Google Authenticator krijgt exportfunctie om codes naar ander apparaat te zetten

Google maakt het mogelijk om de totp-codes in zijn eigen Authenticator-app over te zetten naar een ander toestel. Tot nu toe waren gebruikers gebonden aan één toestel, maar nu kunnen de codes makkelijker worden verplaatst.

De nieuwe functie zit in versie 5.10 van Google Authenticator, ontdekte Android Police. Het is de eerste update van de app sinds 2017. Een vroege versie is te downloaden via APKmirror.

De belangrijkste verandering van de nieuwe Authenticator is dat de Time-based One Time Passwords of totp-codes nu over te zetten zijn naar andere apparaten. In de nieuwe import- en exportinstellingen in de app is te zien hoe gebruikers per account kunnen instellen dat ze hun codes willen overzetten. De app genereert vervolgens een qr-code die gebruikers met hun andere toestel kunnen scannen. Daarvoor moeten ze ook hun pincode of vingerafdruk opgeven.

Voorheen moesten gebruikers hun tweestapsverificatie per dienst opnieuw instellen, wat altijd veel moeite en tijd kostte. Het was wel mogelijk de tweestapsverificatiecode voor een Google-account zelf over te zetten. Alternatieve authenticatie-apps zoals Authy maakten het wel mogelijk accounts op meerdere apparaten te importeren. Daarbij werd de data echter wel in de cloud opgeslagen.

De exporteerfunctie is niet de enige wijziging. Het wordt voortaan ook onmogelijk screenshots te maken van Google Authenticator. Ook is het ontwerp veranderd. De app is nu voorzien van Material Design 2.0, heeft een true black dark mode, en schaalt beter mee met verschillende schermgroottes.

Door Tijs Hofmans

Nieuwscoördinator

07-05-2020 • 18:08

140

Submitter: robcoenen

Reacties (140)

140
138
53
7
0
78
Wijzig sortering
Zelf raad ik Aegis authenticator aan. Dit is een open source 2fa app met een focus op security. Het maakt het heel simple om dingen te importen en exporten, zowel encrypted als unencrypted exports.

[Reactie gewijzigd door Blacklight447 op 23 juli 2024 01:29]

Google is voor mij te laat, bij de vorige iPhone upgrade ben ik overgestapt naar de Microsoft Authenticator, die maakt backups naar de iCloud om het op die manier naar een volgende iphone te migreren.
Ik ben zeer te spreken over Authy, zelfs voor Google's eigen Gmail.
Microsoft's variant heb ik voor één account gebruikt.
Aegis lijkt mij de logische volgende stap, dus tijd om weer over te stappen!

[Reactie gewijzigd door rl3 op 23 juli 2024 01:29]

Het grote nadeel van Authy is dat je erg moeilijk van hun platform af komt, of om zelf een backup te bewaren.
Ik moest mijn Android telefoon rooten en Argos gebruiken om die tijdens uit Authy te krijgen.

Niet echt klantvriendelijk...
Ik gebruik ook Microsoft Authenticator op mijn iPhone, ook handig dat je kunt inloggen op outlook.com via de app zonder je wachtwoord te hoeven opgeven.
Om diezelfde reden ben ik ook op Android overgestapt op de MS authenticator. Die hebben de backupfunctie e.a. veel beter geregeld en als je zakelijk en privé iets met Outlook/Office365 doet dan is de Google Authenticator maar een beetje loos.

Het is ook mooi dat MS zelf die authenticator gebruikt, terwijl google z'n eigen authenticatie probeert te forceren naar de ingebouwde Android play services 2fa methode. Heel jammer, want het is wel zo handig om alles in één te migreren app te hangen.
Inderdaad, zo ook voor de 2FA voor Microsoft / Office 365.
Zonder cijfer-codes gewoon een approval vanaf het lockscreen van je smartphone. Ideaal!
vanaf het lockscreen
Niet bepaald veilig als je niet eerst je telefoon hoeft te unlocken (fingerprint, swipe pattern, whatever).
Dat ligt er maar net aan. Je kan er ook voor kiezen pas te bevestigen na ontgrendeling van de telefoon.

