Vor kurzem gab Google bekannt, dass der Google Authenticator ab sofort auch die Synchronisierung der Einmalcodes mit deinem Google-Konto unterstützt. Allerdings ist diese Option (noch) nicht Ende-zu-Ende verschlüsselt. Google hat erklärt, warum.
Google Authenticator – Noch keine E2E-Verschlüsselung bei Synchronisierung mit Google Account
Sicherheitsforscher von Mysk haben den Netzwerkverkehr analysiert und herausgefunden, dass die synchronisierten Einmalpasswörter nicht Ende-zu-Ende verschlüsselt sind. Google hat somit (theoretisch) Einblick in die Einmalcodes. Mysk empfiehlt, die App vorerst ohne die neue Synchronisierungsfunktion zu verwenden.
Google hat sich danach ebenfalls zu Wort gemeldet
Man konzentriere sich immer auf die Sicherheit der Nutzer, dies gilt auch für das neueste Update des Google Authenticator. Ziel sei es, Funktionen anzubieten, die Benutzer schützen, ABER nützlich und bequem sind.
Daten werden während der Übertragung verschlüsselt, im Ruhezustand und über die Produkte hinweg, einschließlich in Google Authenticator. E2E-Verschlüsselung ist eine leistungsstarke Funktion für zusätzlichen Schutz, jedoch auf Kosten der Möglichkeit, dass Nutzer ohne Wiederherstellung von ihren eigenen Daten ausgeschlossen werden.
Um Benutzern alle Optionen zu bieten, habe man damit begonnen, einigen Produkten eine optionale E2E-Verschlüsselung anzubieten, es bestehen Pläne, dass dies später auch für den Google Authenticator erfolgt.
Alternativ kann der Authenticator weiterhin offline verwendet werden