Wer seine Accounts schützen will, braucht die 2-Faktor-Authentifizierung. Zur Speicherung der Token gibt es einige Apps.
Die Nutzung von 2-Faktor-Authentifizierung ist in der heutigen Zeit Pflicht. Während lange und komplizierte Passwörter zumindest das Erraten oder in machen Fällen Bruteforcing verhindern sollen, ist ein einfach abgesicherter Account trotzdem alles andere als gut geschützt. Über die Jahre hat sich deshalb die 2-Faktor-Authentifizierung mehr und mehr etabliert.
Während manche Hersteller auf Eigenkreationen setzten, hat sich vor allem TOTP (Time-based One-time Password Algorithmus) etabliert. Einmal eingerichtet, wird alle 30 Sekunden ein sechsstelliger Code generiert, der nach der Eingabe des Passworts in einem zweiten Schritt eingegeben werden muss.
Je nach Gefahrenmodell werden Passwörter dann auf einem Gerät gespeichert, während wir den TOTP-Token auf einem zweiten Gerät als zusätzliche Absicherung speichern. Unabhängig davon, ob wir Token und Passwörter auf einem oder zwei verschiedenen Geräten speichern, gibt es aber jede Menge Apps, die uns bei der 2-Faktor-Authentifizierung unterstützen.
Wir stellen euch diese Authenticator-Apps für iOS und Android vor:
- Google Authenticator: iOS und Android
- Microsoft Authenticator: iOS und Android
- Authy: iOS und Android
- Bitwarden: iOS und Android
- iOS Passwortmanager: iOS
Google Authenticator
Eine der wohl bekanntesten Apps im Bereich der Authenticator ist die Variante von Google. Unter dem simplen Namen Google Authenticator ist die App schon seit einer halben Ewigkeit auf dem Markt. Sie gehört zu den einfacher gestrickten Anwendungen in diesem Bereich und kann nicht viel mehr als die Codes zur Authentifizierung darstellen. Beim ersten Start finden wir eine leere App vor, die über das bunte Plus-Symbol befüllt werden kann.
Die Einrichtung erfolgt entweder per QR-Code oder durch die direkte Eingabe des Einrichtungsschlüssels. Beide werden üblicherweise bei der Aktivierung des 2-FA-Prozedere angezeigt. Haben wir die Einrichtung hinter uns, zeigt uns die Authenticator-App die ständig erneuerten Codes.
Der Google-Authenticator erfüllt hier, was er tun soll, darüber hinaus bietet die App aber keine Funktionen. Es gibt keine Synchronisierung oder einen extra Code-Schutz. Wechseln wir das Smartphone, sollten die Konten unbedingt vorher manuell exportiert werden. Ansonsten sind die Codes weg.
Google Authenticator ist kostenlos für iOS und Android erhältlich.
Microsoft Authenticator
Auch aus dem Hause Microsoft gibt es einen eigene Authenticator. Die App ist dabei nicht nur auf Microsoft-Produkte beschränkt, sondern kümmert sich um alle Websites und Anwendungen, die den 2-FA-Standard unterstützen. Starten wir die App, finden wir auch hier eine grundsätzlich recht simpel aufgebaute App vor. Im Startscreen können wir direkt mit der Einrichtung eines privaten oder Schul- und Geschäftskontos bei Microsoft beginnen.
Die 2-Faktor-Authentifizierung von Microsoft-Konten erfolgt dann über ein direktes Freigabesystem, statt extra den Code eingeben zu müssen. Selbstverständlich können aber auch die Authentifizierungscodes anderer Anbieter hinterlegt werden.
Dafür muss unter „Konto hinzufügen“ einfach die Option „andere“ ausgewählt werden. Per QR-Code oder durch manuelle Eingabe können wir dann die Daten hinterlegen, die zur Darstellung des Codes notwendig sind. Um den Verlust der wichtigen Codes zu vermeiden, bietet Microsoft auch Synchronisierungsoptionen an. Unter anderem können die Daten bei Microsoft selbst gesichert werden. Auf iOS-Geräten ist zusätzlich eine Sicherung in iCloud möglich.
Microsoft Authenticator ist kostenlos für iOS und Android erhältlich.
Twillo Authy
Die App Authy von Twillo gehört nicht nur zu den bekanntesten Apps im Bunde, sie ist auf manchen Websites sogar die einzige Möglichkeit, die 2-Faktor-Authentifizierung überhaupt aktivieren zu können. Authy funktioniert dabei etwas anderes als die anderen Apps in unserer Übersicht. Statt einfach die App zu starten und die Codes zu hinterlegen, werden wir hier nämlich zur Anmeldung gezwungen.
