Google Authenticator Konten übertragen-Funktion als Backup?

[papayarodeo]

Hallo zusammen

Ich nutze Google Authenticator als 2FA. Nun würde ich gerne eine Wiederherstellungsmöglichkeit haben. Ich weiss, dass man beim Hinzufügen von einem Dienst einfach den Wiederherstellungscode aufschreiben oder den QR-Code abspeichern kann und dann bei Verlust vom Handy auf einem anderen Gerät diese in der Google Authenticator-App neu eingeben kann, um wieder an Codes zu kommen. Nun habe ich mich gefragt, ob ich anstatt 15 verschiedene Codes abzulegen, auch einfach den QR-Code ablegen kann, der angezeigt wird, wenn ich auf "Konten übertragen" angezeigt wird. Theoretisch sollte dieser ja reichen, oder? Oder ist dieser QR-Code nicht ein standard und könnte entsprechend in Zukunft anders aussehen?

Danke im Voraus für die Hilfe!

 

[nco2k]

der google authenticator ist total schlecht. steig lieber auf 2FAS um. den kannst du auf mehreren geräten gleichzeitig verwenden und hast automatische backups auf dein google drive bzw. icloud. ausserdem kannst du noch eine pin einrichten.

 

[papayarodeo]

Die Idee von 2FA ist ja gerade, dass die Codes nicht online erreichbar sind.

Wenn man sich über einen 6 Stelligen PIN Zugriff zu den Codes kommt oder die Backups auf Drive hinterlegt, dann hat man nichts gewonnen. Das wäre als würde man finden, dass ein PIN zu einem Schliessfach nicht sicher ist, also schliesst man es zur Sicherheit zusätzlich mit einem Schloss ab und legt dann den Schlüssel in ein Fach, der wiederum nur einen PIN verlangt. Ok man muss jetzt zwei PINs statt einen knacken, aber die PINs sind ja eben nicht sicher Genug, da ist auch doppelt unsicher immer noch unsicher. Man hat ja nicht die physische Komponente hinzugefügt.

Den QR-Code vom Google Authenticator zu drucken hingegen würde physischen Zugriff auf mein Handy + Passwort/Fingerabdruck oder physischen Zugang in mein Haus + dem Wiederherstellungs-QR bedingen. Darum geht es ja bei 2FA.

Zudem will ich, wenn ich schon auf 2FA umstelle, auch Drive etc. mit 2FA schützen, wenn ich mein Handy verliere habe ich ja weder Zugriff auf meine Drive, noch auf den Authenticator. Ich will dann zuhause mir wieder Zugriff verschaffen können, ohne bei allen Diensten dem Kundendienst eine ID-Kopie senden zu müssen.

 

[wickedgonewild]

Weil der Google Authenticator genau das nicht kann (Backup) bin ich zum Microsoft Authenticator gewechselt. Ich hatte tatsächlich mal einen Geräteverlust und konnte zwar an die Konten mit Backup-Codes wieder ran, nicht aber an ebay, Amazon etc., da war einiger Aufwand nötig).
Der MS Authenticator macht ein iCloud Backup (keine Ahnung wie das unter Android ist, zu deinem System schreibst du ja nichts), welches sich nach einem Gerätetausch, ohne Kopfstände zu machen, einfach wiederherstellen lässt.

Auch Computerbase habe ich im MS Authenticator .

 

[GrumpyCat]

Oder ist dieser QR-Code nicht ein standard

Wer weiß schon genau, was die da machen, der Authenticator hat weder vernünftige Doku noch ist er noch Open Source (war er früher mal). Ich würde mich nicht drauf verlassen, dass der QR-Code, der die Übertragung von Gerät zu Gerät erlaubt, auch funktioniert, wenn das alte Gerät nicht online ist.

Ein Standard ist das sicher nicht, zumal die Daten, die z.B. für eine Installation mit 20 OTP-Accounts benötigt werden, nicht in einen normalen QR-Code passen.

 

[nco2k]

die schlüssel die auf deinem handy gespeichert sind und zum generieren der codes benötigt werden, sind ebenso auf den servern deiner ganzen webseiten und programme abgespeichert. wo ist jetzt also der unterschied zu google drive? so oder so bist du darauf angewiesen, dass die betreiber ihre server gut schützen. die totale sicherheit hast du nie. selbst wenn du dir die schlüssel ausdruckst und in den safe legst, kann noch einiges schiefgehen.

 

[GrumpyCat]

wo ist jetzt also der unterschied zu google drive?

Du kannst ja mal versuchen, einem Arbeitgeber, der auf Sicherheit Wert legt, zu erklären, dass Du alle Deine Zugangsdaten (zum Firmen-GitHub, Slack, Teams, Google etc.) gesammelt auf Google Drive abgelegt hast "weil ist ja eh alles online". Da haste den Job die längste Zeit gehabt, zu Recht.

