Nachteile von Authy?

[matze787]

Moin zusammen!

Ich nutze seit Jahren Authenticator Apps für 2FA - erst den Google Authenticator, jetzt den von Microsoft, weil der auch eine Backupoption in die Cloud beinhaltet.

Jetzt habe ich mich mal mit Authy bschäftigt. Gerade die Desktop-Apps machen das sehr charmant, weil ich auch mal am Rechner sitze und mein Smartphone nicht in Griffweite habe...

Bevor ich jetzt komplett wechsel: gibt es aus Eurer Sicht irgendwelche Nachteile von Authy? Bis auf eine fehlende App für Wear OS wirkt das ganze sehr durchdacht auf mich....

Besten Dank im Voraus!

 

[Wishbringer]

Jede cloudbasierende App steht und fällt mit der laufenden Unterstützung.
das „wäre“ für mich der einzige Nachteil:
Microsoft und Google Authenticatoren sind von Weltkonzernen.
Authy kommt von einen kleinen Anbieter. Irgendwie muss er sich finanzieren.
Wenn das nicht klappt ist er schnell weg und die App nutzlos.

ich nutze Authy aber auch, daher das „wäre“.
Vielleich kommt noch Unterstützung für WearOs, für die AppleWatch gibt es sie auch.

 

[matze787]

Darüber habe ich auch schon nachgedacht und der Anbieter schreibt ja auch was zu seinem Geschäftsmodell (https://authy.com/blog/why-is-the-authy-2fa-app-free-for-users/).

Dann werde ich wohl wechseln, das macht wirklich einen guten Eindruck! Danke :-)

 

[Helge01]

Ihr speichert euren Code für 2FA tatsächlich im Internet in einer Cloud? Das ist ja so wie wenn ich ein absolut sicheres Vorhängeschloss habe und den Schlüssel auf dem Marktplatz hinterlege...
Die Bequemlichkeit ist schon absurd, man muss sich nur den Zahlencode unter dem QR Code speichern. Diesen kann man dann in jeder Authenticator App oder in einem Yubikey einfügen. Da hat man dann gleich ein Backup und Arbeit macht das nun wirklich nicht.

 

[MarvinWegener]

Wo ist am PC dann der zweite Faktor?
Das ist ja der Sinn, dass man es auf einem anderen Gerät hat dachte ich 😂

 

[matze787]

Ihr speichert euren Code für 2F2 tatsächlich im Internet in einer Cloud? Das ist ja so wie wenn ich ein absolut sicheres Vorhängeschloss habe und den Schlüssel auf dem Marktplatz hinterlege...

Na komm, das kann man wohl kaum vergleichen. Um bei dem Vergleich zu bleiben - die "Box" auf dem Marktplatz ist nicht nur verriegelt (verschlüsselt), sondern auch versteckt.

Viel schlimmer finde ich es, wenn die Leute OTPs aus dem PW-Manager generieren. Damit ist das 2FA-Prinzip für mich komplett ausgehebelt. Und natürlich worst-case (und leider der Regelfall da draußen) - gar kein 2FA und Trivialpasswörter...

 

[Helge01]

Wer die 2FA Authentifizierung nutzt, hat häufig ein einfaches Passwort. Wenn ich jetzt an den Code für die 2FA komme, dann ist die Sicherheit gleich null. Wer bequem ist der hat ein einfaches Passwort und speicher die Daten im Internet...

Mehr ist nicht zu tun. Da steht sicher speichern, also in einer Texdatei in einem Veracrypt Container, oder zur Not gleich mit in den Passwortmanager, aber nicht öffentlich.

 

[matze787]

Wer die 2F2 Authentifizierung nutzt, hat häufig ein einfaches Passwort.

Warum? Ein Passwortmanager sollte heute geradezu Pflichtprogramm sein und die von ihm generierten Passwörter sind definitiv sicher....

