2FA: Authy visualisiert Token besser
von caschy | 14 Kommentare
Vielleicht sind es die kleineren Änderungen, die ins Auge stechen. Authy (gehört mittlerweile zu Twilio) hat so eine vorgenommen. So stellt das Tool nämlich unter Android und iOS die Token mit sechs, sieben und acht Stellen deutlich besser dar. Diese werden aufgesplittet und nicht mehr an einem Stück gezeigt, wie es noch vorher der Fall war. Wobei man hier mal wieder Authy generell erwähnen darf – aber auch die Alternativen. Am 5. Mai war der Password Day, mein Kollege Oliver schrieb in diesem Beitrag darüber. Er erwähnte noch einmal die Zwei-Faktor-Authentifizierung – und wer mich kennt oder hier lange mitliest, der weiss: ich nutze sie und empfehle sie dauernd.
Dafür muss man aber nun einmal Codes generieren, OTP eben. Viele Dienste unterstützen da das gängige Verfahren; Google, Dropbox, Microsoft, Amazon und viele weitere. Manche fallen halt raus, weil die ihr eigenes Token-Süppchen kochen. Facebook, Apple oder aber Twitter. Hat man nur ein Smartphone, dann reicht wahrscheinlich eine App ohne Synchronisation, davon gibt es einige, der Google Authenticator ist da sicherlich bei vielen die erste Wahl. Bei mehreren Geräten wird es aber schon schwieriger, müsste man doch an jedem Gerät die Codes für die Zwei-Faktor-Authentifizierung einrichten.
Deswegen gibt es Clients, die den Spaß synchronisieren. Authenticator Plus beispielsweise, diese Client für Android synchronisiert auf Wunsch über die Dropbox. Oder eben das hier erwähnte Authy. Das ist nicht nur für Android zu haben, sondern auch als Chrome-Erweiterung und für iOS. Synchronisiert via Cloud alle eure OTP-Geschichten verschlüsselt, abrufbar an neuem Gerät nur, wenn via Passwort und Bestätigung an anderem Gerät oder per Code abgenickt wurde. Alternativen?
Kommt auf den von euch genutzten Passwort Manager an. Einige unterstützen schon die Anzeige von OTP direkt in der App, sodass unter Umständen auch Geräte-übergreifend synchronisiert wird. Meines Wissens sind da LastPass, 1Password und Enpass mit unterwegs. So braucht man keine App und kann in seinem Manager halt nachschauen, wenn ein Code verlangt wird.
Und ob man Authy nun nutzen will oder nicht: die Zwei-Faktor-Authentifizierung ist wichtig, viele Dienste unterstützen sie schon. Nutzt sie.
Wird geladen ...
@caschy: weißt du, was richtig cool wäre? Direkte Links zu den Apps (Authy und Authenticator Plus). Ja, ich weiß wie man Google nutzt, aber manchmal ist man einfach zu faul 😉 Die Appbox solltet ihr einfach immer einbinden.
Ich hätte einen anderen ‚Wunsch‘: was für 2FA-Tools gibt es unter Windows und was können diese?
Ich hatte kürzlich zwei Apps getestet, beide könnten aber dummerweise mit Amazon nichts anfangen.
Authy gibts doch auch unter Windows, ebenso Enpass.
Facebook nutzt auch das „gängige Verfahren“ und funktioniert tadellos mit den normalen Apps
@Benno: seit wann das denn? War vorher immer nur so schräg In App gelöst.
Für Facebook konnte man schon immer externe Code-Generatoren nutzen. Eine Anleitung gibt’s hier: https://www.authy.com/tutorials/add-2-factor-authentication-facebook/
Authy synchronisiert die Daten über die Cloud, damit man Authy auf verschiedenen Geräten sichern kann. Toll. Nur: Wie werden diese Daten gesichert? Wir reden hier immerhin von Password-Token. Wie wird sichergestellt, daß kein Mitarbeiter von Authy an meine Daten kommt? Auf der Webseite konnte ich auf einen schnellen Blick nichts dazu finden. Und einfach vertrauen will ich einer mir unbekannten Firma nicht. Dazu gab es zu viele Fälle, wo bei der Sicherheit geschlampt wurde.
Ich benutze Facebook auch in Enpass und Authy. Es wird bei Facebook zwar die App vorgeschlagen, aber genauso kann man auch den Code nutzen. Ich selbst habe es ein paar Monate schon in Betrieb. Die App hatte ich nie 😀
Verstehe nur Bahnhof. Was ist das überhaupt?
@esque:
Caschy schrieb: Synchronisiert via Cloud alle eure OTP-Geschichten verschlüsselt, abrufbar an neuem Gerät nur, wenn via Passwort und Bestätigung an anderem Gerät oder per Code abgenickt wurde.
@Caschy: Heißt das = sicher??
@bat Das beschreibt nur, wie man ein neues Gerät einrichtet. Das sagt aber nichts darüber aus, wie die Daten beim Transport und auf den Servern verschlüsselt werden.
Beispiel Dropbox (Hinweis: Wie hier beschrieben arbeitete Dropbiox vor einigen Jahren. Ich weiss nicht, ob das aktuell immer noch so ist.)): Da werden die Daten auf dem Server verschlüsselt. Sicher, oder? Nee, denn für die Daten ALLER User wird derselbe Schlüssel verwendet, der zumindest einigen Dropbox-Mitarbeitern bekannt ist. D.h. Dropbox-Mitarbeiter könnten Deine Daten entschlüsseln. Das ist nur vorgegaukelte Sicherheit.
Ich kann das mit Facebook nur bestätigen: Man soll die Facebook-App nutzen oder sich eine SMS schicken lassen, kann aber auch ganz easy den Authenticator nutzen. Funktioniert ohne Probleme!
Ich nutze Authenticator+. Kostet zwar etwas Geld, synchronisiert aber über die eigene Cloud die Dateien. Macht das Ganze für mich sehr angenehm! 🙂
Moin. Kann kann man owncloud auch mit authy nutzen? hat das schonmal jemand probiert?