Authy - Wie wechseln von Google Authenticator?

[Elting]

Nutze 2FA mit der Google Authenticator App seit einiger Zeit.
Gestern bin ich über einen Artikel über Authy gestolpert:
Authy Makes 2-Factor Authentication Nearly Painless With Easy Setup, Automatic Backup, And Multi-Device Sync

Was mich daran reizt ist, dass man hier über mehrere Geräte syncen kann.
Nur: wie wechsel ich nun von der Google App zu Authy? In den Einstellungen meines Google-Kontos gibt's nur die Option die Google App nicht mehr zu nutzen und stattdessen SMS zu bekommen.
Muss ich hier 2FA erstmal wieder deaktivieren und dann wieder aktivieren und mit Authy neu einrichten?
Oder reicht es vielleicht einen 2FA Code von Google bei Authy einzugeben und et voila: man kann Authy nutzen?

Will an dieser heiklen Stelle nichts falsch machen und vielleicht kennt sich jemand von euch damit aus...

 

[Zoopa]

Ich habe vor einigen Wochen gewechselt.

Wichtig: Authy fragt ganz am Anfang, ob man ein Backup-Passwort einrichten will (oder ist es sogar zwingend vorausgesetzt?). Dieses Passwort musst du später beim synchronisieren eingeben, sonst können die Daten nicht entschlüsselt werden. Also Passwort nicht vergessen!

Bezüglich Import habe ich nichts gefunden, deshalb habe ich alle Accounts einzeln transferiert. Dazu bin ich immer gleich vorgegangen:

1. In den jeweiligen Account einloggen (mit Hilfe von Google Authenticator)
   
2. Zur Sicherheit die Backup-Codes ausdrucken/kopieren oder Backup-Telefonnummer angeben, falls nachher etwas schiefgehen sollte. Bei Google sieht das so aus:
   
   
3. Im Account 2FA deaktivieren oder, falls vorhanden, "updaten" (Bei Google heisst die Funktion "Move to a different phone", bei Github "Reconfigure two-factor authentication"). Bei Google sieht das so aus:
   
   
4. Danach 2FA entweder neu einrichten oder den "update"-Instruktionen folgen. Dabei den neuen (QR-)Code aber in Authy eintragen/scannen
   
5. Ausloggen und den Login mit Authy testen
   
6. Falls das Authy-Token nicht akzeptiert werden sollte, weil irgendwas schiefgelaufen ist, Google Authenticator oder einen Backup-Code / SMS-Code verwenden und den Vorgang neu starten
   
7. Wenn Login mit Authy geklappt hat: Account aus Google Authenticator löschen. Bin nicht mehr sicher, ob danach die alten Backup-Codes noch gültig sind. Eventuell musst du zur Sicherheit die neuen Backup-Codes ausdrucken/kopieren

Das wichtigste ist, dass du immer eine alternative Möglichkeit zum Login hast, wenn etwas schief geht. Also bitte die Backup-Codes oder Backup-Telefonnummer nicht unterschätzen.

 

[Elting]

Super, vielen Dank für die Anleitung!

Ja, Backup-Codes hab ich immer ausgedruckt uns sicher aufbewahrt!

Also ist es doch so aufwändig... lohnt sich denn der Umstieg auf Authy?

 

[Zoopa]

Ich habe eigentlich nur wegen Backup & Synchronisation gewechselt. So hab ich auch Zugriff auf die Tokens, wenn das Smartphone mal nicht gleich neben mir liegt. Ich habs zwar bisher noch nicht mit zwei Android-Geräten getestet, aber die Synchronisation zur Chrome-Extension funktioniert prima.

Ausserdem gefällt mir die App visuell besser als Google Authenticator, aber das ist sicher Geschmacksache Ich bin auf jeden Fall zufrieden mit dem Wechsel.

 

[cramu]

Mal eine generelle Frage zu dem Thema:
Wenn mir im Urlaub das Handy abhanden kommt, hätte ich dann beispielsweise keine Möglichkeit, mich im Internetcafe in meinen Account einzuloggen um den Android Device Manager zu starten, denn die nötigen Codes sind auf dem Handy, oder verstehe ich das Prinzip falsch?
Authy sollte daran auch nichts ändern können.

 

[rihntrha]

Dafür sind die Backup Codes da.

BTW: Man kann sich den totp (2FA) seed auch merken ;-) (z.B. in seinem Passwortmanager). Dann braucht man nicht in den Webseiten rumfummeln wenn man seine totp App wechselt.

BTW2: Keepass und Keepass2android (Passwortmanager) können auch totp.
Hier sind die 2FA Codes auch Passwortgeschützt und auf Wunsch auch immer zwischen allen Android und Windows Geräten synchron.

cu

 

[Elting]

Nutze Keepass2android. Aber wie geht das hier mit totp? Finde auch das Plugin nicht...

 

[rihntrha]

Das braucht kein plugin.

Am einfachsten ist es unter Windows keepass mit dem trytotp plugin zu nutzen. Damit kann man einfach die totp Einträge erstellen (die erkennt keepass2android dann automatisch) und sich auch die Codes anzeigen lassen (dann braucht man nicht zum Handy greifen wenn man eh am PC ist).

cu

 

[cramu]

Dafür sind die Backup Codes da.

