Zwei-Faktor-Authentifizierung: Authy mit Chrome-Erweiterung
von caschy | 9 Kommentare
Authy ist ein Dienst, den wir hier im Blog bereits Ende 2013 vorgestellt haben. Authy realisiert das Verwalten von Konten, die mittels Zwei-Faktor-Authentifizierung fungiert. Quasi wie der Google Authenticator oder HDE OTP. Authy unterscheidet sich von den beiden genannten Lösungen etwas. Während andere Clients ausschließlich lokal funktionieren, kann Authy übergreifend arbeiten und erspart vielleicht einigen von euch die Arbeit des Einrichtens.
Einmal eingerichtet, lassen sich die eingetragen Accounts, beziehungsweise die Startcodes verschlüsselt über Gerätegrenzen hinweg synchronisieren und Authy als Authentifikator-App nutzen. Heute erschien dann die zusätzliche Chrome-App für Authy, die das Ganze auch einfach am PC ermöglicht, anscheinend ist die Pflege des Ganzen einfacher, als die nativen Apps, die man auch im Angebot hat.
Die Authy-Macher erklären das Ganze noch einmal im Hausblog und beantworten Fragen, was passiert, wenn der PC auf dem Authy eingesetzt wird, kompromittiert wird. Auch wenn stark verschlüsselt: man muss sich selbst fragen, ob man aus Bequemlichkeit die Codes für die Zwei-Faktor-Authentifizierung aus der Hand gibt. Normalerweise benötigt man diese eigentlich nicht so häufig und für eine erneute Einrichtung bei einem etwaigen Gerätewechsel hat man vielleicht noch die QR-Codes, die man bei der Ersteinrichtung bekommen hat.
[appbox chromewebstore gaedmjdfmmahhbjefcbgaolhhanlaolb]
Wird geladen ...
Der Laie kommt jetzt und denkt: „Toll, endlich ist das Plus an Sicherheit nicht mehr so umständlich und ich brauche mein Telefon nicht mehr.“
Dass das aber genau die Sicherheit ausmacht wird irgendwie nicht wirklich kommuniziert.
Für die erneute Einrichtung eines neuen SmartPhones/Tablets ist WinAuth (https://winauth.com/) sehr praktisch. Diese kann auch im Nachhinein die QR Codes wieder generieren, was den Prozess erheblich verkürzt. Zudem lässt sich diese Anwendung auch von einem USB Stick ausführen.
Gibt es für den totalen 2-Faktor-Idioten noch irgendwo eine verständliche Anleitung?
Ich lese zwar schon lange bei den Thema mit. Habe es aber ehrlich gesagt einfach nie richtig verstanden. Wenn ich jetzt im Text oben die letzten zwei Sätze lese, verstehe ich nur noch Bahnhof.
Ob mir da jemand auf für Sprünge hilft?
Naja, du musst beim Anmelden neben deinem Passwort bei aktiviertem 2-Factor einen immer anders lautenden zeitabhängige Code eingeben, den dir ein z.B. Smart Phone ausspuckt.
Bei der Ersteinrichtung scannst du mit deinem gewünschten Second Factor Gerät einen QR-Code ein.
Sinn des ganzen ist, dass Kriminelle nun neben Benutzernamen und Passwort auch Zugriff auf dein Smartphone benötigen würden, um sich anzumelden, was die Sache schwieriger macht.
Authy ermöglicht eine komfortable Nutzung mehrerer Geräte als Second Factor (d.h. Code-Ausspucker) über verschlüsselte Synchronisation der Einrichtungscodes über die Cloud.
@thommesborg Ich hoffe diese Selbstverlinkung ist gerechtfertigt und du kannst meinen Ausführungen folgen: http://mainboarder.de/artikel/4653/wie-die-zwei-faktor-authentifizierung-funktioniert.html
@Thommesbord: ist extra oben im Text verlinkt, hilft vielleicht auch http://stadt-bremerhaven.de/dein-projekt-wichtige-accounts-mit-der-zwei-faktor-authentifizierung-absichern/
Danke: thommesborg.
Existiert auch eine Erklärung ohne das man ein Abitur haben muss?
Solange ich das nicht verstehe werde ich es auch nicht einsetzen.
Aus meiner Sicht ist es so sicher sodass ich mich selber Endgültig aussperren kann.
Also man braucht ein Handy, was mache ich wenn mein Handy nicht verfügbar (Akku leer, kein Empfang, Defekt oder oder) ist?
Irgensdwie ist mir zu hoch!?
@Dirk K. Dein Smartphone ist nur eine Variante einer 2 Faktor Authentifizierung. Es kann bspw. SMS sein (dein Handy), es kann eine App auf dem Smartphone sein (Google Authenticator bspw.), es kann aber auch eine E-Mail an eine hinterlegte Adresse sein, die einen Sicherheitscode erwartet. Es geht bei 2FA nur darum, statt einem Faktor (Passwort) einen zweiten Faktor hinzuzufügen, der einem Angreifen (hoffentlich) nicht zur Verfügung steht.
Jetzt macht es beim Mail Login bspw. in GMail wenig Sinn, eine Mail senden zu lassen als 2. Faktor, also hat eben – auch durch Verbreitung von Handys/Smartphones – jenes Telefon häufig den Job des zweiten Faktors.
Zur Frage: Was mache ich wenn nicht verfügbar. Da gibt es mehrere Möglichkeiten:
* Du benutzt eine App für den 2. Faktor (Authenticator): Dann musst du nur dein Smartphone bei dir haben und die App starten. Strom wär toll, aber du sitzt am PC, also sollte ein Micro-USB Kabel nicht schwer zu haben sein.
* Du nutzt SMS: Kein Empfang wäre hier doof, ebenso wie Batterie leer.
* Gerät komplett defekt: Sehr ungeschickt, weil dein 2. Faktor fehlt.
ABER: Es gibt bei fast allen Diensten, die 2FA anbieten sog. Recovery Codes, die man eingeben kann um die 2FA abzuschalten (diese Codes werden beim Einrichten angezeigt und sollten bestens notiert und abgelegt werden). Das ist die umständliche Möglichkeit.
Es gibt – ebenfalls für fast alle 2FA Dienste – noch eine Liste von ca. 5-10 Codes, die ein Einmaliges Einloggen zulassen und danach sofort verfallen. Diese sind immer gültig und werden ebenfalls beim ersten Einrichten angelegt. Man sollte sie wie den Recovery Code speichern. Ich habe diese bspw. in meinem Passwort Safe abgelegt.
Hat man alle verbraucht, kann man wieder neue generieren. Sofern man noch mind. einen solchen Einmalcode hat, ist es kein Problem sich auch mal ohne Handy einzuloggen.
Hoffe geholfen zu haben.
Grüße
Danke Jens G.
Und genau das ist das Problem, mein Handy ist nur ein Spielzeug für mich bzw. das unwichtigste was ich benötige und ab und an kündige ich meinen Handyvertrag und bin mehrere Wochen nicht mobil zu erreichen.
Wie damals als die Sparkasse SMS TAN eingeführt hat, inakzeptabel.
Schön das es genügend Personen gibt die Handyabhängig sind und somit den Provider ausgeliefert sind.