Persoonlijk vind ik het prima (en vooral gemakkelijk) om mijn account te beveiligen met 2 van de 3 authenticatiemethoden:
  • Something you know (wachtwoord en gebruikersnaam)
  • Something you have (telefoon, bevestigen vanuit lockscreen)
Dit houdt in ieder geval inlogpogingen van bots tegen of wellicht vreemde apparaten waarop ik per ongeluk 'wachtwoord onthouden' heb aangevinkt. Ik krijg hierdoor tevens een melding als er een keer een vreemde poging wordt gedaan, dan kan ik evt nog actie ondernemen.

Je kan er natuurlijk ook prima voor kiezen om de bevestiging pas na ontgrendeling van je telefoon te kunnen geven, om ook te voldoen aan nummer 3
  • Something you are (fingerprint / face unlock)
Dat vind ik zelf iets te veel van het goede (of eigenlijk teveel van het ongemakkelijke)
Dat vind ik zelf iets te veel van het goede (of eigenlijk teveel van het ongemakkelijke)
Valt juist heel erg mee imo. :D Ik gebruik zelf Duo Security waar mogelijk (doet ook push notifications). Screen unlocken met fingerprint en dan Approve aantikken, is in een paar seconden gebeurd.
F_J_K Forummoderator @mjl8 mei 2020 09:29
Test wel even of/wat de Microsoft Authenticator (of enige andere authenticator / TOTP tool) daadwerkelijk kan restoren! Ik heb laatst een nieuwe iPhone in gebruik genomen en de codes waren wel gebackupt, maar onbruikbaar tot alsnog een activatie. Wat dus niet gaat als je niet kunt inloggen.

Bij een migratie geen probleem, dan neem je de tijd en pak je je oude telefoon er bij. Bij op vakantie in het water laten vallen van je telefoon wel. Dus test!
Yes.. helaas hier ook een gevalletje.. je moet zelf even checken of de setting van de backup goed gaat. Ook automatisch back uppen nadat een nieuw account is toegevoegd, is niet vanzelf sprekend.. zit nu met een Synology nas die ik niet meer op kan omdat precies die code niet in de backup zat.. |:(

Ligt natuurlijk niet aan de app, maar toch goed om te weten. Ben verder zeer tevreden over de MS Authenticator

[Reactie gewijzigd door arthur-m op 23 juli 2024 01:29]

Klopt helemaal. Ikzelf gebruik het op Android, daar worden de settings backup opgeslagen in mijn Microsoft profiel.

Bij het opnieuw installeren, wat niet altijd gepland is, heb je toch alles weer terug, heerlijk.
Google is voor mij ook te laat.
Daarom gebruik ik Graphene OS. Dit is een security focused android distro die geen google bevat. Je krijgt keurig firmware en android updates, het heeft een hardened memory allocator, en support zelfs remote attestation! Samen met bitwarden als password manager, aegis voor 2fa, tutanota als email, signal voor messaging, en fdroid voor apps, heb je een hele bruikbare compleet googleloos device :).
En als iemand nou veel YouTube zou kijken, daar het een Google dienst is, hoe zou je dat doen? via de website dan?

Tenminste ik ben frequent viewer op YouTube...
NewPipe /of Invidious
Zoals @candela hieronder al zegt, newpipe werkt fantatisch, en kun je downloaden uit de F-droid store.
Anoniem: 718943 @kaghy28 mei 2020 13:00
Skytube, is ook wel een goede.
Thanks! Kende ik niet, maar dat ziet er top uit!

Eigenlijk net als Google Authenticator, maar dan niet van Google, en open source, en import+export, en encryptie d:)b d:)b

Ik ga hem een tijdje proberen maar op het eerste gezicht ziet dit er uit als mijn nieuwe favoriete 2FA app :)
Geen probleem hoor, door mijn werk bij PrivacyTools weet ik voor erg veel apps en services een open source alternatief. :)

[Reactie gewijzigd door Blacklight447 op 23 juli 2024 01:29]

oh, nice, ga ik ook eens proberen (hopelijk kunnen de keys geimporteerd worden van andOTP anders is het geen optie :p )
Aegis ondersteunt andotp databases, het ondersteunt:
Aegis (deuh)
Authy
Andotp
Freeotp
Freeotp+
Google authenticator
Steam
En last but not least, winauth databases.
Wat heerlijk, geen steam app meer nodig!
@Blacklight447 Vergeet er wel bij te vertellen dat je daarvoor root nodig hebt, dus voor veel gebruikers zal dat niet werken.
Heel eerlijk wist ik dat zelf niet, ik gebruik zelf namenlijk geen steam, zag het gewoon staan tussen de import opties :p.
En ik was niet eerlijk omdat ik de app nog niet had getest. :P

Ik zie nu dat je dit alleen nodig hebt als je van app naar app wilt importeren, maar je kunt ook een geëxporteerd bestand importeren (wat je doorgaans ook zou doen) en dan is er geen root nodig voor Steam. :)
Dan wordt het voor mij nog even wachten tot Google Authenticator geüpdatet gaat worden, kan ik dan gaan exporteren.

