Google Authenticator unterstützt jetzt die Synchronisierung von Google-Konten
von caschy | 30 Kommentare
Überraschende Neuerungen beim Google Authenticator. Der Google Authenticator ist eine mobile App, die zur Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) verwendet wird. Die App generiert zeitlich begrenzte Einmalpasswörter (Time-based One-Time Passwords, TOTP) oder HMAC-basierte Einmalpasswörter (HOTP) auf Basis eines gemeinsamen „Geheimnisses“ zwischen dem Benutzer und dem Dienst, für den die Authentifizierung erforderlich ist. Die Neuerung ist nun, dass man diese Codes jetzt nicht nur lokal speichern kann, sondern auch im Google-Konto selbst. Quasi so, wie es bei Authy auch der Fall ist.
Ein wichtiges Feedback, das Google im Laufe der Jahre von Nutzern erhalten habe, war die Komplexität im Umgang mit verlorenen oder gestohlenen Geräten, auf denen Google Authenticator installiert war. Da einmalige Codes in Authenticator nur auf einem einzigen Gerät gespeichert wurden, bedeutete der Verlust dieses Geräts, dass die Nutzer ihre Fähigkeit verloren, sich bei allen Diensten anzumelden, für die sie 2FA mit Authenticator eingerichtet hatten. Wichtig zu wissen: Das Ganze ist optional. Ihr könnt den Authenticator auch ohne Anmeldung nutzen. Und: Es funktioniert sowohl unter Android als auch iOS.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Soll das denn schon funktionieren? Ich finde dazu keine Einstellungen.
Es gibt eine neue Version 6.0, in der ist das drin. Wird zumindest mir im PlayStore allerdings noch nicht angeboten. Man findet sie allerdings auf den üblichen APK-Downloadseiten. Habe ich normalerweise auch kein Problem mit, allerdings tue ich mich bei dieser Art App dann doch etwas schwer damit, sie zu sideloaden. Von daher warte ich lieber… 🙂
Bis dahin kannst Du folgenden Workaround nutzen: App öffnen, und im Menü (3 Punkte) ‚Konten übertragen ‚ auswählen. So kannst Du Konten wenigstens manuell auf ein anderes Gerät kopieren.
Ich hätte nicht erwartet, dass ich das noch erlebe 🙂
und wieder eine App gekillt. authenticator plus wird nicht mehr verkauft.
aber du könntest ja noch die andere App kaufen. keiner hindert dich daran
Man kann doch schon immer ein 2FA auf mehreren Geräten einrichten. QR Code einfach mit zwei Geräten einscannen. Und außerdem sollte man immer einem Fallback haben für den fall das 2FA nicht geht. Aber gut das das ganze jetzt im Account Synchronisiert wird. Werde das mal testen. Bin aktuell bei Microsoft, weil der sowas kann, und der Google Authenticator mal nach einem Update alle Codes gelöscht hatte…
Ich sichere meine 2F Codes immer nochmal als Screenshot in einem Veracrypt Container, der immer nur im Bedarfsfall kurz aufgesperrt wird. Anschließend werden die Dateien aus dem Screenshot Archiv gelöscht. Zusätzlich kann ich den Screenshot in Keeper einlesen und mir dort ebenfalls die 2F-PIN erzeugen lassen. Als dritte Ebene nutze ich auf dem Android die Aegis App. Damit kann ich verschlüsselte und automatisierte Backups der gesamten 2F-Config erstellen. Außerdem kann ich die Aegis Backups mit in die Google Cloud Sicherung einbeziehen.
Meine 2F-Codes haben gerade wieder problemlos einen ROM-Wechsel mit kompletter Neuinstallation überstanden.
Die Vorstellung, meine 2F-Codes durch Google Software in die Google Cloud speichern zu lassen, finde ich nicht so prickelnd. Bei Interesse kann jeder US Dienst die Herausgabe erzwingen.
>Die Vorstellung, meine 2F-Codes durch Google Software in die Google Cloud
>speichern zu lassen, finde ich nicht so prickelnd. Bei Interesse kann jeder
>US Dienst die Herausgabe erzwingen.
Das ist natürlich richtig. Aber es ist ja „nur“ der 2. Faktor, ohne Dein Passwort ist der relativ wertlos. Und da im Authenticator keine Benutzernamen gespeichert werden, ist eine automatisierte Zusammenführung zu Accounts aus anderen Datenlecks wahrscheinlich auch auch nur mit sehr hohem Aufwand möglich.
Außer natürlich ein US Dienst hat es persönlich auf Dich abgesehen, aber dann hast Du wahrscheinlich eh ein ganz anderes Problem 😉
Der zweite Faktor wurde zur Absicherung gegen Passwortverlust erfunden. Dass Passwörter nicht mehr sicher genug sind, ist inzwischen eher der gemeinsame Nenner, statt Streitthema. Die Sicherheit deines Passworts kannst du niemals garantieren, so lange du nicht genau weißt, wie es gespeichert und abgesichert ist. Es hat in der Vergangenheit schon mehrfach Hacks gegeben, bei den ein ungesalzener Hash weg kam oder bei dem das Passwort nicht gut genug verschlüsselt war.
