Gastbeitrag: Welche 2FA App soll ich verwenden? Und was ist das überhaupt?

Dieser Gastbeitrag stammt vom twitter User Linzgaurider.

Sichern Sie Ihre Online-Konten. Ein Großteil der Anwender nimmt die Sache nicht ernst, es nervt die Anwender, und es kostet Zeit. Immer wieder frage ich mich, ob Sie Ihre Kreditkarte auch einfach so auf dem Tisch liegen lassen, mit Ihrer Sicherheitsnummer und der PIN?

Die Zwei-Faktor-Authentifizierung ist nicht schwer, aber wer sie mit SMS lösen will, hat als Unternehmen ebenso wenig verstanden wie die Anwender, die das Risiko nicht einschätzen können. SMS ist immer noch eine bessere Alternative als gar nichts. Wer allerdings einen SMS Code einer anderen Person mitteilt, dem ist nicht mehr zu helfen!

Die Verwendung von 2FA ist der einfachste und sicherste Weg, um die Sicherheit Ihrer Online-Konten zu gewährleisten. In diesem Artikel betrachten wir die besten 2FA-Apps. Hardware Tokens habe ich bewusst ausgelassen, da dies für private Anwender nicht relevant ist.

Durch die Verwendung von 2FA wird die Sicherheit Ihrer Online-Konten gewährleistet. Trotz der besten Online-Sicherheitsmaßnahmen können Sie immer Opfer einer Datenpanne werden. Sie müssen sich (fast) keine Sorgen darüber machen, dass Ihre Daten durch 2FA nicht mehr geschützt sind. Im Folgenden werden die besten 2FA-Apps vorgestellt und allgemeine Informationen über das, was 2FA ist und warum es wichtig ist.

Kurz und knapp: Authy ist die beste App für die Zwei-Faktor-Authentisierung. Im Gegensatz zu vielen anderen Systemen unterstützt Authy nicht nur zeitbasierte Passcodes, sondern bietet auch verschlüsselte Backups und unterstützt nahezu jedes Gerät auf dem Markt (einschließlich der Apple Watch)

Was ist Zwei-Faktor-Authentifizierung?

Ein zweistufiges Sicherheitssystem schützt Ihre Online-Konten vor unbefugtem Zugriff. Ihr Passwort und ein einmaliger Code, der per App generiert wird oder per SMS oder E-Mail gesendet wird, werden zur Authentifizierung Ihrer Identität verwendet. Durch die Verteilung der Risiken auf zwei Faktoren verringern Sie die Wahrscheinlichkeit, dass ein Ihrer Konten kompromittiert wird. Wenn jemand Ihr Konto gehackt und Ihr Passwort gestohlen hat, kann der Dieb diese Informationen nicht verwenden, um auf Ihr Konto zuzugreifen, ohne nur einen Faktor zu kennen. Außer Sie stellen sich selten dämlich an und teilen diesen Code mit einer anderen Person.

Obwohl Multi-Faktor-Authentifizierungstools wie OneLogin (kommt vielleicht mal ein eigener Beitrag darüber, ich halte davon aber nichts) alles von der IP-Adresse des Anmeldeversuchs bis zur Tageszeit berücksichtigen, werden die meisten Online-Dienste von Benutzername, Passwort und Uhrzeit dominiert.

Ich kann mir keines meiner Passwörter mehr merken, alle zu Komplex. Und nein ich schreibe Sie auf keinen Zettel. Ein Passwort wie Dambo221278 ist eben nicht sicher. Mann kann das schon verbessern, wenn man Leatspeak nimmt oder es so baut D@mm80″“!“/( aber auch das findet ein Hacker schnell heraus. Wilde Kombinationen sind das beste, erzeugt durch einen Passwort Save. Hier empfehle ich Bitwarden.

Was macht eine gute 2FA App aus, wen gibt es auf dem Markt?

