2FA auf Geräten synchronisieren

CyborgBeta

Captain
Registriert
Jan. 2021
Beiträge
3.145
Hallo, was brauche ich, um 2FA zwischen Smartphone und Computer/Browser synchronisieren zu können?

Gibt es vielleicht Open Source-Software für die beiden Endgeräte?
 
Was meinst du mit dem "Computer/Browser synchronisieren"? Meinst du damit eine 2FA Software auf dem PC?

Meines Wissens gibt es keine "normale" Möglichkeit einen 2FA nachträglich auf ein anderes Gerät zu übertragen (außer natürlich Export/Import Funktionen innerhalb von Apps, die dies unterstützen)

Proton Pass könnte dies zum Beispiel. Da kannst du die Handy App und PC App nutzen und hast auf beiden Geräte den gleichen 2FA. Der 2FA geht allerdings nur in der kostenpflichtigen Version.

Du kannst aber natürlich während der Ersteinrichtung des 2FA diesen auf beiden Geräten zeitgleich hinzufügen. Beide Geräte werden den gleichen Code generieren, solange die Uhr stimmt.
 
  • Gefällt mir
Reaktionen: CyborgBeta und tollertyp
Yap, die wenigsten Authenticator-Apps bieten die Möglichkeit, die Secrets anzuzeigen. Gleichzeitiges einrichten ist aber nie ein Problem, ist aber halt manueller Aufwand.

Wenn man aber z.B. KeePass für TOTP nutzt, kann man die Secrets nachträglich noch anschauen - wie man daraus einen QR-Code bekommt weiß nicht nicht, den könnte man aber eigentlich auch gleich mit speichern als Attachment.
 
  • Gefällt mir
Reaktionen: CyborgBeta
cvzone schrieb:
Meinst du damit eine 2FA Software auf dem PC?
Ja.


cvzone schrieb:
Du kannst aber natürlich während der Ersteinrichtung des 2FA diesen auf beiden Geräten zeitgleich hinzufügen.
Das mache ich zurzeit auch genau so...

Das Problem ist nur, dass das nicht gerade praktisch, also praktikabel ist...
 
cvzone schrieb:
Beide Geräte werden den gleichen Code generieren, solange die Uhr stimmt.
Wenn die Uhr bei einem TOTP nicht stimmt, hat man eh ein Problem.
Ergänzung ()

Ich überlege, diesen Thread als Anlass zu nehmen, alle meine TOTPs neu zu machen und eben in KeePass dann sowohl das TOTP als auch den QR-Code dazu zu speichern.
 
tollertyp schrieb:
Yap, die wenigsten Authenticator-Apps bieten die Möglichkeit, die Secrets anzuzeigen.
Also, beim Google authenticator gibt es diese Möglichkeit nicht, und bei dem von Microsoft glaube ich auch nicht... Nicht mal Import/Export funktioniert (gut).
 
tollertyp schrieb:
die Secrets nachträglich noch anschauen - wie man daraus einen QR-Code bekommt weiß nicht nicht
Ist das Secret der Code den man für die Ersteinrichtung nutzt? Fast alle Dienste bieten inzwischen ja die Möglichkeit einen 2FA auch ohne QR Code hinzuzufügen.
 
Ja, beim Microsoft Authenticator, den ich gerade auch nutze, kann man zwar ein Online-Backup machen, aber ob das Wiedereinspielen klappt, das kann man kaum testen, und wenn man es macht meldet es halt den alten Authenticator quasi ab.
Komplett auf den MS Authenticator werde ich aber wegen Microsoft 365 kaum verzichten können.

Die Export-Funktion wäre für mich dann auch gar nicht so wichtig, so lange ich konsequent die QR-Codes eben auch in KeePass ablege.

Nutze privat schon Bitwarden als Passwort-Manager (selbst gehostet), aber irgendwie möchte ich meine 2FA dann nicht auch noch da drin speichern, weil es dann reichen würde Bitwarden bei mir zu knacken, um 2FA "auszuhebeln".

Der Aegis Authenticator kam bei c't gut weg (Kritikpunkt ist, dass es eigentlich zu viel kann) und erlaubt auch Export. Authy erlaubt ja auch bereits Sync, aber halt kaum zum Desktop und mit Android-Emulatoren rumfrickeln dafür will vermutlich auch niemand.

@cvzone: Yap, also der QR-Code enthält ja dieses Secret (ne Art Seed), es steht in der otpauth-Url.
 
  • Gefällt mir
Reaktionen: CyborgBeta
cvzone schrieb:
Beide Geräte werden den gleichen Code generieren, solange die Uhr stimmt.
Die Uhrzeiten müssen gar nicht mal auf die Sekunde genau sein, und spielen auch nur bei der OTP-Generierung eine Rolle. ;) Man kann ja, wenn ein Code nur noch 5 Sekunden gültig ist, zum Beispiel, 10 Sekunden warten und den nächsten Code nehmen. ;)
 
Yap. Aber wenn die Uhr bei einem Gerät nicht stimmt ist die abweichende Anzeige der verschiedenen Authenticator-Apps nicht das Problem. Wenn die Uhr nicht stimmt, erzeugt der Authenticator halt wertlose Codes im Worst Case.
Ergänzung ()

Ich werde wohl Aegis verwenden. Authy nervt mich schon direkt mit Account-Zwang.
 