Ik ben bereid over te stappen naar Aegis, want zoekfunctie en groepeerfunctie (wat ik gauw gezien heb), nu scroll ik eindeloos tussen mijn accounts in Google Auth... Wat overigens tijd kost en vervelend is.
Ik gebruik(e) al een hele tijd alternatieven zoals FreeOTP (niet de plus versie) en andOTP, beide zijn zoveel beter dan GA niet alleen op basis van de exporteer functie. :)

Ben nu Aegis aan het proberen op aanraden van hier, het ziet er wel goed uit.
Wat zou je dan aanraden als authenticator op iOS? Ik gebruik nu Authy.
Ik heb veel goeds gehoord over Tofu: https://github.com/calleerlandsson/Tofu

(kan alleen geen garanties geven hier, ik heb geen IOS device dus heb het zelf niet kunnen testen.)
ik dacht eigenlijk dat Google Authenticator niet meer onderhouden werd maar goed, lang geleden naar andOTP overgestap, werkt erg goed en je kan ook importeren en exporteren (encrypted). Ook opensource en in F-droid.

[Reactie gewijzigd door teek2 op 23 juli 2024 01:29]

Andotp heeft wel wat tricky dingen gedaan in het verleden kwa encryptie. Dit is zelfs toegegeven door de developer (zal later vanavond even de reddit thread hierover linken). Dit is inmiddels geloof ik wel gefixt, maar zit zelf nu toch al op aegis. Uiteindelijk maakt het natuurlijk niet zoveel uit, des te meer hoge kwaliteit open source apps, des te beter, toch?


Edit: hier spreekt de dev over de crypto implementatie van AndOTP https://www.reddit.com/r/...ecure_two_factor/ej4g6ll/

[Reactie gewijzigd door Blacklight447 op 23 juli 2024 01:29]

Interesting! Maar zonder root kan ik zeker geen authy codes in 1 keer importeren?
Nope, ik zou gokken dat dit hetzelfde werkt als Aegis, om van app naar app te gaan zul je in de root (root toegang nodig) van de telefoon moeten kunnen komen (althans de app dan).
Ik gebruik zelf andOTP, die is ook opensource en kan ook exporteren/importeren.
Is pas begonnen of ? Want aan de hand van downloads en comments is her niet echt op dreef.
Het wordt voortaan ook onmogelijk screenshots te maken van Google Authenticator.
Dat is jammer.. Ik snap dat bij mij ING App dus ook niet.. als ik een keer een screenshot wil maken om iets door te sturen.. waarom mag ik dat niet? Ik begrijp oprecht niet waarom dat een security issue zou zijn? Als ik een betaling wil aantonen moet ik perse een PDF export maken in de ING App en dat dan versturen.
AuteurTijsZonderH Nieuwscoördinator @DonJunior7 mei 2020 18:22
Er was onlangs een Android-malware die screenshots van totp-apps maakte zoals Authenticator. Dat voorkomen is wel prettig I guess.
Maar is het dan geen optie om de screenshot door het programma zelf te laten maken, na een bevestigingsscherm?
Dien de wens in, zou ik zeggen. Vind het geen gek idee, toch?
Kan ook een implementatie/OS dingetje zijn. Als Android geen onderscheid maakt tussen zelf een screenshot maken en programmatisch een screenshot maken heb ik liever dat het helemaal niet kan.

Oftewel: als je zelf de toetsencombinatie gebruikt om een screenshot te maken dan zou dat wat mij betreft prima mogen bij bv bankieren. Maar ik wil niet dat een app buiten mijn weten om een screenshot kan maken.

In die zin zouden er dus twee verschillende screenshot restricties kunnen zijn. Mag helemaal niet (voor bv Netflix etc); en mag alleen handmatig door de gebruiker (zoals bij bankieren en andere privacy gevoelige dingen).