Zwei-Faktor-Authentifizierungs-Apps setzen Einmalpasswörter als zweiten Faktor ein. Der Großteil der Apps funktioniert auf dieselbe Art und Weise. Nach der Aktivierung von 2FA können Sie einen QR-Code für Ihr Konto erstellen. Bei jeder Anmeldung wird automatisch ein Code generiert, den Sie in Ihre App eingeben müssen, um das Konto zu entsperren. Der Code wird typischerweise mit einem sechsstelligen, zeitbasierten Einmalpasswort (TOTP) versehen. Ich habe drei Lösungen ausgewählt, die meiner Meinung nach die besten sind, und zwei Lösungen, die meiner Meinung nach weniger empfehlenswert sind, wenn man sich nicht an Google binden will, oder eben nicht nur im Microsoft Umfeld lebt.

  1. Authy – Extrem viele Features, super einfach zu verstehen und einzurichten und Backup funktion so wie Unterstützung für fast alle Geräte Arten.
  2. andOTP Eine Open-Source-Alternative, die mehr Funktionen bietet als die Konkurrenz, aber nicht für „normale“ Anwender geeignet
  3. LastPass sehr weit verbreitet und auf vielen Webseiten adaptiert.
  4. Google Authenticator – weit verbreitet, sehr gut adaptiert.
  5. Microsoft Authenticator – Ähnlich wie Google Authenticator, funktioniert aber besonders gut mit Microsoft-Diensten

Vor allem die Sicherheit ist für mich ein wichtiger Aspekt. Obwohl 2FA-Apps – im Gegensatz zu den besten Passwortmanagern – recht einfach sind, gab es dennoch einige Bereiche, auf die ich geachtet habe . Ich habe mich für Apps entschieden, die TOTP und HMAC One-Time-Password (HOTP) unterstützen, sowie für Apps, die Backups beinhalten. Um das zu verstehen muss sich ein Awender aber mit der Verschlüsslungs Theorie beschäftigen. Das würde hier zu weit gehen.

Auch die Sicherheit der Website ist wichtig. Obwohl die meisten großen Websites die Zwei-Faktor-Authentifizierung unterstützen, tun dies nicht alle. Darüber hinaus unterstützen einige der Websites und Dienste, die die Zwei-Faktor-Authentifizierung unterstützen, nur bestimmte Anwendungen.

Google Authenticator ist die gebräuchlichste Methode, um Ihre Online-Konten zu sichern, da fast alle Websites, die 2FA unterstützen, auch die Google-App unterstützen. Beispielsweise werden LastPass Authenticator und Authy nicht explizit von so vielen Websites und Diensten unterstützt, verwenden aber dennoch TOTP und sind daher mit allen Diensten kompatibel, die Google Authenticator unterstützen.

Außerdem habe ich mir die Anwenderfreundlichkeit angeschaut. 2FA ist wirklich einfach zu bedienen, denn alles, was Sie haben müssen, ist etwas, das Sie wissen und etwas, das Sie haben.

Alles, was über die reine Sicherung hinausgeht, kann die Nutzung von Online-Konten beeinträchtigen und einige Nutzer abschrecken. Das Ziel besteht darin, Ihren Online-Konten mit minimalem Aufwand zusätzliche Sicherheit zu verleihen.

Ansonsten gibt es Apps, die Funktionen wie verschlüsselte Backups und Synchronisierung über mehrere Geräte bieten. Diese Apps sind auf jeden Fall einen Blick wert.

Der Sieger –> AUTHY

Es ist kostenlos, unterstützt die Apple Watch, beinhaltet verschlüsselte Backups und unterstützt sogar Krypto Wallets. Kontra = es ist nicht Open Source