 

[nco2k]

wer sagte was von gesamten zugangsdaten? du legst nur den schlüssel ab, der auch beim betreiber der webseite bzw. des programms liegt. die chancen dass der betreiber gehackt wird ist nun mal weitaus höher als dein google drive. ausserdem hindert dich ja niemand daran das backup mit einer verschlüsselung deiner wahl zusätzlich zu schützen. zudem fehlt ja noch das password.

 

[papayarodeo]

Ein Standard ist das sicher nicht, zumal die Daten, die z.B. für eine Installation mit 20 OTP-Accounts benötigt werden, nicht in einen normalen QR-Code passen.

Da hast du Recht. Habe nun einfach die Codes abgelegt. So kommt man nie drum eine physische Komponente zu haben.

Ergänzung (3. November 2021)

die schlüssel die auf deinem handy gespeichert sind und zum generieren der codes benötigt werden, sind ebenso auf den servern deiner ganzen webseiten und programme abgespeichert. wo ist jetzt also der unterschied zu google drive? so oder so bist du darauf angewiesen, dass die betreiber ihre server gut schützen. die totale sicherheit hast du nie. selbst wenn du dir die schlüssel ausdruckst und in den safe legst, kann noch einiges schiefgehen.

Es stimmt, dass es die totale Sicherheit nicht gibt, aber die Wahrscheinlichkeit, dass dein Passwort mit Social Engeneering herausgefunden wird ist viel höher, als dass die Server von seriösen Anbietern gehackt werden. Mir geht es vor allem um die 2FA Code für meinen Passwortmanager, der ja als einziger Dienst ein Passwort haben muss, den ich mir merken kann. Und auch wenn ich behaupten würde mein Passwort ist ziemlich sicher ist es nicht unhackbar. Das heisst für alle Dienste, welche mit Zahlungsmethoden verknüpft sind oder sehr wichtige Daten drauf haben, müsste man ein zufallsgeneriertes Passwort herausfinden + den 2FA-Code erhalten in dem man nur mit meinem Handy oder meinem Zettel zuhause generieren kann. Und um an meine Passwörter im Passwortmanager zu kommen muss man mein menschliches Passwort herausfinden + den 2FA-Code erhalten in dem man nur mit meinem Handy oder meinem Zettel zuhause generieren kann. Damit bin ich sicher etwas besser abgesichert als wirklich nötig.

Das eigentliche Problem mit der Cloudlösung ist, dass ich ja dann ein Passwort haben müsste, welches ich mir merken kann und entsprechend unsicherer wäre, für den Fall, dass ich mein Handy verliere und den Code für 2FA brauche. Das würde heissen zwei Merkbare Passwörter (Cloud + Passwortmanager) würden Zugang zu all meinen Diensten geben.

 

[GrumpyCat]

die chancen dass der betreiber gehackt wird ist nun mal weitaus höher als dein google drive.

Du hast glaube ich nicht verstanden, worum es bei TOTP/2FA geht. Ich "hacke" Dir Dein Google Drive, wenn ich irgendwie an ein gültiges Credential von Dir gelange. Da reicht eine Sicherheitslücke in Deinem Browser oder 15 Sekunden mit Deinem geöffneten Notebook. Und schwupps sind alle Deine Accounts in der Hand des Angreifers.

U.a. genau davor soll TOTP/2FA schützen, und das tut es auch, wenn man die TOTP-Apps so benutzt wie gedacht und nicht als yet another Passwortmanager inkl. Cloud-Backup "weil es so bequemer ist".

 

[nco2k]

@papayarodeo
ist dein passwordmanager cloud-basiert? falls ja, dann hast du im endeffekt das gleiche problem und vertraust blind dem betreiber. du könntest aber zwei authentifikatoren verwenden. einen der nirgends ein backup erstellt und nur für dein masterpassword zuständig ist und einen anderen für alles andere eben. bankpasswörter sollten ohnehin nie in passwordmanagern abgespeichert werden und man sollte auch keine banking-apps verwenden. stattdessen sollte man lieber auf ein chipTAN setzen, der deine bankkarte voraussetzt. aber selbst das ist nicht 100%ig sicher.

ich finds lustig wie alle so tun als ob TOTPs das allheilmittel sind, dabei können die schlüssel genauso entwendet werden, wie alles andere, wenn sich jemand zugang zur datenbank verschafft, was übrigens recht häufig passiert. das stichwort hier ist jedoch verschlüsselung! genauso wie serverbetreiber dafür sorgen müssen, dass angreifer nur datenmüll sehen, musst du ebenfalls dafür sorgen, dass dein google drive bzw. deine backups verschlüsselt sind. ausserdem zwingt dich niemand die backups permanent auf deinem drive liegen zu lassen. du kannst sie ja nur vorübergehend einschalten, um die schlüssel von einem gerät auf ein anderes zu übertragen. wenn du zwei geräte hast, auf denen die schlüssel abgespeichert sind, dann hast du immer ein gerät zur hand, mit dem du die schlüssel übertragen kannst. es werden wohl nicht beide geräte gleichzeitig kaputt gehen bzw. gestohlen werden. zur not hast du aber noch die ausgedruckten codes.