Wie funktioniert Google Authenticator?
Habe einen Account per 2 Faktor Authentisierung gesichert, per Google Authenticator. Wie funktioniert das? Kenne das sonst nur mit einem Code per SMS oder E-Mail. Bei dieser App musste ich mich vorher aber gar nicht anmelden, sondern nur den QR-Code scannen, den ich in meinem Account gesehen hab, den ich eben gesichert habe.
Wie genau funktioniert das und wie ist das jetzt geschützt? Und angenommen ich verliere mein Handy oder so, habe ich dann trotzdem noch Zugriff auf die App? Bzw. Zugriff auf mein Konto?
5 Antworten
Wenn du eine 2FA-App nutzt wirst du beim Login nach einem Code gefragt und dieser wird in der 2FA-App generiert. Es ist aber grundsätzlich so das die jeweilige App vom jeweiligen Dienst unterstützt werden muss, die Google 2FA ist aber meines Wissens recht weit verbreitet.
Möchtest du dich also jetzt in ein Konto einloggen welches durch eine 2FA-App geschützt ist wirst du nach der Eingabe deiner Account-Informationen nach dem Code aus der App gefragt. Du gibst dann den Code ein der in der App angezeigt wird und du erhältst Zugang.
Und angenommen ich verliere mein Handy oder so, habe ich dann trotzdem noch Zugriff auf die App? Bzw. Zugriff auf mein Konto?
Das ist eine wichtige Frage, heutzutage aber glücklicherweise nicht mehr so schwierig wie noch vor einiger Zeit.
Wenn man den Zugriff auf das Smartphone und damit auch auf die App verliert kann man sich auch anderweitig verifizieren weshalb es wichtig ist neben der 2FA auch bspw. persönliche Fragen zu hinterlegen auf die man nur selbst die Antwort kennt.
Wenn man nur den Zugriff auf die App verliert, etwa weil man das Smartphone wechselt und die App erst wieder neu verknüpfen muss, dann kann man bei einigen Diensten auch via SMS einen Code zur Verifizierung erhalten.
Bei dieser App musste ich mich vorher aber gar nicht anmelden, sondern nur den QR-Code scannen, den ich in meinem Account gesehen hab, den ich eben gesichert habe.
Die Daten dürfte sich die App direkt aus deinem Google-Account genommen haben welcher auch im Playstore hinterlegt ist und auf dem dein Smartphone registriert ist.
Die App läuft nicht permanent im Hintergrund, die ist nur aktiv, wenn du sie nutzt. Wenn du die App nicht benötigst kannst du diese wie alle anderen Apps auch vollständig schließen.
Der Code via SMS erfüllt aber letztlich den selben Zweck.
Es ist aber grundsätzlich so das die jeweilige App vom jeweiligen Dienst unterstützt werden muss, die Google 2FA ist aber meines Wissens recht weit verbreitet.
TOTP ist standardisiert und funktioniert unabhängig von der App.
Die Daten dürfte sich die App direkt aus deinem Google-Account genommen haben welcher auch im Playstore hinterlegt ist und auf dem dein Smartphone registriert ist.
Das Secret ist im QR-Code drin. Ganz normales TOTP-Prozedere. Lies mal nach wie das funktioniert.
Wie funktioniert das?
Im QR-Code, den du bei der Einrichtung gescannt hast, ist ein Secret enthalten. Dieses wird in der Authenticator App gespeichert. Über einen standardisierten Algorithmus wird aus diesem Secret und der aktuellen Uhrzeit ein sechsstelliger Code generiert. Du gibst diesen Code beim Login ein und der Server weiss den aktuell gültigen Code ebenfalls und kann so authentifizieren.
Du kannst mal die Zeit deines Handys umstellen und dann ein Login versuchen, es wird nicht funktionieren.
Im Prinzip ist es eigentlich ein simples aber sehr effektives Verfahren.
Im Übrigen funktioniert diese Methode auch ohne Internet.
Und angenommen ich verliere mein Handy oder so, habe ich dann trotzdem noch Zugriff auf die App? Bzw. Zugriff auf mein Konto?
Wenn du keine anderen 2FA-Methoden bei deinem Konto eingerichtet hast, nein. Deswegen ist es auch wichtig, die Backup-Codes während der Einrichtung auszudrucken oder an einem sicheren Ort zu speichern.
Es wird mit einem OTP (One Time Password = Einmalpasswort) gearbeitet.
Du musstest Dein Konto genau über ein solches OTP im Authenticator verifizieren. Daher verstehe ich nicht ganz, dass Du das nicht weißt.
Bei Anfrage des OTP des gesicherten Accounts öffnest Du den Bereich im Authenticator und ein OTP erscheint, welches sich alle paar Sekunden (glaube sind etwa 10-15 Sekunden) aktualisiert. In der Zeitspanne muss das OTP in dem Acc eingegeben und bestätigt werden. Läuft die Zeit aus, ist das vorige PW ungültig und Du brauchst das neu generierte OTP.
Verlierst Du das Smartphone, ist der Zugang zur gesicherten App erst einmal gesperrt und Du benötigst die Freigabe über die PW vergessen Funktion. Holst Du Dir ein neues Smartphone muss der Authenticator samt verknüpftem Acc übertragen werden.
Anstatt den Code per SMS oder E-Mail zu bekommen, hast du jetzt einen Code über die Google Authentificator App der sich alle 30 Sekunden ändert.
Meistens bekommt man beim registrieren des Accounts mehrere Einmalpasswörter die man sich irgendwo speichern sollte, denn ohne diese kommt man nicht mehr rein wenn man das Handy verliert.
Stimmt, gute Idee! Bisher (vor 2FA) war alternativ auch die Bestätigung per E-Mail, wo ich einen Code bestätigen musste, das sollte doch in so einem Fall dann auch möglich sein, oder? Es handelt sich um Twitch
Die Bestätigung per E-Mail ist auch eine 2FA, allerdings ist es per App sicherer weil nur du Zugriff auf dein Handy hast weil die Codes lokal auf deinem Handy generiert werden während eine E-Mail einfacher geknackt werden kann.
Ok alles klar. Eine Frage noch: Meine E-Mail ist mit meinem Twitch-Konto verknüpft bzw. die Mail ist verifiziert. Falls ich irgendwann mal den Zugang zum SMS-Code verlieren sollte (z.B. Handy verloren), kann man sich in so einem Fall dann auch mit einem Code per E-Mail verifizieren? Sollte eigentlich gehen oder
Du solltest bei Twitch mehrere Einmalpasswörter bekommen haben welche du speichern sollst. So kommst du auch bei Verlust des Handys in deinen Account um dann den Authentificator mit einem anderen Handy zu verbinden.
Ich kann die leider nicht finden und online steht dazu auch nichts, weißt du eventuell, wo man die einsehen kann?
Die bekommst du Einmal, direkt nachdem du den Authentificator per QR Code mit Twitch verbunden hast.
Heißt das, die Codes vom Google Authenticator sind nicht auf ein anderes Gerät übertragbar?
Es gibt für die App ein Backup, ich habe den QR-Code gesichert.
Du musst einen Schlüssel eingeben u dem jeweiligen Konto einen Namen geben. Danach werden Codes generiert
Und noch eine Frage: Ist die Verifizierung per SMS genauso sicher wie die Verifizierung per App? Denn ich würde lieber per SMS, damit die App nicht ständig im Hintergrund läuft.