~ref~~>		Google Authenticator unterstützt in nicht [[Request for Comments\|RFC]]-konformer Implementierung mit in der Länge reduzierten Geheimcodes den Standard [[HMAC-based One-time Password Algorithmus]] (OATH-HOTP) nach <nowiki>RFC 4226</nowiki>, ein auf einem Zähler basierendes Einmalkennwortverfahren,<ref>{{RFC-Internet \|RFC=4226 \|Titel=HOTP: HMAC-based One-time Password Algorithm \|Datum=}}</ref> und davon abgeleitet den [[Time-based One-time Password Algorithmus]] (OATH-TOTP) nach <nowiki>RFC 6238</nowiki>, der ein zeitbezogenes Einmalkennwortverfahren darstellt.</ref><ref name="RFC6238" />

	Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>		Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach <nowiki>RFC 4226</nowiki> sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. [[Feature-Request\|Feature-Requests]] zur Unterstützung moderner [[Hashfunktion\|Hashfunktionen]] wie [[SHA-2]] werden seit Jahren nicht berücksichtigt.<ref>{{Internetquelle \|url=https://github.com/google/google-authenticator-libpam/issues/11 \|titel=Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam \|sprache=en \|abruf=2021-03-23}}</ref>

	Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />		Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse ([[Shared Secret\|Shared Secrets]]) im [[Klartext (Kryptographie)\|Klartext]] in einer [[SQLite]]-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende [[Rooten]]) oder durch [[Sicherheitslücke]]n im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.<ref name="recover-google-authenticator-keys" />
Zeile 36:		Zeile 36:
	Vor Version 6.0 konnten Konten samt ''Geheimnis'' nur per [[QR-Code]] auf ein anderes Gerät übertragen werden, eine [[Datensicherung\|Backup]]-Möglichkeit fehlte. Bei Verlust oder Funktionsuntüchtigkeit des Geräts half dies jedoch nicht, alle 2FA-geschützten Konten müssen neu eingerichtet werden.		Vor Version 6.0 konnten Konten samt ''Geheimnis'' nur per [[QR-Code]] auf ein anderes Gerät übertragen werden, eine [[Datensicherung\|Backup]]-Möglichkeit fehlte. Bei Verlust oder Funktionsuntüchtigkeit des Geräts half dies jedoch nicht, alle 2FA-geschützten Konten müssen neu eingerichtet werden.

	Seit Version 6.0 werden die eingerichteten Konten mit dem [[Google-Konto]] synchronisiert und dort mutmaßlich im [[Klartext (Kryptographie)\|Klartext]] abgelegt.<ref>{{Internetquelle ~~\|autor=heise online~~ \|url=https://www.heise.de/news/Google-Authenticator-Passcodes-im-Google-Konto-gespeichert-8978311.html \|titel=Google Authenticator: Einmal-Codes im Google Konto gespeichert \|datum=2023-04-25 \|sprache=de \|abruf=2023-04-26}}</ref><ref>{{Internetquelle ~~\|autor=heise online~~ \|url=https://www.heise.de/news/Google-Authenticator-Warnung-Backup-der-geheimen-Saat-im-Klartext-8979932.html \|titel=Google Authenticator: Warnung - Backup der geheimen ~~"Saat"~~ im Klartext \|datum=2023-04-26 \|sprache=de \|abruf=2023-04-26}}</ref>		Seit Version 6.0 werden die eingerichteten Konten mit dem [[Google-Konto]] synchronisiert und dort mutmaßlich im [[Klartext (Kryptographie)\|Klartext]] abgelegt.<ref>{{Internetquelle \|url=https://www.heise.de/news/Google-Authenticator-Passcodes-im-Google-Konto-gespeichert-8978311.html \|titel=Google Authenticator: Einmal-Codes im Google Konto gespeichert \|werk=heise online \|datum=2023-04-25 \|sprache=de \|abruf=2023-04-26}}</ref><ref>{{Internetquelle \|url=https://www.heise.de/news/Google-Authenticator-Warnung-Backup-der-geheimen-Saat-im-Klartext-8979932.html \|titel=Google Authenticator: Warnung – Backup der geheimen „Saat“ im Klartext \|werk=heise online \|datum=2023-04-26 \|sprache=de \|abruf=2023-04-26}}</ref>

	== Quellcode-Lizenz ==		== Quellcode-Lizenz ==
Zeile 44:		Zeile 44:
	== Pseudocode ==		== Pseudocode ==

	[[Pseudocode]] des TOTP-[[Algorithmus]] gemäß RFC 6238:		[[Pseudocode]] des TOTP-[[Algorithmus]] gemäß <nowiki>RFC 6238</nowiki>:<ref name="RFC6238" />

	function '''GoogleAuthenticatorCode'''(''string'' secret)		function '''GoogleAuthenticatorCode'''(''string'' secret)
Zeile 59:		Zeile 59:
	== Weblinks ==		== Weblinks ==
	* [https://github.com/google/google-authenticator Projektseite] auf [[GitHub]] (englisch)		* [https://github.com/google/google-authenticator Projektseite] auf [[GitHub]] (englisch)
	* RFC 6238 ~~beinhaltet~~ eine [[Java (Programmiersprache)\|Java]]-Implementierung ~~(englisch)~~		* {{RFC-Internet \|RFC=6238 \|Titel=TOTP: Time-Based One-Time Password Algorithm \|Datum= \|Kommentar=enthält eine [[Java (Programmiersprache)\|Java]]-Implementierung}}

	== Einzelnachweise ==		== Einzelnachweise ==
	<references>		<references>
	<ref name="recover-google-authenticator-keys">{{Internetquelle \| url = https://gist.github.com/jbinto/8876658 \| titel = Recovering Google Authenticator keys from Android device for backup \| ~~zugriff~~ = 2016-11-19 \| kommentar = Auf Android-Mobilgeräten wird der Geheimcode unter ''/data/data/com.google.android.apps.authenticator2/databases/databases'' gespeichert}}</ref>		<ref name="recover-google-authenticator-keys">
			{{Internetquelle
			\|url=https://gist.github.com/jbinto/8876658
			\|titel=Recovering Google Authenticator keys from Android device for backup
			\|abruf=2016-11-19
			\|kommentar=Auf Android-Mobilgeräten wird der Geheimcode unter ''/data/data/com.google.android.apps.authenticator2/databases/databases'' gespeichert}}
			</ref>
			<ref name="RFC6238">
			{{RFC-Internet \|RFC=6238 \|Titel=TOTP: Time-Based One-Time Password Algorithm \|Datum=}}
			</ref>
	</references>		</references>