Google Authenticator

Google Authenticator

Logo der App
Basisdaten

EntwicklerGoogle
Erscheinungsjahr20. September 2010
Aktuelle Version6.0
(24. April 2023)
BetriebssystemAndroid, iOS, Blackberry OS
Lizenzproprietäre Lizenz[1], proprietäre Lizenz, Apache-Lizenz, Version 2.0[2][1]
deutschsprachigja
play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
Logo bis April 2023

Google Authenticator ist eine Mobile App des Unternehmens Google Inc. Sie ermöglicht – ähnlich wie etwa Twilio Authy oder Microsoft Authenticator – eine Zwei-Faktor-Authentisierung (2FA) mittels Einmalkennwörtern gemäß der branchenübergreifenden Initiative For Open Authentication (OATH).

Funktionsweise und Schwachstellen

Google Authenticator unterstützt in nicht RFC-konformer Implementierung mit in der Länge reduzierten Geheimcodes den Standard HMAC-based One-time Password Algorithmus (OATH-HOTP) nach RFC 4226, ein auf einem Zähler basierendes Einmalkennwortverfahren,[3] und davon abgeleitet den Time-based One-time Password Algorithmus (OATH-TOTP) nach RFC 6238, der ein zeitbezogenes Einmalkennwortverfahren darstellt.[4]

Google Authenticator verwendet einen nur 80 Bit langen Geheimcode; nach RFC 4226 sollte die Länge des Geheimcodes hingegen mindestens 128 Bit betragen, 160 Bit sind empfohlen. Feature-Requests zur Unterstützung moderner Hashfunktionen wie SHA-2 werden seit Jahren nicht berücksichtigt.[5]

Google Authenticator speichert die mit den Servern vereinbarten Geheimnisse (Shared Secrets) im Klartext in einer SQLite-Datenbank auf dem Mobilgerät. Die Sicherheit des Verfahrens hängt damit von der Sicherheit des verwendeten Mobilgeräts ab. Wird diese Sicherheit durch den Anwender (beispielsweise durch das bei Smartphones anzutreffende Rooten) oder durch Sicherheitslücken im Betriebssystem kompromittiert, können die Geheimnisse auch von Nichtberechtigten ausgelesen und zur Berechnung von Einmalpasswörtern verwendet werden. Wenn Angreifer in den physischen Besitz des Mobilgeräts – selbst im ausgeschalteten Zustand – gelangen, können sie die Geheimnisse aus dem Speicher des Geräts auslesen, sofern nicht das gesamte Gerät (sicher) verschlüsselt ist. Angreifer können so den zusätzlichen Schutz durch das zweistufige Verfahren aushebeln.[6]

Auf einem nicht gesperrten Smartphone kann zudem jeder die aktuellen Bestätigungscodes abrufen; die App selbst ist nicht separat mit PIN oder Fingerabdruck geschützt.

Trotz Schwächen in den Implementierungsdetails bewirkt die Nutzung der Zwei-Faktor-Authentifizierung sogar mit dieser App einen großen Zugewinn an Sicherheit, da der Aufwand für einen Angreifer bei Einsatz dieses Verfahrens erheblich höher ist als bei einer Ein-Faktor-Authentifizierung nur über ein Passwort.

Synchronisation und Backup

Vor Version 6.0 konnten Konten samt Geheimnis nur per QR-Code auf ein anderes Gerät übertragen werden, eine Backup-Möglichkeit fehlte. Bei Verlust oder Funktionsuntüchtigkeit des Geräts half dies jedoch nicht, alle 2FA-geschützten Konten müssen neu eingerichtet werden.

Seit Version 6.0 werden die eingerichteten Konten mit dem Google-Konto synchronisiert und dort mutmaßlich im Klartext abgelegt.[7][8]

Quellcode-Lizenz

Die Google Authenticator-App für Android war ursprünglich unter der Apache-Lizenz quelloffen und, wurde aber später proprietär.[9] Die letzte Open-Source-Version stammt aus dem Jahr 2020. Google stellte den früheren Quellcode seiner Authenticator-App auf seinem GitHub-Repository zur Verfügung; auf der zugehörigen Entwicklungsseite heißt es:[10][11]

Dieses Open-Source-Projekt ermöglicht es Ihnen, den Code herunterzuladen, der die Version 2.21 der Anwendung angetrieben hat. Nachfolgende Versionen enthalten Google-spezifische Workflows, die nicht Teil des Projekts sind.

Pseudocode

Pseudocode des TOTP-Algorithmus gemäß RFC 6238:[4]

function GoogleAuthenticatorCode(string secret)
    key := base32decode(secret)
    message := floor(current Unix time / 30)
    hash := HMAC-SHA1(key, message)
    offset := last nibble of hash
    truncatedHash := hash[offset..offset+3]  //4 bytes starting at the offset
    Set the first bit of truncatedHash to zero  //remove the most significant bit
    code := truncatedHash mod 1000000
    pad code with 0 until length of code is 6
    return code

Weblinks

  • RFC6238 – TOTP: Time-Based One-Time Password Algorithm. (enthält eine Java-Implementierung, englisch).
  • Projektseite auf GitHub (englisch)

Einzelnachweise

  1. a b gitlab.com.
  2. f-droid.org.
  3. RFC4226 – HOTP: HMAC-based One-time Password Algorithm. (englisch).
  4. a b RFC6238 – TOTP: Time-Based One-Time Password Algorithm. (englisch).
  5. Plans to support SHA256? · Issue #11 · google/google-authenticator-libpam. Abgerufen am 23. März 2021 (englisch).
  6. Recovering Google Authenticator keys from Android device for backup. Abgerufen am 19. November 2016 (Auf Android-Mobilgeräten wird der Geheimcode unter /data/data/com.google.android.apps.authenticator2/databases/databases gespeichert).
  7. Google Authenticator: Einmal-Codes im Google Konto gespeichert. In: heise online. 25. April 2023, abgerufen am 26. April 2023.
  8. Google Authenticator: Warnung – Backup der geheimen „Saat“ im Klartext. In: heise online. 26. April 2023, abgerufen am 26. April 2023.
  9. FreeOTP multi-factor authentication. In: LWN.net. 22. Januar 2014, abgerufen am 26. April 2023 (englisch).
  10. Google Authenticator auf GitHub
  11. Google Authenticator auf GitHub (Android-Version)

Auf dieser Seite verwendete Medien

Google Authenticator (April 2023).svg
Google Authenticator logo since April 2023
Google Authenticator for Android icon.svg
The app icon for Google Authenticator. Converted to SVG by uploader using Inkscape