Thenticate: Android-App aus Deutschland synchronisiert 2FA-Zugänge
Viele Dienste bieten heute eine Zwei Faktor-Authentifizierung an. Das Thema hatten wir hier diverse Male im Blog. Kurz gesagt: Neben Nutzername und Passwort kommt bei einem Login bei einem Dienst eine dritte Abfrage ins Spiel. Hierbei handelt es sich beim klassischen TOTP um einen Zahlencode, der per SMS aufs Smartphone kommt oder in einer App generiert wird. Vorteil der letzten Variante: Funktioniert auch offline und hat keine Wartezeit. Nun ist es heutzutage so, dass wir oft mehrere Geräte nutzen. Habe ich das Smartphone nicht zur Hand, so kann ich mich unter Umständen nicht einloggen, da ich die App zum Generieren eines Codes nicht zur Hand habe.
Abhilfe schaffen da unbequeme Notfall-Codes oder auch spezielle Apps. Passwortmanager wie LastPass, Enpass oder 1Password können beispielsweise plattformübergreifend auch TOTP bieten (viele raten nachvollziehbar davon ab, Nutzername, Passwörter und TOTP in einer App zu nutzen), oder aber auch Apps wie Authy. Letztere verwaltet über einen Account verschlüsselt die Zugänge zu den Diensten über Gerätegrenzen hinweg. Dies macht unter Android nun auch die neue App Thenticate von den deutschen Machern Frederik Schweiger und Georg Bednorz.
Twitter: Zwei-Faktor-Authentifizierung mit Codegenerator-App nutzen
Sicherheit: Zwei-Faktor-Authentifizierung für dein Amazon-Konto in Deutschland freigeschaltet
Zwei-Faktor-Authentifizierung bei Facebook einrichten
WhatsApp: So aktivierst du die Zwei-Faktor-Authentifizierung für mehr Sicherheit
Apple: Von Zweistufiger Bestätigung auf Zwei-Faktor-Authentifizierung wechseln
Hier werden die Accounts altbekannt manuell oder über einen Scancode eingerichtet. Die eingerichteten 2FA-Accounts werden dann zwischen verschiedenen Android-Endgeräten über den Google-Login synchronisiert gehalten. Dabei wird nicht einfach synchronisiert, der Nutzer muss auch ein Master-Passwort festlegen. Es wird lokal verschlüsselt, synchronisiert und erst auf einem neuen Gerät nutzbar gemacht, sofern das Master-Passwort stimmt. Für Wearable-Fans: die App unterstützt auch Android Wear.
Die App ist easy aufgebaut, zeigt die Konten recht nett an. Farblich kann der Spaß angepasst werden, Icons stehen auch zur Auswahl. Kann man sich bei Interesse durchaus angucken.
https://play.google.com/store/apps/details?id=eu.overmorrow.thenticate
Ich nutze Authy schon seit Ewigkeiten.
Authenticator Plus funktioniert auch astrein
auch wenn ich es selbst nicht besser mache: 2fa und passwortmanager haben weder auf dem gleichen gerät noch in der gleichen hosentasche was zu suchen. ein gefährlicher trend. mobile banking ist da nicht besser: pushtan auf dem gleichen smartphone einzurichten, das für banking verwendet wird – meist irgendwelche chinabomber mit rootzugriff, prost mahlzeit – und dann noch die spaßvögel von n26 aber das weicht zu weit vom thema ab… wenn jetzt noch eine app alle 2fa schlüssel über mehrere geräte synchronisiert, muss man sicherlich nicht mehr lange warten, bis uns das ganze konstrukt aus pseudosicherheit um die ohren fliegt. ich prophezeie für 2017 noch mindestens eine richtig große schlagzeile auf dem gebiet, die alles bisher dagewesene in den schatten stellen und bisherige 2fa-gewohnheiten komplett in frage stellen wird.
Mal schauen… die Synchronisierung bei Thenticate erfolgt über den Google-Account. Meinen Google-Account habe ich mit 2FA gesichert. Dieses 2Ta-Token würde ich dann auch bei Thenticate einrichten… A braucht B braucht A. Nee, danke.