Overigens toont dit ook aan waarom OTP geen vorm van twee factor authentieke is. Je hoeft niet in het bezit te zijn van de telefoon noch in de buurt te zijn van het apparaat waarop je wilt inloggen. Het gaat nog steeds om de factor kennis, en die valt dus te ontfutselen. Zo zou een phisser best met jouw aan de telefoon kunnen hangen en met een babbeltruc een OTP code ontfutselen om vervolgens bij wijze van bij je bank in te loggen (in het hypothetische geval dat die deze OTP codes gebruiken). Er is immers geen enkele controle of jij als gebruiker die de code invult ook daadwerkelijk toegang hebt tot / in de buurt bent van de authenticator. Daarom dat bv een hardware token zoals de Yubikey veel beter is. Want de token generator/authenticator moet dan fysiek in de buurt van de PC zijn waarmee je wilt inloggen. En hetzelfde met die nieuwe oplossing van Google met Chrome en Android. Daarbij krijg je bij het inloggen vanaf een PC (met Chrome) een melding op je Android telefoon om te bevestigen. En onderwater wordt er meteen gecontroleerd of beide apparaten bij elkaar in de buurt zijn (zichtbaar via Bluetooth? Details weet ik niet). Ook daardoor kan een phisser niet vanaf de andere kant van de wereld een code ontfutselen of jou een actie laten authenticeren waarbij jij niet weet wat die actie is.
Je OTP is One-Time, en bij een TOTP zelfs Time-based, dus kennis kan je dat niet echt noemen. Het is niet iets wat je makkelijk kan onthouden of uit je hoofd kan uitrekenen. Daarnaast is het opgeslagen op een andere plek dan je wachtwoorden, dus het is zeker een losse factor.
Social engineering kan je niks tegen doen, met een babbeltruc kan je net zo goed je "echte" second factor loskrijgen door iemand te vragen om ter bevestiging zijn bankpas in zijn bank-apparaat te doen, pincode in te voeren en de resulterende code te noemen.
Social engineering kan je niks tegen doen, met een babbeltruc kan je net zo goed je "echte" second factor loskrijgen door iemand te vragen om ter bevestiging zijn bankpas in zijn bank-apparaat te doen, pincode in te voeren en de resulterende code te noemen.
Slechte bank dan. Bij Rabobank moet je een QR code scannen (+ bankpas + pincode).
Bij Knab via de app hetzelfde: QR code op PC scannen met de app (die je eerder hebt gekoppeld middels de reader) en bevestigen met de pincode van de app.
Daarbij is er dus weldegelijk verificatie dat de authenticator en de PC waarop de actie wordt uitgevoerd bij elkaar in de buurt zijn en het geen scammer + babbeltruc is.

Hetzelfde voor hardware tokens zoals de Yubikey. Key moet via USB worden aangesloten op de PC waarop je de actie wilt uitvoeren (of in geval van telefoon kan het ook via NFC). Zelfde voor die oplossing van Google, PC en telefoon moeten bij elkaar in de buurt zijn. In andere woorden: social engineering werkt alleen als de aanvaller naast je staat.

Dat het bij OTP om kennis gaat die "vluchtig" is doet niks af aan het feit dat het nog steeds gaat om kennis.
Als ik op website X inlog via TOTP dan kan een scammer mij nog steeds opbellen met "ik ben van X en we zien verdachte accountactiveit. Maar eerst willen we controleren dat jij het echt bent dus kun je OTP code afgeven?". In het geval van een Yubikey of andere implementatie op basis van Webauthn / FIDO2 is dit absoluut onmogelijk. Ten eerste is er geen code die je kunt zien noch over telefoon kunt communiceren, maar daarnaast is het ook onmogelijk om een phissing website te maken en via die weg de token te ontfutselen. Want 1. de phissing site zal waarschijnlijk niet op het domein staan dat gebruikt is bij het registreren van de hardware token bij die website (de public/private key zoals gecommuniceerd met "microsoft.com" zal die nooit gebruiken op "google.com"), en 2. De website initieert de authenticatie met een nonce / willekeurige data, die wordt ondertekend door de hardware token. Dus replay is onmogelijk want elke inlogpoging geeft een andere nonce.