Authy ist eine 2FA-App, die alle gewünschten Funktionen in einer sicheren App vereint. Es ist kostenlos, kann zwischen Ihren Geräten automatisch synchronisiert werden und benötigt keine Internetverbindung. Eine einfache Bedienung, mit Widget-Unterstützung für Android und Unterstützung von Apple Watch. Wenn Sie nach einer 2FA-App suchen, die alles kann, ist Authy die richtige Wahl. Authy 2FA-Token funktionieren bei der Website-Authentifizierung mit jedem Dienst, der TOTP-basierte Authentifizierungs-Apps akzeptiert. Authy unterhält eine Datenbank mit unterstützten Diensten und Schritt-für-Schritt-Anleitungen zur Aktivierung von 2FA für diese Dienste. Neben Passwort-Managern wie Keeper, Cloud-Speichern wie Box und verschlüsselten E-Mail-Diensten wie ProtonMail unterstützt Authy auch Kryptowährungs-Wallets. Eine sichere Backup-Lösung von Authy ermöglicht es Ihnen, Ihre Kontodaten in der Cloud zu speichern und auf Ihren Geräten zu synchronisieren. Wenn Sie Ihre Daten nicht sichern können, hat Authy ein Wiederherstellungssystem entwickelt, das Ihnen hilft. Authy funktioniert auch ohne Internetverbindung, generiert automatisch Codes auf Ihrem Gerät und löscht diese alle 30 Sekunden. Es nimmt den Spitzenplatz unter allen verfügbaren 2FA-Apps ein. Meine Wahl für die beste 2FA-App insgesamt. Mehr dazu hier

Der Sieger der Nerds –> andOTP

Eine kostenlose Lösung, Open-Source und HOTP Unterstützung, aber kein iOS Support.

andOTP ist eine kostenlose Open-Source-Anwendung zum Erstellen von TOTP und HOTP. Wie Authy erfordert es keine Internetverbindung und funktioniert mit jedem Dienst, der TOTP unterstützt. Während andOTP sich nicht wesentlich von den anderen Optionen auf dieser Liste unterscheidet, ist es Open Source, was normalerweise ein gutes Zeichen ist. Anders als Google Authenticator unterstützt andOTP auch verschlüsselte Backups. Sie sichern Ihre Daten auf Ihrem Gerät und verschlüsselt sie mit einem Passwort, das Sie für die App festlegen. Wenn Sie Ihr Konto wiederherstellen möchten, können Sie Ihre Daten mit einem Werkzeug der andOTP-Community entschlüsseln oder über OpenPGP entschlüsseln. Außerdem verfügt andOTP über eine Reihe von Sicherheitsfunktionen, wie Tap-to-Reveal und eine Paniktaste. Die Paniktaste ist eine nützliche Ergänzung, mit der Sie alle auf Ihrem Gerät gespeicherten Daten löschen können. Wir haben eine ausgezeichnete 2FA-App, die viele Android-Versionen und gerootete Geräte unterstützt.

Die Bronze Medaille –> LastPass Authenticator

Wie die zuvor erwähnten eine kostenlose Lösung, mit Unterstützung einer verschlüsselten Sicherung, dazu gibt es Push-Nachrichten. Einige Features, die Authy bietet, vermissen wir hier.

LastPass Authenticator zeichnet sich vorwiegend dadurch aus, dass es von LastPass stammt, dem mit Abstand besten kostenlosen Passwortmanager auf dem Markt. Die Unterstützung von TOTPs unterstützt LastPass Authenticator neben der Unterstützung von TOTPs auch die Push-Benachrichtigung-basierte Verifizierung für Amazon, Evernote, Google, Dropbox und Facebook.

Außerdem unterstützt es Sicherungen über die LastPass-Server. Die meisten Blogs haben bereits das Sicherheitssystem von LastPass getestet, ebenso viele Hacker und ich weiß deshalb, dass diese Sicherungen sicher sind. Sie können die Gültigkeitsdauer des Codes in der App einstellen, indem Sie das Fenster, in dem der Code gültig ist, verlängern oder verkürzen.

Wenn Sie noch keinen Passwortmanager haben ist LastPass eine gute Option, wenn Sie keine finanziellen Mittel ausgeben möchten, ich empfehle auch ein Blick auf Bitwarden zu werfen, den ich finde diesen persönlich besser. Der LastPass Authenticator ist zudem eine perfekte Ergänzung zum Passwortmanager. LastPass Authenticator bietet alle Funktionen, die Sie benötigen, um Ihre Online-Konten abzusichern, allerdings nicht in dem Umfang wie Authy.

Der Sieger wer nur mit Microsoft lebt

Der Vorteil, neben dem kostenlosen, liegt in der Passwortlosen Authentifizierung mit Apps von Microsoft und unterstützt zertifikatsbasierte Authentifizierung.