Da bleibe ich lieber bei FreeOTP und synchronisiere extern.
Sehr hübsch, gefällt mir
Wie kann man denn bei FreeOTP synchronisieren? Hatte ich mir auch angeschaut und wegen der fehlenden synchronisieren dann verworfen
Aber was heisst hier syncen? Speichern und abfragen oder auf zwei Geräten gleichzeitig. Beispiel: Ich verliere mein Smartphone und installiere ein neues… komme ich dann an die Daten?
Ist das jetzt besser, schlechter oder anders als Authy?
@Jan: FreeOTP kann nicht synchen, richtig. Das habe ich wohl unglücklich formuliert. Ich richte alle Zugänge auf meinem Smartphone und zusätzlich in WinAuth auf meinem Rechner ein. Sollte mein Smartphone kaputt gehen kann ich dann mit den Daten in WinAuth ein neues Smartphone einrichten.
Bei mir kommt „In deinem Land nicht verfügbar ?“ (1&1 DSL in Deutschland 🙂
Wird damit die 2FA nicht irgendwie ad absurdum geführt?
Danke für den Blogpost! Leider haben wir im Moment Probleme mit der Google-Anmeldung und arbeiten gemeinsam mit Google an einer Lösung des Problems. Aus diesem Grund ist die App für eine kurze Zeit nicht verfügbar – wir bitten um Euer Verständnis!
Nutzen ebenfalls Authenticator Plus. Dazu gesellt sich dann noch die kostenlose und portable open-source Software „WinAuth“ welche auf einem USB Stick als Backup dient falls mir das Handy mal abhanden kommen sollte.
Wir haben die Probleme mit Google nun gelöst und hoffen, dass Euch die App gefällt.
@Steffen: Deine Tokens werden verschlüsselt in der Cloud gespeichert und diese kannst Du problemlos auf jedem (neuen) Smartphone wiederherstellen (vorausgesetzt Du behältst Dein Masterpasswort 😉 ).
Authenticator Plus, kann das schon lange und macht das super.
Ich wünschte nur, diese ZusatzAuth wird wieder abgeschafft. Wie oft ich schon Accounts wieder entlocken musste und wie viele SIM-Karten ich dafür bereits im Schub liegen habe, ist nicht mehr normal. 🙁
Authenticator+ kann das auch mit syncen. Dies ist nicht nur auf Google Drive beschränkt. Ich verwendees schon seit einiger Zeit, da es eine der ersten war mit Wear-Support.
Thumbs Up!
@Frederik Schweiger
Ich nutze Authy und hab zum Test euer Thenticate installiert und vorerst keine Berechtigungen erteilt. Kann ich es so nutzen? Beim Einrichten kam die Meldung ‚Display Overlay erkannt „Um diese Berechtigungseinrichtung zu ändern, müssen Sie zunächst das Display-Overlay über „Einstellungen“ > „Apps“ deaktivieren.‘ Damit tat ich mir schwer und habe dann dieses Feature total (= für alle Apps) deaktiviert. Danach war Einrichtung eines meiner Google Konten möglich. Der zu diesem Konto generierte Code weicht von dem von Authy fast gleichzeitig generierten ab. Kann ich mich mit BEIDEN Codes identifizieren?
Zum Thema „Passwortmanager haben weder auf dem gleichen Gerät noch in der gleichen Hosentasche was zu suchen“ – was fürs Verlieren des Geräts stimmt; etwas schlimmer ist’s, wenn’s sogar die SELBE Hosentasche ist 😉 :
Kann man dieses eher geringe Risiko ENTSCHÄRFEN?
Auty/Thenticate bieten PIN-Schutz. 4 Ziffern. Auf mehr erhöhen, Zeichen/Umlaute/Sonderzeichen ermöglichen?
Auty bietet Aktivierung/Deaktivierung von ‚multi-device‘. FernABschaltung ermöglichen? FernEINschaltung als passwortgeschützte wählbare Voraussetzung anbieten?
@bat Ich habe bei Authy ein längeres Masterpasswort, nicht nur Ziffern …
Ansonsten ist halt immer die Frage, ob man alles Risiko verhindern kann. Aber man muss sich eben immer etwas verbessern 😉