 

[Helge01]

Ne, wer so bequem ist und es nicht mal schafft einen Code zu speichern, der hat kein sicheres Passwort und schon gar nicht einen Passwortmanager. Das macht alles viel zu viel Arbeit. Das einfachste wäre es, wenn es einen Anbieter gibt, der Passwortmanager und Authenticator Code zusammen in der Cloud speichert. Da geht dann nichts mehr verloren.

 

[Yuuri]

Bitwarden hat bspw. einen TOTP Generator gleich mit drin. Ich persönlich nutz den Microsoft Authenticator mobil und am PC Bitwarden, sofern die Anmeldung im Browser ist. Sonst ist das Handy i.d.R. schneller.

 

[Bob.Dig]

App für Wear OS wirkt das ganze sehr durchdacht auf mich....

Ist OTP etc schon so weit verbreitet, dass ich es in der Uhr brauche? Vorstellbare wäre es ja, ein individuellen Zahlencode für eine Tür, dann kann man auch gleich sehen, wer da Zutritt hatte...
🤯

 

[matze787]

Ist OTP etc schon so weit verbreitet, dass ich es in der Uhr brauche?

Wir nutzen auf der Arbeit z. B. eine Anwendung, die bei jedem Aufruf zwingend 2FA benötigt. Da wäre ein da Blick zur Uhr einfacher als das Smartphone rauszuholen, entsperren, App aufrufen, entsperren...

 

[Wishbringer]

@Helge01 :
Ein bisschen Hintergrundwissen wäre sinnvoll!
Die 2FA-Daten sind in Authy passwortgeschützt und verschlüsselt.
Wenn man Verschwörungstheoretiker ist, darf man damit keiner 2FA-App trauten, egal ob Cloudsave oder nicht, wer weiß, was alles gesammelt wird.
2FA=2Faktor: der erste Faktor ist immer noch das Passwort und das ist immer noch außerhalb von Authy!
Und wer dann ein supereinfaches PW nutzt ist selbst schuld. Deine verallgemeinernde Annahme trifft nicht auf alle zu.

Leute die meinen ein separater Passwort-Manager (offline) sei sicher, sollten gefragt werden, ob sie denn selbst ein Audit des Quellcodes durchgeführt haben. Ansonsten kommt nämlich immer irgendwo der Faktor Vertrauen dazu.
Selbst bei SMime und PGP-Keys vertraut man jemanden, zum Beispiel einer zentralen CA.

Das sicherste wäre ein super Gedächtnis und für jeden Zugang ein eigenes Passwort und die Gewissheit dass man keinen Schlaganfall bekommt und alles vergisst.
Glaubt man, bis man ihn hatte (leider Erfahrung aus engerem Arbeitskollegenkreis).
Oder zuhause aufschreiben und im Safe verwahren (bis man merkt, dass der Ehepartner die Konten geplündert hat).

Fazit: es gibt nichts 100% sicheres.
Aber ein privates PW mit einem Cloud-2FA ist immer noch sicherer als ohne 2FA.

Edit: ich hasse Autovervollständigung auf Tablets...

Edit2: und YubiKey, wie viele 2FA-Token kannst Du denn auf einen Stick hinterlegen? Wieviele Sticks schleppst Du dann mit Dir rum? Wenn man Dir den Stick entwendet, bist Du dann sicherer als mit einer Authy-App?

 

[matze787]

Hab' heute ein paar Konten zum Authy übertragen. Funktional alles prima, aber die Symbole sind ja unfassbar klein...wenn ich mal einen Code brauche, muss ich direkt die Lesebrille rausholen...

Leider konnte ich in den Settings nichts anderes finden. Da ist der MS Authenticator echt augenfreundlicher.

 

[snaxilian]

PGP-Keys vertraut man jemanden, zum Beispiel einer zentralen CA

Wo muss man denn bei PGP irgendeiner CA vertrauen? Wenn dann wird das über das dezentrale Web of Trust realisiert. Ansonsten ist erst einmal nur die Nachricht verschlüsselt, sobald über das WoT oder persönlich der fingerprint verifiziert ist, weiß ich auch, dass die Mail tatsächlich von dem Absender stammt.