Wie lange sind diese Codes gültig?

 

[rihntrha]

Unbegrenzt. Aber sie verfallen jeweils nach Benutzung (sind Einmalcodes, so wie TANs).

Die Idee ist das man da immer 2-3 in der Geldbörse hat für den Fall das das Handy keinen Empfang hat (für Codes per SMS) oder nicht verfügbar ist (für totp Codes).

cu

 

[cramu]

Ja, dann könnte man sich wirklich ein paar Codes ausdrucken, auf Kreditkartengröße zurechtschneiden und laminieren.

Bin mir trotzdem noch nicht sicher, ob ich das System der 2FA verstanden habe:
Wenn ich dieses Sicherheitsfeature beispielsweise für meinen Google-Account aktiviere, erhalte ich beim Loginversuch eine SMS, mit einem einmalig gültigen Code, den ich zusätzlich zum Passwort eingeben muss.
Wenn ich eine Authenticator-Software wie Google Authenticator, Authy, Keepass oder Keepass2Android nutze, muss ich hier einmalig einen Code (Seed?) eintragen und kann dann auf dessen Basis einmalig gültige Login-Codes über die Software generieren, ohne auf die SMS warten zu müssen.
Ist das soweit korrekt?

 

[Elting]

Richtig. Außerdem kannst du Browser freigegeben, sodass hier kein Code mehr eingegeben werden muss.

 

[cramu]

Kann ich mithilfe dieser Software auch eine 2FA für Webseiten einrichten, welche dieses Verfahren nativ gar nicht unterstützen?
Für den Onlinebankingzugriff meiner Bank (DKB) konnte ich nur ein 5-stelliges Passwort festlegen, dieses würde ich gerne noch zusätzlich absichern.

 

[rihntrha]

Nein, natürlich nicht.
Bank anschreiben, wenn das genug tun... Wobei wichtige Dinge hier eh schon immer per zweiten Faktor abgesichert wurden (TAN usw.).

Aber 2FA per totp (das ist die Methode um die es hier geht) ist ein offener Standard der von immer mehr Sites genutzt wird.

Andere (z.B. PayPal, eBay) setzen auf ein proprietäres (an totp angelehntes) System von Symantec (schlechter umgesetzt, aber das ist notwendig damit sie damit Geld verdienen können ;-) ). Dafür gibt es ne extra App. Aber per PayPal ist 2FA real nicht nutzbar weil deren Webseiten zu buggy sind.

cu

 

[cramu]

Gut, das hatte ich erwartet.

Eine letzte Frage noch, bevor ich mich mal der Konfiguration von Keepass und Keepass2Android zuwende (ich bevorzuge hier den Open-Source-Ansatz):
Was passiert, wenn ich das Passwort rücksetzen lasse?
Wird dann auch das Loginverfahren auf 'Password only' zurückgesetzt?

 

[rihntrha]

Probiere es aus ;-) Ich hoffe nicht, weil dann könnte man die 2FA ja ganz einfach aushebeln.

Noch ein kleiner Tipp, speichere auch gleich die Ersatzbestätigungscodes, dann hast du sie immer parat.
Du kannst sie einfach im Notizfeld speichern oder einen Google Unterordner erstellen und sie dort als TAN speichern.

Ferner auch die App spezifischen Passwörter dort gleich notieren.

cu

 

[cramu]

Ich hatte schon vor, Keepass dann zur zentralen Verwaltung aller Logins zu machen.

Andererseits bereitet genau das mir auch die meisten Kopfschmerzen.
Im schlimmsten Fall könnte eine Datenbank beschädigt werden und die korrupte Datei an alle verbundenen Geräte und Cloudspeicher gesynct werden.
Falls 2FA dann bei einer Rücksetzung des Passworts nicht automatisch deaktiviert wird und ich aus irgendeinem Grund keine Backupcodes habe, hätte ich keine Möglichkeit, jemals wieder Zugriff auf meinen Account zu erlangen.

 

[rihntrha]

Du kannst hin und wieder das unverschlüsselte xml (die keepass Datenbank ist eine verschlüsselte XML Datei) auf nen Stick speichern und den verstecken.
Das XML kannst du ohne Verluste jederzeit wieder in keepass importieren oder auf jeden beliebigen System ganz einfach mit jedem Texteditor einfach lesen.

Aber diese Diskussion gab es schonmal im keepass2android Thread, da ist sie dann auch besser aufgehoben ;-)

https://www.android-hilfe.de/showthread.php?t=567553

cu

 

[Elting]

Einfach die Codes bei Google ausdrucken und gut weg tun. Ich brauche die öfter mal, wenn ich ne neue ROM flashe und mich mit dem Handy neu bei Google anmelden muss...

 

[cramu]

Ich hätte gar nicht erwartet, dass es hier einen Thread zu Keepass2Android gibt, danke für den Hinweis!

Die Geschichte mit 2FA werd ich mir noch mal durch den Kopf gehen lassen und erstmal meine Passwörter überarbeiten und in einer kdbx-Datei speichern.
Das ist immerhin schon mal besser, als überall das gleiche zu verwenden.