Authy will Zwei-Faktor-Authentifizierung erleichtern
von caschy | 10 Kommentare
Was macht eigentlich Authy? Der Dienst bietet eine Möglichkeit an, die zu generierenden Codes für eure Zwei-Faktor-Authentifizierung via Cloud zu synchronisieren, sodass ihr auf allen Geräten den gleichen Stand habt, auf Tablets oder Smartphones muss eine Authentificator-App nicht mehrmals eingerichtet werden.
Letztens erst veröffentlichte man die aktualisierte iOS-App, die das Ablesen von Zwei-Faktor-Codes direkt über die Apple Watch erlaubt, nun will man Dienstbetreiber für eine neue Form der Sicherheit gewinnen. Momentan ist es so: nutzt der Anwender einen Dienst, der eine Zwei-Faktor-Authentifizierung benötigt, so muss er sich mit E-Mail-Adresse und Passwort authentifizieren, zudem danach den auf dem Smartphone generierten Code als weiteren Sicherheitsaspekt eingeben.
Zukünftig könnte es so laufen, dass der Dienst die Authentifizierung einfordert, Authy per Push eine Bestätigung an den Nutzer des Smartphones sendet, die er nur noch ablehnen oder bestätigen muss – ohne die Eingabe des Codes. Eine Sache von Nutzererfahrung und Zeitersparnis. Der Dienst von Authy hört dabei auf den Namen Authy OneTouch, sicher etwas, von dem man noch hören wird. Das Angebot von Authy finanziert sich über die Einnahmen aus Business-Lösungen, der Auth-Dienst nebst Apps ist dabei kostenlos für den Endanwender. Apps stehen für Windows, OS X (als Chrome-Erweiterungen) Android und iOS zur Verfügung.
Und ob man Authy nun nutzen will oder nicht: die Zwei-Faktor-Authentifizierung ist wichtig, viele Dienste unterstützen sie schon.
Wird geladen ...
Ich meine Microsoft hat sowas auch. Die App heißt dann Microsoft Konto, wenn man sich auf einer Microsoft-Seite anmeldet (getestet mit outlook.com, onedrive.com), dann erhält man eine Pushnachricht, die man ganz einfach akzeptieren oder ablehnen kann. Sehr praktisch!
Ja genau, hat mich auch sofort an das praktische Microsoft Gedöns erinnert. Hatte mich auch schon gefragt, warum Authy sowas nicht anbietet – sehr schön, dass das nun doch kommt 🙂
Leider gibt’s die Microsoft App nicht für iOS.
Aber wie redet der Account der den Code braucht mit Authy?
Für OSX via Chrome-Erweiterung? Dann wird das auch unter Linux funktionieren, oder? Jemand Erfahrungen damit?
Hab gerade meinen Aluhut auf. Verstehe ich das richtig, dass Authy also den geheimen Teil der Zwei-Faktor-Authentifizierung in seiner Cloud speichert und dort auch die entsprechenden Codes erzeugt? Wie wird der Account bei Authy gesichert?
Irgendwie klingt das nach einer seltsamen Idee, erst Zwei-Faktor-Authetifizierung einzurichten und dann das ganze in die Cloud zu schieben. Man kann sich bestimmt trefflich darüber streiten welches Sicherheitsniveau jeweils angebracht ist – aber als Business-Lösung?
@stefan: Die App generiert die Codes. Offline. Die mögliche Synchronisation, also der Initial-Token, der wird in der Cloud gesichert. Hab das hier beschrieben: http://stadt-bremerhaven.de/authy-zwei-faktor-authentifizierung-mit-synchronisation/
Gabs über Authy nicht vor einigen Monaten Hinweise auf unsichere Server?
@cashy: Danke. Ich hab das so gelesen: der Initial-Token mit dem man die Token erzeugt liegt also in der Cloud. Der entscheidende Punkt um diesen zweiten Schlüssel zu knacken wäre also das Authy-Konto. Der Vorteil, dass das Geheimnis des zweiten temporären Schlüssels nur lokal ist also dahin. Nächster Angriffsvektor wäre eventuell die Synchronisierung, die hoffentlich ordentlich gesichert ist.
Was soll da schon schief gehen, wenn ein Dienst zentral Initial-Token in der Cloud speichert. Aber gut. Für Privatanwender ist das wahrscheinlich kein ernstes Problem sondern ein Kompromiss aus Sicherheit und Bequemlichkeit. Wenn dadurch mehr Leute Zwei-Faktor-Authentifizierung benutzen…
@stefan: Die über die Authy-Cloud synchroniserten Startwerte werden auf Client-Seite mit einem „Backup-Passwort“ verschlüsselt, welches Authy nicht bekannt ist. Du musst es auf jedem Device, welches Du ankoppeln willst, neu eingeben.
@Norbert: Von diesem Problem waren nur die Benutzer betroffen, bei denen der Diensteanbieter Authy als Provider für seine 2FA-Absicherung einsetzt. Das trifft für alle diejenigen, die Authy als hübscheren TOTP-Generator mit Sync-Feature einsetzen, nicht zu.
@jkrwdf: Okay, das klingt schon mal nicht schlecht. Muss man nur noch der Krypto trauen die sie da benutzen. Sorry, Aluhut klebt fest 😉