FreeOTP: Freie Zwei-Faktor-Authentifizierung für Android
FreeOTP ist eine quelloffene Alternative zu der Android-App Google Authenticator. Beide ermöglichen die Verwendung von Zwei-Faktor-Authentifizierung für den Login-Vorgang auf diversen Websites, was die Account-Sicherheit deutlich verbessert.
Vor rund einem Jahr hat Google beschlossen, den Quelltext der Android-App „Google Authenticator“ nicht mehr zu veröffentlichen. Die App ist zwar weiterhin kostenlos verfügbar, allerdings gilt für neue Versionen nicht mehr die freie Apache-Lizenz, d.h. der Quelltext bleibt Googles Geheimnis und die App ist fortan proprietäre Software.
This open source project allows you to download the code that powered version 2.21 of the application. Subsequent versions contain Google-specific workflows that are not part of the project.
Google Authenticator Website
Als Reaktion darauf entstand die freie Android-App FreeOTP. Sie bietet einen weitgehend identischen Funktionsumfang wie Google Authenticator. Im Gegensatz zur Vorlage fordert FreeOTP unter Android aber weniger Rechte ein und verzichtet beispielsweise auf Internetzugriff. In der neuen Version 1.4 haben die Entwickler unter anderem Copy-Paste-Unterstützung für die Einmalpasswörter implementiert.
Zwei-Faktor-Authentifizierung kann nur auf Websites genutzt werden, die dieses Feature explizit unterstützen. Welche Websites das sind und wie die Aktivierung funktioniert, verrät die Liste Two Factor Auth (2FA). Google stellt eine eigene Hilfe-Seite zur Zwei-Faktor-Authentifizierung bereit. Ist das Feature bei einem Account aktiviert, muss beim Einloggen zusätzlich zum Passwort ein von der App generiertes Einmalpasswort („One Time Password“, OTP) eingegeben werden. So beweist man, nicht nur etwas zu wissen (das Passwort), sondern auch etwas zu haben (das Smartphone mit der App).
Kriminelle können bei aktivierter Zwei-Faktor-Authentifizierung also nicht mehr allein durch Kenntnis des Passworts einen Account kapern, sondern müssten auch in Besitz des Smartphones mit der App gelangen. Doch Vorsicht: Bei Verlust des Smartphones steht man vor demselben Problem. Deshalb empfiehlt sich dringend das Ausdrucken von „Backup-Codes“ und deren Verwahrung an einem sicheren Ort, sodass man sich notfalls auch ohne App wieder Zugang zu dem Account verschaffen kann.
Der Google Authenticator für iOS ermöglicht die Nutzung von Zwei-Faktor-Authentifizierung auch auf dem iPhone und iPad. FreeOTP für iOS befindet sich noch in der Entwicklung. Als Alternative zu einer App kann Zwei-Faktor-Authentifizierung auch via SMS erfolgen, bekannt durch „Mobile TAN“ beim Online-Banking.