 

[Wishbringer]

@snaxilian : wenn dann zitiere bitte komplett und nicht aus dem Kontext gerissen.

“Selbst bei SMime und PGP-Keys vertraut man jemanden,
...
zum Beispiel einer zentralen CA.“

Bei Smime braucht man ein durch eine CA erstelltes Zertifikat (daher das zum Beispiel im Text), bei PGP halt das Web of Trust, und wie der Name das schon sagt: Trust=Vertrauen.
Es war eine verallgemeinernde Aufzählung, die keinen Anspruch auf Vollständigkeit erhebt.

Und bei PGP braucht man nur genügend Zeit und Energie, um eine vermeintliche Sicherheit zur generieren:
100.000 oder 1 Mio. FakeMail-Adressen erstellen PGP-Keys und bescheinigen sich gegenseitig das Vertrauen und fluten damit die Keyserver.
Oder als Beispiel ein korrupter PGP-Zertifizierer bestätigt einen PGP-Key Deiner Adresse, den aber ein anderer erstellt hat Und dann noch die Methode darüber, dann gibt es zwei Keys für Deine Mailadresse: Deine Original mit zwei oder drei Bestätigungen, und eine andere mit Hunderten Bestätigungen, welcher vertraut man wohl mehr? Vor allem liegen beide auf ewig auf den Keyservern und können nur vom jeweiligen Ersteller revoked werden.

 

[snaxilian]

Korrekt da hast du natürlich Recht, bei S/MIME gibt es zentrale CAs und ja das WoT und die alten SKS Keyserver haben viele Schwachpunkte, die offen bekannt sind daher sollte man diese nicht mehr nutzen. Seit ca einem Jahr oder so gibt es daher ja auch eine Alternative wo man diese flooding Angriffe nicht mehr durchführen kann. Quelle

Es gibt ansonsten ja auch nicht das eine WoT sondern beliebig viele bzw. kann ich meine eigenen aufbauen/verwenden/nutzen. Wenn Alice, Bob und Carol PGP nutzen und Alice kennt und vertraut Bob und Bob kennt und vertraut Carol dann ist Bob in der Lage, die Fingerprints von Alice und Carol zu verifizieren. Somit können sich Alice und Carol ebenfalls "vertrauen" und davon ausgehen, dass die Fingerprints korrekt sind selbst wenn auf den (SKS) Keyserver 100.000 per Bot generierte Einträge von den Keys von Alice und Carol mit anderen Fingerprints sind.

 

[Wishbringer]

@snaxilian : ich glaube, wir weichen hier vom Grundthread zu weit ab.

Jemand wollte wissen, ob es Nachteile von Authy gibt. Darauf kam er die Antwort von jemanden, dass man mit Authy sich eine Sicherheitslücke schafft, mit der Unterstellung, dass die Betreiber von Authy die Clouddaten einsehen und nutzen könnten.
Mein Hinweis war nur, dass vieles auf Vertrauen basiert, und bei vielen Dingen nur eine Sicherheit impliziert wird, die faktisch aber ebenfalls aushebelbar ist.
Wir brauchen uns hier nicht über mögliche Einfalltore von PGP unterhalten, oder dass in letzter Zeit auch Rootzertifikate von CAs kompromittiert wurden.

Der Grundtenor bei Authy und auch MS Authenticator mit Verteilung über mehrere Geräte ist, dass 2FA immer noch besser ist als kein 2FA.
Und die Sicherheit des cloudconnects durch Verschlüsselung der Tokendaten gewährleistet wird.

Sollten diese wirklich ausgelesen und entschlüsselt werden:
Was nützen einem die Tokendaten und der Hinweis auf den Anbieter: also z.B. Dropbox und 123456 (zeitlich wechseln), wenn Benutzername und Passwort weiterhin unbekannt sind.
Dazu ist also noch mehr Datensammelei notwendig, oder unbedachtes Handeln des Nutzers:
immer gleicher Benutzername und immer gleiches Passwort, fehlendes Hashing und Salting der Betreiber etc.