Zie ook dit verhaal: https://krebsonsecurity.c...ang-up-look-up-call-back/ waarbij een security minded ITer zich alsnog laat verleiden een authenticatie code af te staan aan een scammer. Bij een Webauthn / FIDO2 gebaseerd systeem, of zoals Rabobank en Knab gebruiken, kan dit specifieke scenario nooit optreden.
Je zet een niet-hardwaretoken weg als een non-oplossing die de naam "tweede factor" niet waardig is, terwijl dat volgens de definitie wel zo is. Dat een hardwaretoken beter kan zijn snap ik. Dat je die niet zou kunnen omzeilen met wat gebabbel en dat je bewijs zou hebben dat alle factoren op dezelfde plek zijn hangt helemaal van de implementatie af. Als ik contact heb met iemand kan ik die ook prima de kleurencode van de Rabo doorsturen en zeggen dat je "gewoon op ja moet drukken", dat is ook het concept waarmee phishing-websites werken gok ik. Voor veel mensen is techniek nog steeds een achtbaan waarin ze meegenomen worden, en als je met een babbeltruc al zo ver bent dat iemand op red flags van zijn 2FA-device/-app moet gaan letten om te zien dat het foute boel is, is de kans al enorm groot dat die helemaal niet opgemerkt worden al werden ze in het gezicht geslagen. De kans dat zo'n persoon ooit vrijwillig met een hardware-token aan de gang gaat is minimaal.

Doet er niets aan af dat een software-oplossing net zo goed een tweede factor is die je beschermt tegen het "buiten jouw schuld" om uitlekken van je username/pw, en een OTP is niet herbruikbaar dus is er alsnog een actieve handeling van de gebruiker nodig om een derde toegang te geven tot zijn account.
Ik denk dat dit is zodat je geen screenshot kunt maken van de QR code die weergegeven wordt om over te zetten naar een ander toestel. Het zou immers een behoorlijk security issue als een gebruiker dit doet voor bijvoorbeeld backup doeleinden.
Jij gebruikt Android? Want op iOS kan ik prima een screenshot maken van de ING app.
Qr code is maar 10 sec geldig.
Volgens mij reageer je op de verkeerde :)
Met een snapshot maak je het de malware makers wel heel makkelijk om een goed gelijkende nepsite te maken.... En hoevaak moet je nu aantonen dat je een betaling hebt gedaan. Voor die enkele keer is het toch geen probleem om een PDFje te maken.
Er moet inderdaad wel een betere manier zijn dan simpelweg blokkeren. Misschien een extra bevestiging met een pincode of vingerafdruk.
Zelf gebruik ik al jaren authy (https://play.google.com/s...etails?id=com.authy.authy), zowel voor mijn microsoft als mijn google accounts en zowel op mijn zakelijke toestel als op mijn privé toestel.

Gaat google de zelfde opties bieden? wordt het meer? Of gaat authy straks niet meer werken? Zie ook https://authy.com/.

[Reactie gewijzigd door beerse op 23 juli 2024 01:29]

Heel veel mensen die ik ken zijn overgestapt naar authy. Ik had er echt stress van, telefoon weg, codes weg.

Overigens gebruik ik nu bitwarden en die kan het ook.
Ik had er echt stress van, telefoon weg, codes weg.
Ik heb die stress niet, ondanks dat ik Google Authenticator gebruik. Iedere keer dat ik een 2FA secret toevoeg op m'n telefoon, print ik eerst de QR code uit en bewaar die bij mijn andere belangrijke documenten. Wanneer ik dan een nieuwe telefoon heb, dan pak ik die papieren erbij en scan ik de QR codes opnieuw in. Kost een paar minuten, maar je bent dan niet afhankelijk van cloud-oplossingen met onbekende beveiliging om je 2FA secrets op te slaan. En hoe vaak vervang je nu je telefoon?
Zo doe ik het ook inderdaad, daarnaast gebruik ik een yubikey voor totp, daardoor kan zijn codes ook eenvoudig op diverse apparaten uit te lezen.
Als je telefoon is een keer defect gaat als je aan de andere kant van de wereld zit ben je anders wel blij dat je gewoon Authy terug kan activeren in plaats van dat de codes thuis ergens in je kluis liggen :)
Ik heb al mijn QR codes opgeslagen in mijn keepass DB. Was een keer heel veel werk maar blij dat ik het gedaan heb.
Dus in plaats van een cloud based service te gebruiken voor je Authenticator gebruik je waarschijnlijk een cloud based storage oplossing om die documenten beschikbaar te hebben?

