Google Authenticator für iOS: Update bringt mehr Sicherheit und Komfort
Google hat seiner Authenticator-App für iOS mal wieder ein kleines Update spendiert, das die App nicht nur sicherer, sondern auch komfortabler machen soll. Unter anderem gibt es jetzt eine Privatsphärefunktion, die euch das Entsperren der App via Face ID oder Touch ID erlaubt, vorher bekommt ihr die Liste der Codes nicht zu Gesicht.
Weiterhin wurde das Übertragen von Konten auf ein neues Gerät verbessert, mittlerweile könnt ihr nicht nur ein, sondern viele verschiedene Konten auswählen und per QR-Code auf ein neues Gerät schieben. Solltet ihr viele verschiedene Konten im Authenticator hinterlegt haben, hilft euch die neue Suche dabei, das richtige zu finden.
Das Update kann ab sofort aus dem App Store geladen werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Ich wurde bei einem iOS Update vom Google Authenticator schwer enttäuscht und rate jedem dazu, diesen nicht zu nutzen. Ich bin auf Microsoft Authenticator umgestiegen, welcher ebenfalls den hier erwähnten Produktumfang bietet.
Würde ehrlich gesagt weder Google noch Microsoft vertrauen…..
Wenn Du eine 2FA-App verwenden willst, musst Du immer irgendjemanden Vertrauen. Und ich weiß jetzt nicht, ob das Vertrauen in eine mir völlig unbekannte Firma eher gerechtfertigt ist, als das Vertrauen in Google oder Microsoft.
Ich würde sagen „immer“ ist zu pauschal. Was ist mit Open-Source?
Beispielsweise „Authenticator“ (https://apps.apple.com/de/app/authenticator/id766157276) nutzt überhaupt keine Netzverbindungen. Wer sicher gehen will lädt sich den Quelltext von Github und durchsucht mal mittels RegEx nach IP-Adressen und TLD-Domains.
Jetzt könnten wir noch das Thema reproducible builds unter iOS thematisieren. Pragkamtisch kann man die App aber auch auf einem nackten Device installieren und Wiresharken…
Naja, wenn über Open Source geredet wird, ist plötzlich jeder ein erfahrener Developer, der den Code durchforstet und alles versteht. Wenn dass so wäre, würde ich die Leute am liebsten alle gleich einstellen. Aber wie gesagt, ich halte das für Blödsinn. Nur weil etwas Open Source ist, bedeutet das nicht gleich Sicherheit und Transparenz. Einmal Code-Review und die Aussage der vermeintlichen Code-Kenner ist entzaubert, weil sie meist keine Ahnung haben. Das muss nicht für Dich gelten, dem nächsten Leser bringt es aber letztlich nichts, wenn Du mal ausnahmsweise jemand bist, der etwas vom Coden versteht.
Google Authenticator habe ich früher auch benutzt, bin aber mittlerweile zu Authy gewechselt, da man das direkt mit mehreren Geräten nutzen (u.a. auch als Windows-App) und die Einträge Synchronisieren kann. So ist man nicht unbedingt aufs Smartphone angewiesen und wenn man mal ein neues Gerät bekommt, einfach App installieren, anmelden, entschlüsseln und fertig.
Hi, ich nutze jetzt den MS Autheticator, kann man die Einträge irgendwie zu Authy übertragen oder müsste ich alles neu einrichten ?
Wahrscheinlich eher neu einrichten. Aber sicher bin ich mir nicht.
Mir fällt nur kein Grund ein, warum man diesen Wechsel überhaupt vollziehen sollte. Was sind Deine Gründe?
Ganz theoretisch könnten die Gründe auch Werbung für eine bestimmte App mittels einer fingierten Kommunikation in einem Blog sein. Ich sage nicht, dass das so ist, aber theoretisch wäre es möglich.
nein ich mache keine Werbung, ich möchte es einfach nur wissen, ob und wie es funktionieren würde.
Sorry, manchmal wird man halt skeptisch, weil tatsächlich solche gefakten Blog-Kommentare zu Reklamezwecken ab und zu mal zu sehen sind. Schriftliche Kommunikation hat schon ihre Grenzen :-).
Zu Authy kann ich dir nichts sagen, ich benutze das nicht. Habe unten auch schon geschrieben warum ich das lieber manuell synchronisiere. Ich mache mir beim Einrichten von TOTPs einen Screenshot vom QR-Code oder kopiere den String und speichere die auf dem Desktop in Keepass. Wenn ich irgendein mobiles Gerät neu einrichten will, habe ich die QRs alle an einem Platz, das geht recht schnell. Kommt natürlich drauf an wie viele Du hast, bei mir sind es ca. 10 und ich wechsele meine Mobilgeräte auch nicht jedes halbe Jahr.
es interessiert mich einfach aus technischer Sicht. Bei MS stört mich tatsächlich, dass die Einträge nicht zwischen mehreren Geräten synchronisiert werden. Ich kann zwar ein Backup anlegen, muss das dann aber händisch auf anderen Geräten einspielen.
Hm… kann man bei MS nicht einen Microsoft-Account nutzen? Dann sollten die Keys doch alle vorhanden sein, sobald man sich mit dem User einloggt.
Dann bietet Authy also eine Schnittstelle, die einen Remote- Zugriff auf die hinterlegten OTP-Seeds zulässt. Genau das disqualifiziert eine App in meinen Augen als sichere OTP-App. Diese Schnittstelle stellt einen Angriffsvektor dar, den Apps ohne Synchronisation per se nicht haben. Ich nehme die kleine Unannehmlichkeit beim kopieren meiner Seeds mittels Medienbruch (QR-Code, String) in Kauf und verzichte auf automatische Synchronisation.
OTP Auth ist auch zu empfehlen. Es ist Open Source und bietet alles was man braucht, inklusive eines verschlüsselten Backup in der iCloud (falls gewünscht).
Und es kostet ebenfalls nichts, ist Werbefrei und Datenschutzfreundlich. Der In-App Kauf ist lediglich eine Kaffeespende an den Entwickler.
OTP Auth gibt es aber wohl nur für iOS. Das würde ich nur machen, wenn man sich gaaaanz sicher ist, dass man auf der Plattform bleiben will.
Für Android gibt es vergleichbares, z.B. andOTP von f-droid, welches ebenfalls Open Source ist.
Mir fehlt lediglich die Face-ID-Absicherung der App.
Ich würde auch einen Bogen um Google Authenticator machen. Es gibt genügend gute Alternativen (z.B. von RedHat den FreeOTP Authenticator) und bei Google Authenticator werden eure Nutzungsdaten erfasst was dann sogar ein Sicherheitsproblem darstellen kann (davon abgesehen geht es Google nichts an wo und wie oft ich mich irgendwo einlogge)