Sicherheitsforscher: Passwort-Apps haben selbst Schwachstellen

Passwort-Anwendungen wie der Google Authenticator lassen Screenshots zu.

Passwort-Anwendungen wie der Google Authenticator lassen Screenshots zu.

Berlin. Viele Smartphone-Apps für die Zweifaktor-Authentifizierung (2FA) sind Sicherheitsforschern zufolge unsicher. Die Anwendungen, die Einmal-Passwörter als zweiten Faktor neben dem eigentlichen Passwort zum Anmelden bei Nutzerkonten generieren, ließen oft das Anfertigen von Screenshots zu, berichtet das Fachportal “Golem.de” - ein Umstand, der bereits von Schadsoftware ausgenutzt werde.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Zu den Apps, die keinen Schutz vor Screenshots implementiert haben, zählen den Angaben zufolge auch populäre Anwendungen wie der Google Authenticator oder der Microsoft Authenticator. Bei diesen Apps hätten die Experten in einem Kurztest problemlos Screenshots erstellen können.

Sicherheitsproblem bereits seit sechs Jahren bekannt

Wer auf Nummer sicher gehen möchte, sollte eine App wie die freie und quelloffene Android-Anwendung “andOTP” nutzen, die bereits vor Screenshot-Angriffen zum Abgreifen des One-Time-Passwords (OTP) geschützt sei. Eine weitere Alternative zur Generierung eines zweiten Faktors bei Anmeldungen sind Security-USB-Sticks (U2F), die etwa einfach an Rechner oder Notebook angesteckt werden.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Die Screenshot-Problematik soll bereits seit 2014 bekannt sein und war betroffenen Unternehmen zuletzt 2017 vom Sicherheitsunternehmen Nightwatch gemeldet worden, wie dieses mitteilt. Nachdem die Lücken jahrelang nicht behoben worden waren, hatten die Sicherheitsforscher ihre Erkenntnisse Anfang März veröffentlicht.

RND/dpa

Mehr aus Digital

 
 
 
 
 
Anzeige
Empfohlener redaktioneller Inhalt

An dieser Stelle finden Sie einen externen Inhalt von Outbrain UK Ltd, der den Artikel ergänzt. Sie können ihn sich mit einem Klick anzeigen lassen.

 

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unseren Datenschutzhinweisen.

Letzte Meldungen