Authenticator Apps: Google Authenticator Alternativen

hallo leute,
ich werde in der nächsten zeit mein smartphone mit lineage os flashen. grund dafür sind fehlende sicherheitspatches seitens des herstellers.
zudem versuche ich möglichst alle apps von google durch alternativen zu ersetzen.
aktuell benutze ich für meine 2fa den google authenticator. ich habe gesehen, dass es eine app namens authy gibt. ist diese sicherer als der google authenticator? was haltet ihr für die beste authenticator app auf android? für vorschläge und anregungen wäre ich dankbar.

mfg
sin7

Ich höre mich mal für Dich um, bin zu 99% iOS Nutzer.

@Ghandy danke!

Authy ist ein Produkt der Twilio Inc. San Francisco
Aus rein technischer Sicht funktioniert es in seinen Grundzügen genauso, wie der Google Authentikator und bedient mindestens genauso viele Webseiten!
Der einzige Kritikpunkt an Authy, den man immer wieder liest, ist die Registrierung der Handy-Nummer, die bei der ersten Nutzung eingegeben werden muß! Das sollte jesder für sich selber entscheiden, ob es für denjenigen OK ist…Google will ja keine Telefonnummer zum Betrieb der App haben.
Authy hat zu Google allerdings auch einige praktische Vorteile:

  • Google Authenticator unterstützt ausschließlich „mobile Devices“
  • Authy ist Multi-Plattform fähig! Mit der Authy-Funktionalität für mehrere Geräte werden deine 2FA-Token automatisch mit jedem neuen, von dir autorisierten Gerät synchronisiert. Und wenn ein Gerät verloren geht, gestohlen oder ausgemustert wird, kannst du es ebenso schnell von jedem autorisierten Gerät aus deaktivieren.
    Da Authy für mobile Android- und iOS-Geräte sowie für Windows, Apple Watch und sogar deinen Desktop verfügbar ist, kannst du Authy verwenden, um gleichzeitig von allen Geräten aus geschützt zu sein. Die Nutzer von Google Authenticator sind an ein einziges Gerät gebunden. Wenn du also ein neues Telefon oder Tablet registrieren möchtest, hebt Google Authenticator die Registrierung deines aktuellen Geräts automatisch auf.
    Einige Reviews halten es für riskant, Tokens auf mehreren Geräten zu haben. Wenn du also zu diesem Lager gehörst, beachte bitte, dass Authy diese Funktion optional gemacht hat und du sie jederzeit deaktivieren kannst!
  • Von Anfang an kannst du mit Authy die Vorteile verschlüsselter Backups in der Cloud nutzen!! Google bietet ein Backup erst gar nicht an! Wie kann das praktisch sein? Wenn du ein Telefon verlierst, könntest du immer noch von anderen Geräten aus auf das Authy-Konto zugreifen (solange du die Mehrgerätefunktion nicht deaktiviert hast!). Besorg dir ein neues Telefon, und du kannst die Authy-Anwendung installieren, deine Identität überprüfen und auf alle deine Authy-Tokens relativ einfach und schnell zugreifen, verglichen mit der Google-Lösung. Über das Backup kann dann eine Wiederherstellung auf dem neuen Telefon durchgeführt werden! Ist natürlich praktisch… :wink:
2 Likes

Authy verlangt neben der Telefonnummer auch vollen Zugriff auf die persönlichen Daten, sonst funktioniert diese nicht. Das widerspricht in jeglicher Art & Weise dem Lineage Geschätsmodell. Mich würde noch nichtmal wundern, wenn Authy auf gerooteten Geräten nicht funktioniert.

Warum verlangt die App den Zugriff auf die persönlichen Daten und braucht zur Anmeldung die eigene Nummer, wenn man das ganze auch nur mit dem Android-Konto verknüpfen könnte?
Es erfolgt eine Datensicherung in der Authy Cloud, außerdem kann man es zwischen mehreren Devices syncronisieren.
Das widerspricht der Logik von der 2FA. Der Sinn an der Authentifizierung ist doch dieser, dass man nur als alleiniger Nutzer auf einem Gerät seiner Wahl, 2FA-Voucher generieren muss.