Authy funktioniert nur in Kombination mit unserer Handynummer. Über die wird unser Account erstellt, in dem Authy unsere Daten sichert. Die Authy-Token unterscheiden sich etwas von den sonstigen TOTP-Token, sind aber grundsätzlich ebenfalls eine Kombination aus Zahlen.
Authy funktioniert nur innerhalb der App und ist mit unserer Handynummer unzertrennlich verknüpft. Das hat den Vorteil einer zusätzlichen Absicherung vor Verlust, bringt aber Einbußen bei der Anonymität mit sich. Auch Sim-Swap-Attacken werden immer wieder als Angriffsszenario kritisiert. Neben den Authy-Codes unterstützt die App auch standardisierte TOTP-Codes. Innerhalb der App lassen sich also die gängigsten 2-FA-Codes sammeln.
Bitwarden
Bitwarden gilt als der Open-Source Passwortmanager der nächsten Generation. Während KeePass für viele noch immer das Nonplusultra in diesem Bereich ist, hat Bitwarden über die Jahre immer mehr Fans gewonnen. Die Vorteile liegen auf der Hand. UI und UX sind plattformübergreifend vereinheitlicht, außerdem ist der Entwicklungsfortschritt geradliniger und gleichzeitig einheitlicher.
Grundsätzlich gehört Bitwarden in die Kategorie der Passwortmanager wie 1Password oder Enpass. Auf PC und Smartphone gleichermaßen gibt es eigene Anwendungen, die unsere Accountdaten bzw. Passwörter für uns verwahren. Gleichzeitig können wir hier aber auch unser TOTP-Token hinterlegen.
Auf Wunsch können diese direkt bei den Anmeldedaten hinterlegt werden, um alles an einem Ort zu haben. Theoretisch können wir Bitwarden aber auch nur für die Token verwenden und für Passwörter und Co. eine andere App nutzen. Wie sinnvoll das Speichern an einem Ort ist, hängt dabei vor allem von der Bedrohung ab.
Möchte wir uns vor Attacken wie Phishing und dem reinen Passwortverlust schützen, ist das Speichern an einem Ort eher kein Problem. Besteht die Gefahr, dass bei einem Angriff unser gesamter Passwortmanager kompromittiert wird, sollten Passwörter und Token auf keinen Fall an einem Ort gespeichert werden.
Bitwarden bietet hier die Flexibilität der freien Entscheidung. Wer alles in der App speichert, hat die Möglichkeit der Synchronisation über Bitwarden-Server oder einen eigens gehosteten Server. Der Zugang zum Passwortmanager selbst wird mit einem Masterpasswort geschützt.
iOS Passwortmanager
Seit der Einführung von iOS 15 unterstützt der in Apples iOS integrierte Passwortmanager auch das Hinterlegen von TOTP-Token. Wer auf iPhone oder iPad im Browser unterwegs ist, kann dabei ganz einfach bei jeder Anmeldung oder Registrierung auf einer Website die Anmeldedaten im nativen Passwortmanager hinterlegen. Besuchen wir die Seite wieder, ermöglicht uns iOS dann das automatische Ausfüllen mit den hinterlegten Daten. Wer die eigenen Accounts bereits mit TOTP abgesichert hat, kann auch diese Daten seit iOS 15 bequem hinterlegen.
Sofern wir bereits die Daten dafür haben, müssen wir lediglich in “Einstellungen” gehen und dann in die Kategorie “Passwörter” wechseln, um dort alle unsere gespeicherten Accounts sehen zu können. Tippen wir auf einen der Accounts, haben wir dort die Option „Bestätigungscode konfigurieren“. Hier haben wir wieder die Auswahlmöglichkeiten, den Schlüssel händisch einzufügen oder per QR-Code zu hinterlegen. Noch viel praktischer läuft das Prozedere ab, wenn wir den TOTP eines Kontos direkt im Browser einrichten.
Haben wir alle Schritte erledigt, bekommen wir bei den meisten Websites den QR-Code präsentiert, der in unserer Authenticator-App bzw. im Passwortmanager hinterlegt werden muss. Hier ermöglicht Apple das unkomplizierte Hinzufügen des Tokens auf Knopfdruck. Zum Hinzufügen müssen wir lediglich lange auf den angezeigten QR-Code tippen und erhalten die Option „Bestätigungscode zu Passwörter hinzufügen“. Durch Auswahl des gewünschten Kontos wird der TOTP-Token dann dort hinterlegt.
Je nach Einstellung werden unsere hinterlegten Daten über iCloud synchronisiert und mit anderen iOS- und macOS-Geräten geteilt. Wer die gespeicherten Daten lokal behalten möchte, muss in den iCloud-Einstellungen die Synchronisation des Schlüsselbundes deaktivieren.
Note: This article have been indexed to our site. We do not claim legitimacy, ownership or copyright of any of the content above. To see the article at original source Click Here