andOTP: Open-Source-OTP-App für Android
von caschy | 12 Kommentare
Über Passwort-Manager und optionale OTP-Apps für die Codes der Zwei-Faktor-Authentifizierung haben wir uns schon oft unterhalten. Es ist so: Hat man ein Konto mit der Zwei-Faktor-Authentifizierung abgesichert, dann genügt nicht mehr Name und Passwort, stattdessen kommt ein weiterer Code zum Einsatz, der generiert werden muss – via einer App.
Manche Passwort-Manager (u.a. 1Password, SafeInCloud, Enpass oder Bitwarden) haben den Nutzern gleich die Möglichkeit in die Hand gegeben, dass sie innerhalb der App die entsprechenden Codes generieren können, aber nicht alle Lösungen können dies.
Und dann kommen eben die OTP-Apps ins Spiel. Da gibt es einige. Manche synchronisieren über Gerätegrenzen hinweg, andere haben lediglich eine Backup-Funktion, die man natürlich auch nutzen sollte. Die bekannteste OTP-App ist sicher der Google Authenticator, aber auch Authy oder Thenticate darf man erwähnen.
Eine andere, noch junge App im Betastadium ist andOTP. Komplett Open Source, ist sie ein Fork der App OTP Authenticator, die nicht mehr gepflegt wird. Generiert auch Einmal-Passwörter, lässt sich auf diverse Arten sperren und eine verschlüsselte sowie unverschlüsselte Sicherungsmöglichkeit ist auch vorhanden.
Der Entwickler schreibt, dass ein Teil des verwendeten Verschlüsselungsschlüssels im Android KeyStore System gespeichert wird. Der Vorteil dieses Ansatzes besteht darin, dass der Schlüssel getrennt von den Daten der Apps aufbewahrt wird und als Bonus durch Hardware-Kryptographie gesichert werden kann (sofern euer Gerät dies unterstützt). Aufgrund dieser Trennung können Backups mit Anwendungen von Drittanbietern wie Titanium Backup jedoch nicht mit andOTP verwendet werden.
Falls ihr also auf der Android-Plattform mal eine OTP-App sucht, ausprobieren wollt oder nach eigener Sichtung empfehlen sollt, dann schaut euch andOTP mal an.
https://play.google.com/store/apps/details?id=org.shadowice.flocke.andotp
Wird geladen ...
Hab erst kürzlich alle meine Zweifaktor Master keys erneuert und diese bewusst nicht mehr in meinem Passwortsafe gespeichert. Vorher hatte ich alle Codes in der gleiche KeePass Datenbank wie meine Passwörter. Das ist natürlich sicherer als gar keine 2FA, aber eben auch ein bisschen gegen den eigentlichen Sinn von ZWEI Faktoren. Und da man in der Regel das 2FA Passwort nur beim erstmaligen login benötigt, ist eine 2FA App auch nicht wesentlich aufwändiger.
andOTP käme für mich nicht in Frage, weil die Synchronisation fehlt. Nutze aktuell Authy, was zwar noch open source ist, aber wenigstens nicht meine Passwörter UND 2FA Codes kennt. Die keys nur auf einem Gerät liegen zu haben wäre mir zu riskant.
@caschy wie löst du das mit den Backup Codes die man von vielen Anbietern bekommt? Habe da noch keine gute Lösung gefunden.
@tr: Authy ist in meinen Augen die für mich beste Lösung.
Achtung, andOTP ist noch im Beta-Status und das merkt man.
Exportierte Backups sind teils leer (blöd, wenn man das zu spät bemerkt) und letztens wurden offenbar bei mir die App-Daten beschädigt und alle Accounts waren aus der App verschwunden.
In der Auflistung fehlt mir noch „Authenticator Plus“. Der bietet nicht nur ein Backup, sondern unterstützt im Gegensatz zu vielen anderen auch die Codes des Battle.net.
Wie funktioniert das, dass mir so eine App einen Code für z. B. meinen Google Account erstellt? Ich dachte ich bin da auf die 2FA-App vom Anbieter angewiesen?
OTP-Codes sollten keinesfalls gemeinsam mit den Passwörtern gespeichert werden, da dies das Prinzip der Trennung in zweiten Faktor aushöhlt.
Der Yubico Authenticator speichert die Codes auf dem Yubikey NEO, der per NFC verbunden werden muss – die wohl sicherste Lösung. Prinzipbedingt ist hier allerdings kein Backuo möglich.
@me: Es gibt einen Standard für die Erzeugung der Codes, sodass Du z.B. Google, Amazon, Facebook, Dropbox und Twitter alle mit derselben App verwalten kannst.
spricht was gegen FreeOTP (https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp), das ich hier seit langem nutze?
FreeOTP bietet weder Backup noch Sync. Das macht den Wechsel des Smarthphones unnötig aufwändig. Außerdem wurde die App seit knapp zwei Jahren nicht mehr aktualisiert.
Das Backup von FreeOTP klappt hervorragend mit Oandbackup. Und Sync via Cloud will man nicht, dann kann man auch gleich auf den zweiten Faktor verzichten, wenn man diesen dann ins Internet bläst. Davon abgesehen, einer Closed Source App vertraut man sowieso weder Passwörter noch Teile davon an.
Kurzum, FreeOTP ist für mich seit Jahren die Lösung der Wahl.
oandbackup benötigt root-Rechte. Es gibt eine Menge Nutzer, die keinen Root-Zugang wollen (z.B. weil bestimmte Apps dann den Dienst verweigern) oder dürfen (Firmenhandy). Daher ist eine Backup-Funktion extrem hilfreich.
Nice, werde dann wahrscheinlich auch von FreeOTP auf diese App hier umsteigen, da eben keine Backup-Funktion.
Weiß jemand ob Steam den Standard OTP Algorithmus verwendet? Die wollen immer dass man deren App installiert, hab ich aber gar keine Lust zu…