2 Likes

das sehe ich genauso. sehr bedenklich.
@VIP @d0m1ng0 was würdet ihr mir für eine App empfehlen? gibt es opensource 2fa apps?

jooo…deswegen ja auch der Hinweis mit der T.-Nummer :wink: Die Bedenken zum Thema Multi-Device bzw. Backup kann ich völlig nachvollziehen. Meiner Meinung nach entspricht so eine Lösung nicht dem Grund nach, einer Sicherheitslösung. Das, was ich oben beschrieben hatte, sind halt die Features, welche die Software halt bietet und von den Entwicklern so beworben wird.
Ein Problem allerdings bei der Suche nach einer alternativen App, ist die schlichte Masse an Apps aus dubiosen Quellen!

Ein sehr gutes 2FA-Prog ist bzw. war „freeOTP“ welches damals von Red Hat als Open-Source entwickelt wurde.
Leider wird das Programm seit 2016 nicht mehr offiziell weiterentwickelt - es funktioniert allerdings noch problemlos, da es halt unabhängig von Servern und Anbietern völlig autark arbeitet. Eine „inoffizielle“ Weiterentwicklung gibt es wohl mitlerweile von F-Droid…ist bestimmt mal einen Blick wert.

Eine zweite Alternative, die mir einfällt aus dem Open-Source Lager wäre halt noch „andOTP“ von Jacob Nixdorf.
Dieses Projekt begann als Abspaltung der großen OTP-Authenticator-App von Bruno Bierbaumer, die leider seit 2015 nicht mehr aktiv ist. Inzwischen wurde fast jeder Aspekt der Anwendung geändert / neu geschrieben, so dass der Fork-Status des Github-Repositorys auf Benutzeranfrage abgetrennt wurde und nun eigenständig weiterentwickelt wird. Momentan wird an einer kompl. neuen Version gearbeitet, welche noch Beta ist - Version: 0.7.0 beta1
Die stabile Version 0.6.3.1 wird beim Playstore angeboten (Gibts auch bei F-Droid).

Features:

  • Free and Open-Source
  • Requires minimal permissions
    • Camera access for QR code scanning
    • Storage access for import and export of the database
  • Encrypted storage with two backends:
    • Android KeyStore
    • Password / PIN
  • Multiple backup options (NUR im Telefon selber):
    • Plain-text
    • Password-protected
    • OpenPGP-encrypted
  • Sleek minimalistic Material Design with three different themes:
    • Light
    • Dark
    • Black (for OLED screens)
  • Great Usability
  • Compatible with Google Authenticator
  • Supported algorithms:
    • TOTP (Time-based One-time Passwords) as specified in RFC 6238
    • HOTP (HMAC-based One-time Passwords) as specified in RFC 4226

Weitere Infos zu „andOTP“ findest du hier:

https://github.com/andOTP/andOTP

https://play.google.com/store/apps/details?id=org.shadowice.flocke.andotp&hl=de

aber auch bei Kuketz:

https://forum.kuketz-blog.de/viewforum.php?f=41

Ein weiterer Geheimtipp, den ich aber pers. nicht so wirklich kenne, wäre die Open-Source App „Aegis Authenticator“, welche zwar hoch gelobt wird, allerdings erst vor ca. 10 Monaten veröffentlicht wurde!
Allerdings hat die auch eine Backup-Funktion (nur Telefon) mit zusätzlichen Features:

Um sicherzustellen, daß Sie niemals den Zugang zu Ihren Online-Konten verlieren, unterstützt Aegis Authenticator den Export Ihres Tresors, den Sie auf ein neues Gerät importieren können. Aegis Authenticator ermöglicht Ihnen auch den Import aus vielen anderen Zwei-Faktor-Authentifizierungsanwendungen (einschließlich AndOTP, FreeOTP und Authy), so daß Ihnen der Wechsel zu Aegis erleichtert wird.

:wink:

freeOTP habe ich mal auf iOS ausprobiert. Ja, ist in die Jahre gekommen. Dennoch tut es für mich als Anwender, was es soll. Auf Schnick-Schnack kann ich eh gut verzichten, aber da sind die Geschmäcker sehr verschieden.

vielen dank @d0m1ng0 @VIP und @Ghandy für eure antworten. ich werde mal andOTP testen!

Bitte bitte…ich denke, dass andOTP echt die beste Wahl momentan auf dem Markt ist. Dort gibt es zumindest einen sehr guten Konsens zwischen Sicherheit, Stabilität und Weiterentwicklung! Kannst ja irgendwann mal drüber berichten, wie deine Erfahrungen damit waren…