Wenn ich jetzt meine Absicherung als unwichtig einstufe („Ich habe ja noch das Passwort“), dann macht das gesamte Konzept keinen Sinn mehr. Du sagst ja auch nicht, ich habe eine Alarmanlage und einen Haustürschlüssel. Wenn die Alarmanlage ausfällt, braucht man immer noch den Haustürschlüssel.
Nebenbei: Da es kostenlose besser Systeme gibt, warum eigentlich diese Diskussion?
> Die Vorstellung, meine 2F-Codes durch Google Software in die Google Cloud speichern zu lassen, finde > ich nicht so prickelnd. Bei Interesse kann jeder US Dienst die Herausgabe erzwingen.^
Welche konkreten Nachteile entstehen mir daraus? Mit „konkret“ meine ich tatsächlich konkret und kein „hätte, könnte, würde“, also für mich persönlich greif- und verstehbare Nachteile, am Besten in Euro und Cent. Ach so: ich habe nicht vor jemals in das Reich des Bösen, also die USA zu reisen.
Ich habe es bewusst schwammig formuliert. Ich habe noch keine konkrete Bedrohung im Kopf, aber den Zweiten-Faktor aus der Hand zu geben, ist auf jeden Fall keine gute Idee. ich schwinge mich dabei nicht zum „ich weiß es besser“ auf, sondern es ist mein Gefühl und meine Einschätzung.
Wie schlecht die Idee der Cloudspeicherung ist, kann man jetzt übrigens in neueren Artikeln nachlesen. Google sichert den Zweiten-Faktor nicht verschlüsselt.
2FA Schlüssel in die Cloud zu packen ist so ziemlich das dämlichste, was man tun kann. Allein per Gesetz hat die US Regierung das Recht, sämtliche Inhalte auszulesen. Wenn man nun seinen Passwortmanager (zum Beispiel 1Password) ebenso in der Cloud hat, haben die nicht nur euer Passwort, sondern ebenso den 2FA Schlüssel eurer Accounts. Tipp: Kauft euch zwei YubiKey und nutzt den Smartphone 2FA (egal ob Google oder Microsoft) nur wenn’s nicht anders geht.
lol und die US Regierung braucht auch sicher dein PW und 2fa weil die per Patriot act und Co ja nicht durch die Hintertür rein gehen.
Das kommt darauf an, um welchen Dienst genau es geht. 2FA funktioniert nicht nur bei Twitter, Facebook und Instagram, sondern lässt sich auch bei in Deutschland oder auch bei selbst gehosteten Diensten verwenden.
> Allein per Gesetz hat die US Regierung das Recht, sämtliche Inhalte auszulesen
Genau… und du nutzt bestimmt keinen einzigen Dienst wo deine Daten auf amerikanischen Servern gespeichert werden: Keine Google, Apple oder Microsoft Dienste. Quasi alle Dienste, die ich nicht selbst hoste, die einen Yubikey akzeptieren, werden in Amerika gehosted. Unter der von dir genannten Prämisse würde ja in solchen Fällen auch ein Yubikey nichts bringen, da die amerikanische Regierung ja sowieso alle Daten ausliest.
>>Allein per Gesetz hat die US Regierung das Recht, sämtliche Inhalte auszulesen.
Auch an Dich die Frage:
Welche konkreten Nachteile entstehen mir daraus? Mit „konkret“ meine ich tatsächlich konkret und kein „hätte, könnte, würde“, also für mich persönlich greif- und verstehbare Nachteile, am Besten in Euro und Cent. Ach so: ich habe nicht vor jemals in das Reich des Bösen, also die USA zu reisen.
Die Frage, welche konkreten Nachteile durch den fremden Zugriff auf die eigenen Daten entstehen, lässt sich immer erst im Nachgang beantworten.
Vmtl. eher nicht. Höchstwahrscheinlich kannst Du gar keine Zusammenhänge erkennen.
2FA nehme ich nur wg. eavesdropping – ganz sicher nicht gegen Regierungen, die vorne höflich und mit meinem Schlüssel durch die Tür gehen wollen. Ich denke, die gehen eh zum Hausmeister oder kommen durchs Klo hoch.
> Allein per Gesetz hat die US Regierung das Recht, sämtliche Inhalte auszulesen.
Das ist so nicht ganz korrekt. Mal von der rein rechtlichen Seite und nicht was die 70+ Geheimdienste da machen obwohl sie es nicht dürfen.
Datenschutz ist state law. Nehmen wir hier der einfach halber den Begriff Bundesland. Der Bund selbst, also die U.S.A. haben kein allgemeines Datenschutzgesetz für Privatpersonen. Lediglich einige bestimmte Branchen und Daten sind im Bund geregelt (!nicht geschützt!) (wie z.B. Medizinische Daten).