  • Gefällt mir
Reaktionen: cvzone und CyborgBeta
tollertyp schrieb:
Ich werde wohl Aegis verwenden.
Ich wollte mir mal KeeTrayTOTP anschauen ... aber keepass.info scheint gerade down zu sein. 😳
 
Ja, eine Empfehlung für eine gute PC-App kann und will ich gar nicht geben.
Ich werde KeePass eher als Speicher für die QR-Codes nutzen, also quasi als zusätzliches Backup.
Den MS Authenticator werde ich wohl nur noch für Microsoft-Produkte nutzen, und für den Rest Aegis. Der müsste auch Steam können.

(Den MS-Authenticator würde ich deshalb weiter nutzen, weil es dort eben auch bequeme Authentifizierungen gibt wo ich nicht den Code abtippen muss sondern eine aus drei Zahlen bestätigen am Handy)
 
Beim Google Authenticator gibt es die Funktion "Konten übertragen", anschließend synchronisieren sich die Authenticstor Apps der Endgeräte jeweils. Eben mit meinem Fallback Handy geschaut, es hat alle auf meinem Haupthandy neu hinzugekommen 2FAs nun ebenfalls.
 
Als jemand, der selbst kürzlich migriert ist, kann ich dir zwei Empfehlungen geben:

* 2FAS: Sicherungen erfolgen in Google Drive/iCloud und es kann auch mehrere Geräte mit einander abgleichen. Eine Browser-Erweiterung wird angeboten, die von deinem Telefon die Codes abgreift.

* Ente Auth: Es gibt div. native Anwendungen für deine Platform, sodass du keine Erweiterung im Browser verwenden musst. Die gibt es eh nicht. Synchronisierung wird hier über Entes eigene Cloud angeboten - ist auch optional - da deren eigentliches Geschäft ein Bezahldienst ist um deine Fotos sicher abzulegen - quasi Google Photos, aber ohne Google.

Beide Vorschläge sind FOSS, kostenlos und erlauben einen Export deiner Token.

Nachtrag:
Vergiss Authy. Die haben die Desktop-Anwendung eingestellt, sind mit einem Datenleck nicht elegant umgegangen und erlauben keinen Export. Wenn du Pech hast, sperrst du dich bei deinen auch aus, da einige Anbieter Token direkt bei denen für dich erstellen und manchmal ist das Entfernen dieser nicht so einfach wie es sein sollte. Frag mich woher ich das weiß.
 
  • Gefällt mir
Reaktionen: cvzone
1Password kann 2FA über alle Geräte syncronisieren
 
1Passwort muss man aber hosten lassen, oder?

Vermutlich schaue ich mir nun 2FAS und Ente Auth auch noch an. Am Abspeichern der TOTPs in KeePass werde ich so oder so festhalten, da lege ich auch die Backup Codes von Accounts ab. Dann ist das Neueinrichten von solchen Apps relativ entspannt.
 
  • Gefällt mir
Reaktionen: CyborgBeta
AndOTP mit lokal verschlüsselten Backups.
 
2FAS ist schon mal abschreckend, weil es keinen Quer-Modus auf Tablets unterstützt - kann es zwar erzwingen, aber sieht dann halt merkwürdig aus (weil es dann nur 1/4 der Breite nutzt etwa).
Ente Auth kann das besser.

Beide erlauben so wie ich gesehen habe auch die Ansicht der Secrets.

Backups über die App brauche ich eigentlich nicht, das wäre bei mir eher ein Argument für 2FAS, das eben Google Drive nutzen kann.

@Mulciber: Lokal verschlüsseltes Backup bedeutet aber, dass man da in der Pflicht ist, dieses auf irgendeinem Weg (regelmäßig) an einen sicheren Ort zu bringen.
 
tollertyp schrieb:
1Passwort muss man aber hosten lassen, oder?
Ja, ist nen Service, den kann man nicht selbst hosten. Für mich ists halt super, weil ich egal auf welchen OS, immer alle 2FA Codes habe, und nicht von Google Authentificator oder MS Pendant abhängig bin.
 
CyborgBeta schrieb:
2FA zwischen Smartphone und Computer/Browser synchronisieren zu können
Warum?
Man hat an einem Geraet eine App/Programm und das Teil erzeugt den Code der eingegeben werden muss wenn es zu 2FA kommt. Ist der Code getippt oder abgelaufen ist er wertlos. Das erzeugen kann auf mehreren Geraeten passieren ohne das die sich untereinander kennen.
tollertyp schrieb:
Ich überlege, diesen Thread als Anlass zu nehmen, alle meine TOTPs neu zu machen und eben in KeePass dann sowohl das TOTP als auch den QR-Code dazu zu speichern.
Ohne naeher geschaut zu haben weil zu faul. Kann Keepass die 6 Zahlen generieren?

schwimmcoder schrieb:
immer alle 2FA Codes habe, und nicht von Google Authentificator oder MS Pendant abhängig bin.

Das sind welche Codes? Die TOTP sind doch zeitlich begrenzt.
 
Zurück
Oben