MFA ist sicher – wenn man Passwörter, Zugangscodes oder TANs für die erweiterte Identitätsbestätigung für sich behält. Gelangen Authentifizierungs-Faktoren in die Hände von Cyberkriminellen, kann dies verheerende Folgen für die digitale Existenz von Anwendern haben.
So geschehen ist das laut einem Statement der Google Threat Intelligence Group von April bis Juni 2025 bei Nutzern von Google-Konten. Als Folge von Phishing-Angriffen richteten Anwender ein „App-Passwort“ für ihr Google-Konto ein und übermittelten das 16-stellige App-Passwort den Cyberkriminellen. Diese erlangten damit die völlige Kontrolle über die jeweiligen Google-Konten. Betroffen sind auch alle Dienste, die mit dem Google-Konto verbunden sind. Seitens Google wird bei der Anmeldung über ein App-Passwort kein weiterer Authentifizierungsfaktor verlangt. Grundsätzlich rät Google von der Verwendung von App-Passwörtern ab. Lediglich bei der Erstellung eines App-Passwortes ist eine 2 Faktor-Authentifizierung zwingend erforderlich.
Technisch gesehen werden App-Passwörter nur benötigt, wenn unsicheren Apps oder Geräten der Zugriff auf das Google-Konto verweigert wird. Mit der Eingabe eines App-Passwortes kann blockierten Quellen der Zugriff erlaubt werden. Es handelt sich also um ein mächtiges sicherheitsrelevantes Werkzeug, das keinesfalls an Dritte weitergegeben werden darf.
Quellen:
Statement im Google-Blog: Google Threat Intelligence Group zu Phishing von App-Passwörtern
Google Konto Hilfe: Anmeldung mit App-Passwörtern
Russische Hacker umgehen Googles MFA mit App-Passwörtern – Golem.de