Ein Beispiel, ein FBI Agent darf mich im Flughafen nach meinem Glauben fragen. Auf der Straße in San Diego nicht. In Dallas darf er das schon wieder…
Diese Regeln pro Bundesland (teilweise auch im County oder City) deutlich unterscheiden. Ich gebe dir recht, dass in vielen Bundesländern der U.S.A. defacto Geheimdienste o.ä. tun und lassen können was sie wollten. Und die das eh nicht interessiert und es eh machen.
Nehmen wir aber z.B. Kalifornien wo, wie ich gehört habe, viele kleinere Tech-Firmen ansässig sind etc. da gilt CCPA 2.0 und das ist mehr oder weniger Copy&Paste GDPR. Es ist glaub auch das einzige Bundesland welches Datenschutzbeauftragte einsetzt. Darin ist z.B. auch geregelt, das keine im Bund oder int. agierende Geheimdienste o.ä. auf personenbezogene Daten zugreifen können. Dazu benötigen sie einen Beschluss eine kalifornischen Richters.
Ich persönlich denke hier ist das Thema „Polizeigewalt“ das größte Problem. Das zieht sich nicht nur durch die Gruppen der Straße-Polizei. Alle, Polizisten und Agenten, bekommen meiner Meinung nach beigebracht die dürfen alles und Gesetze sind eh nur Empfehlungen. Mein Beispiel mit dem FBI Agenten, denkst du sage ich dem in San Diego das nicht, dass es für mich ein schöner Tag wird? Er darf es nicht fragen, macht mir das Leben aber zu Hölle würde ich das nicht beantworten. In Kalifornien dürften sie keinen Zugriff auf Server haben, haben sie aber trotzdem.
Also, long story short, nicht die Gesetze sind das gesamte Problem. Die Leute die das Gesetz jeden Tag willentlich und ohne Strafe brechen, sind das Problem. Agenten und Polizisten werden nur bestraft, wenn sie es deutlich zu weit getrieben haben oder nen internen Machtkampf verloren haben.
Und nur fürs Protokoll, ich setze die USA auf die selbe Stufe mit anderen Ländern (die ich nicht hier im selben Satz mit den USA schreiben darf, da Cashy auf der Query Liste meines Arbeitgebers steht).
Vernünftige 2FA Apps bieten die Möglichkeit eines Exports, z.B. FreeOTP+.
Eben. Für die Konservativen, die sich lieber selbst kümmern. Aber 99% aller User müssen Backup/Sync von Dritten organisiert bekommen. Und eventuell auch Schmerzen ertragen. Jüngst erlebte ich episches Wehklagen, als jemand aus der Familie das Smartphone verlor. Google wiederzuerobern war schon ein Drama, aber vor allem die so wichtigen Fotos waren weg.
Herrlich. Ich liebe Schmerzen, die redlich verdient wurden.
Ich als Mitarbeiter in einem Mobilfunkgeschäft kann bei jedem „Ich weiß nicht wie man ein Google- Konto einrichtet, bitte machen Sie das für mich“ nur müde und wissend lächeln…..;)
Und du machst das dann?
Eben nein….da kann mein Vorgesetzter auch so oft erzählen, dass das Kundenservice ist und ich ist auf Kundenwunsch ja ruhig machen kann…. wenn ich eine Erfahrung in den letzten Jahren gemacht habe, dann, dass ich einen Teufel tun werde, dem Kunden irgendwelche kompletten Accounts einzurichten, um dann irgendwelche Passwörter auf irgendwelche Zettel zu schreiben;)
Ich bleibe bei Aegis und lasse Backups weiter durch Tasker sammeln, so lange das noch geht. Packen, verschlüsseln[1], wegtragen.
Und der Google-Komplexität traue ich nicht über den Weg. Oder meiner Verständnisfähigkeit. Ich denke an passwords.google.com und der jüngsten Option, da irgendwie das Smartphone-Login als Key für den Container zu haben. Nur ganz klassisch da einen Key einfach runterladen, so ganz transparent, das geht nicht. Nein. Ist mir zu undurchsichtig.
1) Die Non-Playstore-Version kann AES128/AES256-verschlüsseln.
Wie cool!! Danke für den Beitrag Carsten 🙂
Hallo,
konnte die App nun auf meinem Iphone updaten. Zeigt mir auch an, dass die Codes nun mit meinem Google Konto synchronisiert werden. Nur wo finde ich dies?
Unter Sicherheit kann ich bei 2-FA nur sehen, dass ich den google Authenticator nutze und seit wann. Finde die Codes nirgendwo in meinem google Profil.
Bin ich zu dumm, oder ist das noch im RollOut?
Bei zeigt er immer nur an wird upgecradet. Wenn ich mich mit meinem Konto anmelde, sagt es sind keine Codes vorhanden.
Und nun?
Schlimmer noch, die App geht seit dem Update nicht mehr vollständig auf und ist unbedienbar. Man wird auf eine Upgrade und die Möglichkeit eines Cloud-Backup hingewiesen.