Microsoft Authenticator ist eine einfach zu bedienende Anwendung. Sie unterstützt alle Dienste, die TOTP-Codes generieren, und generiert Codes automatisch auf Ihrem Gerät mit oder ohne Internetverbindung. Doch es steckt noch ein wenig mehr unter der Haube. Die App unterstützt die Kennwortlose Authentifizierung für Microsoft-Anwendungen, darunter OneDrive und Office 365. Der Fingerabdruckscanner Ihres Telefons, ein Gesichts-Scan oder eine andere Methode erlaubt es Ihnen, die Identität Ihres Geräts zu bestätigen. Microsoft Authenticator bietet auch eine Cloud-Backup-Funktion. Sie können wählen, ob Sie diese Funktion über Microsofts eigene Server auf Android oder über iCloud auf Im Vergleich zu Google Authenticator ist Microsoft Authenticator der deutlichste Konkurrent. Er hat mehr Funktionen und ist genauso einfach zu bedienen. Wenn Sie jedoch keine Microsoft-Anwendungen oder -Dienste verwenden, können Sie mit einer Anwendung wie Authy oder LastPass Authenticator mehr anfangen.

Last but not least – Google Authenticator

Sie ist der Pionier, einfach in der Anwendung und bei vielen unterstützt. Das wars aber leider, den wer viele Features sucht oder Infos, Pech.

Google Authenticator ist die App, mit der alles begann, und sie funktioniert auch heute noch gut und zuverlässig. Durch die App werden Token auf Ihrem Gerät generiert, ohne dass eine Internetverbindung erforderlich ist. Außerdem sind die Konten über einen QR-Code verknüpft, und fast alle Websites, die TOTP-basierte Apps akzeptieren, unterstützen Google Authenticator ausdrücklich.

Allerdings ist es nur die Basis. Im Vergleich zu Authy verfügt Google Authenticator über weniger Funktionen. Es bietet keine Synchronisierung über mehrere Geräte oder Backups. Es ist möglich, dass Sie Ihre Daten zwischen Geräten übertragen, indem Sie einen QR-Code scannen. Die Verwendung von Google Authenticator ist ein altes Arbeitstier. Dieses Gerät ist sehr zuverlässig, unterstützt praktisch alles und ist einfach zu bedienen. Es fehlen ihm jedoch einige wichtige Funktionen, was ihn im Vergleich zu anderen 2FA-Apps weniger attraktiv macht. Ich empfehle Google Authenticator, wenn Sie eine einfache, einfache 2FA-Anwendung suchen.

Wovon ich abrate?

In der Regel werden Apps, die eklatante Sicherheitsprobleme haben, schnell vom App-Store und Google Play geschlossen, wenn sie auftauchen. Ich kann Ihnen keine speziellen Apps nennen, die Sie vermeiden sollten. Ich werde Ihnen jedoch mein Bewertungsverfahren erläutern. Zwei-Schritt-Verifizierungssysteme sind nicht gleich aufgebaut, und obwohl es besser ist, 2FA zu haben, als keine zu haben, bieten einige Systeme wenig bis gar keine zusätzliche Sicherheit. Alle zweistufigen Systeme, die denselben Faktor zweimal verwenden, sind anfällig für die Anwendung. Beispielsweise sind Ihr Passwort und der an Ihre E-Mail gesandte Code beides Dinge, die Sie kennen – schließlich ist das einzige, was Ihre E-Mail schützt, ein Passwort. Obwohl Sicherheitsfragen immer seltener vorkommen, sind sie weiterhin eine seltsame Form der 2FA. Wir empfehlen die Verwendung eines Passwortmanagers, um Ihre Passwörter zu speichern und sicher zu verwahren. Im Internet und anderen Online-Diensten ist es für einen Angreifer normalerweise nicht schwer, die Antworten auf seine Sicherheitsfragen zu finden. Die einzigen Apps, die ich nicht empfehlen , sind kostenpflichtige Apps. Authenticator Plus auf Google Play beispielsweise ist voller Probleme und kostet 2,99 US-Dollar. Es gibt viele kostenlose Optionen, und wenn Sie Google und Microsoft nicht trauen, gibt es Open-Source-Optionen wie andOTP und FreeOTP.

 

 

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.