Solange wir noch Passwörter brauchen (also vermutlich noch lange), sollten wir unsere Accounts immer mit einem zweiten Faktor absichern. SMS sind dafür eine sehr schlechte Idee. Das wussten wir eigentlich schon lange, aber der CCC hat es unlängst noch einmal bewiesen. Hardwareschlüssel wie YubiKey sind sehr gut, werden aber selten unterstützt. Es bleiben also hauptsächlich sogenannte Authenticator Apps.
Die Apps erzeugen kurzzeitig gültige numerische Codes als zweiten Faktor auf der Basis des HOTP– oder TOTP-Verfahrens. Auf Basis eines geheimen Schlüssels und der Uhrzeit bzw. eines synchronen Zählers werden Einmalschlüssel generiert. Dies ist nicht perfekt, aber praktikabel und hat sich einigermaßen etabliert.
Das Verfahren hat sich etabliert und daher werden viele Apps kaum noch weiterentwickelt. Ich habe lange Zeit FreeOTP+ als App verwendet. Das ist ein Fork von FreeOTP, die inzwischen auch wieder weiterentwickelt wird. Im Grunde also das übliche Open-Source-Chaos. Die ist in Ordnung und bis heute funktional. Bei sehr vielen Accounts wird es aber schnell unübersichtlich. Außerdem kann die App nicht separat geschützt werden.
Als Alternative bin ich kürzlich auf den Aegis Authenticator gestoßen. Diese App gibt es auch bei F-Droid und sie hat einige – aus meiner Sicht – interessante Funktionen. So lassen sich die Accounts nach verschiedenen Kriterien sortieren. Ich benutze gerne die Methode “Zuletzt verwendet”. Auch die Icon-Pakete ermöglichen eine bessere optische Zuordnung der Konten. Die App lässt sich weiterhin mit einem Passwort oder biometrisch sperren. Eine nützliche Funktion ist die Backup-Erinnerung. Die App erinnert nach 10 Tagen daran, ein Backup zu machen. Die Funktion lässt sich abschalten, aber ich finde solche Erinnerungen sehr wichtig. Aegis Authenticator verwendet als Design die neueste Version von Material. Das mag nur eine Frage der Optik sein, aber mich stören diese veraltet aussehenden Apps auf Android zunehmend.
Aegis erlaubt den Import aus den Exportdateien zahlreichen Authenticator-Apps:
- 2FAS Authenticator
- Aegis
- andOTP
- Authenticator Plus
- Authenticator Pro
- Authy
- Battle.net
- Bitwarden
- Duo
- FreeOTP
- FreeOTP+
- Google Authenticator
- Microsoft Authenticator
- Steam
- TOTP Authenticator
- WinAuth
Insgesamt für mich ein nützlicher Umstieg.