Of bewaar je dat op een losse USB stick die ge-encrypt is en verder nooit in de computer zit? En hoe bewaar je dan het wachtwoord voor de encryptie?

Klinkt mij als een beetje hypocriet en/of moeilijk doen
print ik eerst de QR code uit
Dus, nee, niet in de cloud, als ik z'n reactie lees
Je kunt prima de recovery code in keepass opslaan bijv. Zolang je de toegang tot de database maar goed beveiligd (minimaal 2FA) en een unieke passprase voor de databse zelf van minimaal 16 tekens gebruikt.
Dus in plaats van een cloud based service te gebruiken voor je Authenticator gebruik je waarschijnlijk een cloud based storage oplossing om die documenten beschikbaar te hebben?

Of bewaar je dat op een losse USB stick die ge-encrypt is en verder nooit in de computer zit? En hoe bewaar je dan het wachtwoord voor de encryptie?

Klinkt mij als een beetje hypocriet en/of moeilijk doen
Ik gebruik een lade van eeen kast om de fysieke papieren te bewaren.
De mogelijkheden tot het buit maken van die QR codes is anders wel echt verschrikkelijk klein.
Of acht jij de kans dat iemand fysiek bij @Rannasha inbreekt en daar geprinte QR codes buit maakt om zo zijn 2FA te omzeilen reeel?

Prima oplossing zoiets dus. Ik zou dat niet zomaar vergelijken met het opschrijven van wachtwoorden. Je hebt namelijk naast deze 2FA QR code OOK een wachtwoord nodig om daar iets mee te kunnen.
Jazeker, maar ik maakte m'n opmerking eerder omdat je evenveel veiligheid verliest met het afdrukken van een QR code als het opschrijven van je wachtwoord, of misschien zelfs meer. Eenmaal je de QR code hebt, kan je met evenveel moeite als non-2fa een wachtwoord zoeken. Wetende dat je belangrijke accounts achter 2fa staan ga je mogelijk lakser om met openstaande laptops aangezien kritische accounts toch extra beveiligd zijn.

Ga er even van uit dat je partner waarmee je steeds ruzie hebt vanwege de quarantaine je wilt verlaten. Jij bent computerleek, dus je wachtwoorden staan opgeslagen in de chrome key store. Je gaat ff naar het toilet voor een grote boodschap en je laptop staat nog opengeklapt zodat je baas niet denkt dat je 'offline'/aan het slapen bent tijdens je thuiswerk uren.

Inderdaad, vergezocht, maar op x miljard computergebruikers tijdens corona misschien niet ongebruikelijk.

Je smartphone ga je eerder achter fingerprint zetten of gewoon meenemen.

[Reactie gewijzigd door FlaffTweakr op 23 juli 2024 01:29]

Had je nu stress van Authy of van Google Authenticator ? Want Authy gaat perfect op meerdere devices. Dat was overigens bij mij reden nummer 1 om onmiddellijk een alternatief te zoeken voor Google Authenticator, en dat alternatief vond ik in Authy. Heb nu Authy op zowel mijn telefoon als mijn iPad, en die syncen netjes als ik een nieuw account toevoeg.
Ik gebruik zelf Authy en Bitwarden samen. Mijn tweede factor in mijn password manager stoppen voelt een beetje alsof het het hele punt van tweefactorauthenticatie nutteloos maakt. Ik vind het wel handig, maar je beveiliging bij een gelekt Bitwarden-wachtwoord is je 2FA nutteloos.
Klopt, ik gebruik ze ook alletwee. Overigens kun je Authy ook op je desktop installeren en draaien (net als Bitwarden).
Ik gebruik ook Authy en Bitwarden, maar om jou probleem te overkomen, heb ik nog een Yubikey toegevoegd aan Bitwarden. Op die manier kun je dus prima je 2FA spul in Bitwarden zetten. Maar dat moet je inderdaad niet doen als je Bitwarden alleen met een wachtwoord gebruikt.
Het enige wat mij dus tegenhoudt is de ironie van zo'n "oplossing". Je wil dus veiligheid creëren door je TOTP codes in de cloud op te slaan... Dat vind ik totaal niet veilig. Als de boel een keer gehackt wordt weten ze zo welke TOTP code (op dat moment) hoort bij welk account.
Als de boel een keer gehackt wordt weten ze zo welke TOTP code (op dat moment) hoort bij welk account.
Als je die codes ("TOTP secret") opslaat als plain-text wel ja. Maar een béétje implementatie zal die secrets (fatsoenlijk) encrypted opslaan. Succes met je 'hacken'.
Dat hoop je dan maar hè. Prima als je zo naïef wil zijn natuurlijk, maar we hebben al vaak genoeg gezien dat we dachten "oh dat zal wel encrypted zijn" en dat achteraf helemaal niet zo bleek te zijn.
Je kunt natuurlijk gewoon kijken wat 't doet; de encryptie vindt al client-side plaats ;) Zou niet goed zijn als dat server-side zou gebeuren :D Daarbij doen ze bij LastPass (die gebruik ik toevallig) aan audits en pen-tests; dat maakt 't niet per definitie veilig maar er wordt dus meer aan gedaan dan niks :P

