Kann ich den Google Authenticator verwenden, ohne ihn mit meinem Google-Konto zu verknüpfen?

[CB_KeinNameFrei]

Ich möchte gerne bei einer Webseite, bei der echtes Geld im Spiel ist, die Zwei-Faktor-Authentifizierung nutzen. Zur Auswahl stehen mir dabei ein physikalisches Gerät, und Google Authenticator. Keine anderen Optionen.

Habe bis jetzt noch nie Google Authenticator verwendet. Bei der Einrichtung auf meinem Gerät drängt mich das Setup direkt dazu, meinen Google-Account entsprechend abzusichern, und ist davon scheinbar nicht abzubringen. Kann ich dem Ding das irgendwie abgewöhnen? Ich möchte einfach nur einen Sicherheitscode empfangen, damit ich bei der anderen Webseite 2FA nutzen kann.

An sich hätte ich nichts gegen die Verbindung mit meinem Google-Account; aber ich möchte für diesen 2FA explizit nicht nutzen. Ich bewege mich oft auf virtuellen Maschinen, die mit schöner Regelmäßigkeit zurückgesetzt werden. In Kombination mit der Tatsache, das man bei der Anmeldung oft auf verschiedenen Maschinen landet, führt das dazu, dass ich mein Google-Konto 4-5 mal pro Woche neu anmelden muss. Und Sicherheitsrelevantes ist mit dem Konto auch nichts verknüpft - nicht mal ein GMail-Konto. Das schlimmste, was passieren könnte, wäre vielleicht, das ein Angreifer in meinem Namen Müll in Youtube-Kommentaren schreibt, oder sowas. Ich möchte es also vermeiden, ständig das Smartphone rauskramen zu müssen, wenn mal wieder eine Neuanmeldung nötig ist.

Geht das irgendwie?

 

[chrigu]

Wähle die zweite Option „physikalisches Gerät „. Du bekommst einen Kasten den du einen Code eingibst und einen zweiten Code wird generiert den du eingeben musst.

 

[xammu]

im Prinzip ja, ich empfehle aber Authy

• mehrere Google Authenticator geschützte Konten, sonst nur eins
• Backup
• Sync über mehrere Geräte

 

[GrumpyCat]

Der Authenticator funktioniert auch ohne dass man das Google-Konto des Smartphones damit absichert. Ich benutze das hier so.

Google Authenticator implementiert einfach den TOTP-Standard. Die 2FA-Codes werden dabei aus einem hinterlegten Secret (das steck in dem QR-Code, den man beim Setup für jeden Service einliest) und Datum/Uhrzeit generiert. Kommunikation mit einem Server findet nicht statt.

Würde ich den Krams heute neu einrichten, würde ich vermutlich eine andere App benutzen, weil Google Authenticator anscheinend nicht mehr gepflegt wird. Z.B. gibt's da andOTP. Closed Source mag ich nicht, weil das morgen alle möglichen Berechtigungen will, kostenpflichtig wird und von Microsoft oder Oracle aufgekauft wird.

 

[CB_KeinNameFrei]

Wähle die zweite Option „physikalisches Gerät „. Du bekommst einen Kasten den du einen Code eingibst und einen zweiten Code wird generiert den du eingeben musst.

Die Option nehme ich, wenn es anders nicht geht.

Der Authenticator funktioniert auch ohne dass man das Google-Konto des Smartphones damit absichert. Ich benutze das hier so.

Google Authenticator implementiert einfach den TOTP-Standard. Die 2FA-Codes werden dabei aus einem hinterlegten Secret (das steck in dem QR-Code, den man beim Setup für jeden Service einliest) und Datum/Uhrzeit generiert. Kommunikation mit einem Server findet nicht statt.

Würde ich den Krams heute neu einrichten, würde ich vermutlich eine andere App benutzen, weil Google Authenticator anscheinend nicht mehr gepflegt wird. Z.B. gibt's da andOTP. Closed Source mag ich nicht, weil das morgen alle möglichen Berechtigungen will, kostenpflichtig wird und von Microsoft oder Oracle aufgekauft wird.

Alternativen sind leider nicht möglich - Google ist die einzige Softwareoption die von der Webseite unterstützt wird.

Dein Beitrag hat mir aber dennoch sehr geholfen. Ich habe es jetzt geschafft, aus dem Setup-Wizard der App auszubrechen, und an eine Stelle zu kommen, wo man einen QR-Code einscannen kann. Das müsste deiner Beschreibung nach genau das sein, was ich brauche. Da scanne ich dann einfach den Code von der Webseite.

Zumindest probier ich das so, heute Abend. Bin momentan grad unterwegs.

 

[GrumpyCat]

Die QR-Codes sind standardisiert. Jede TOTP-App, die keine Fehler hat, kann sie einlesen. Auch wenn die Website "nehmt den Google Authenticator" sagt, wird sie mit allen anderen TOTP-fähigen Apps funktionieren. Du kannst ja zum Spaß mal andOTP installieren und den QR-Code dort UND im Authenticator einscannen. Beide Apps werden danach die gleichen Codes generieren.

Ein großer Vorteil bei andOTP ist, dass man verschlüsselte Backups der App(-Daten) anlegen kann. Der Google Authenticator kann das nicht, und seine Daten sind (natürlich) nicht im normalen App-Backup, das Android anlegt, drin; wenn man das Smartphone verliert, bleiben beim Authenticator also nur die Backup-Codes (die man irgendwo gesichert haben muss) und das erneute Aufsetzen einer TOTP-App auf einem anderen Gerät. Andere Leute nehmen aus diesem Grunde Authy, aber für mich scheidet das halt wegen Closed Source etc. aus.

 

[CB_KeinNameFrei]

Interessant, wieder was gelernt. Danke!

 

[xammu]

Würde ich den Krams heute neu einrichten, würde ich vermutlich eine andere App benutzen, weil Google Authenticator anscheinend nicht mehr gepflegt wird. Z.B. gibt's da andOTP. Closed Source mag ich nicht, weil das morgen alle möglichen Berechtigungen will, kostenpflichtig wird und von Microsoft oder Oracle aufgekauft wird.

Bei OpenSource verliert der einzelne Programmierer morgen die Lust, bringt keine Updates mehr und irgendwann läuft's nicht mehr

Und ob das, was beim Compiler rausfällt, auch das ist was im Sourcecode drin steht, ist schon so lange ein Streitfall wie es OS gibt

Ich würde auch lieber andOTP nutzen, aber da muss ich an jedes Gerät einzeln ran, sobald sich was ändert. Zum Beispiel ein neuer Zugang.

Bei Authy synct das halt.

 

[GrumpyCat]

Ist etwas OT, aber bei von mir benutzter Open Source-Software hat immer jemand anders die Pflege übernommen, wenn der Originalprogrammierer keine Lust mehr hatte. Compiler-Output ist kein ungelöstes Problem (Reproducible Builds, und bei den meisten Distributionsplattformen baut sowieso die Plattform, nicht der Entwickler, siehe F-Droid).
Stattdessen muss man im Passwort-Manager-Fall gar nicht weit bis zum Ärger mit Closed Source schauen, z.B. LastPass hat letztens gerade zentrale Funktionalität in der kostenlosen Variante abgeschaltet.

Sync abseits Backup macht doch bei 2FA gar keinen Sinn. Wenn Du Codes auf allen Geräten erzeugen kannst (am besten noch auch auf dem, mit dem du dich einloggst), ist der Sicherheitsvorteil ja dahin.