Neemt niet weg dat LP (maar de concurrentie net zo) wel eens 't nieuws heeft gehaald met een "lek" of iets dat niet helemaal op-en-top was. Het is naïef om te denken dat er geen problemen zitten in software - eender welke. Zolang ze de vault goed op orde hebben (en daar ben ik van overtuigd) is de rest bijzaak. In principe kun je niks met mijn vault, al zou je 'm hebben. Ik heb de pbkdf2 rounds flink omhoog gezet, een fatsoenlijk master password en daar is vrij weinig mee aan te vangen als je al mijn vault zou hebben. Tuurlijk kunnen daar ook fouten in zitten, maar het is nog alitjd beter dan een schrift / post-it gebruiken :P (jajaja, 'maar die is niet online peeeeuw!').

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Je hebt dan alsnog een account bij Authy. Lijkt mij geen fijn idee, want heb je daar wel 2FA?
Hoe kom je daar bij? Wat heeft Authy van doen met LastPass? En ja, LP heeft (ook) 2FA ja, ook andere manieren dan (H/T)OTP. En ook support voor Yubikey en whatnot. Overigens: het zal me verder worst wezen wat jij of wie dan ook gebruikt - all I'm saying is dat ik een LP(A) gebruiker ben en LP(A) me (op wat kleine dingetjes na) nog altijd prima bevalt.

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Bij Authy heb je geen "account", je hebt een backup password (waarmee je gegevens clientside worden versleuteld voordat ze de cloud in gaan).

Het toevoegen van een apparaat kan alleen via een push of sms-bericht, of middels voice. Bij een push moet je ook nog iets intypen, dus het is niet click, go.

Tot slot, als iemand zich toegang weet te verschaffen tot jouw (unencrypted) authy gegevens, heeft hij nog altijd maar 1 deel van de 2FA die je nodig hebt om ergens in te loggen.

Als je er in geinteresseerd bent: https://authy.com/blog/ho...-two-factor-backups-work/
En dan? Dan weten ze nog steeds niet je wachtwoord die je niet daar hebt opgeslagen. Op het moment dat je ook nog een sterk wachtwoord hanteert hebben ze helemaal niks aan deze codes. En op het moment dat authy is gehacked kan je natuurlijk een andere app kiezen.
RobIII Moderator GoT @beerse7 mei 2020 18:18
Authy, Google Authenticator, Microsoft Authenticator, Lastpass Authenticator en alle andere apps werken gewoon met Google/Microsoft/Whatever accounts. Ze zijn gewoon allemaal een implementatie van TOTP/HOTP. Altijd al zo geweest. Er is dus ook geen sprake van nu/toen/dan/ooit wel/niet meer werken of meer/minder opties tenzij ze van TOTP/HOTP af stappen uiteraard.

Ik heb zelf op moment van spreken 84 keys in LPA staan :X Enige wat ik daar mis is een zoekoptie / compactere weergave. Want je scrolled / zoekt je soms het schompes...

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Waarom zou je in Authenticator zoeken, je gebruikt alleen met inloggen ?.
Op mijn iPhone als ik inlog op een website Voorbeeld Outlook gaat me iPhone notificatie en watch piepen, kan 1 van 2 notificatie Klikken inloggen de juiste inlog opent voorbeeld Outlook en klaar verifiëren met watch of telefoon voor me gezicht houden en klaar.
Klopt maar bij een heleboel andere sites werkt dat niet ;) En dan moet je dus door een lijst met 84 van die codes scrollen om te vinden wat je zoekt ;)
Ik ben er al sinds 2018 om aan 't bedelen maar tot op heden geen gehoor (en toen was de lijst nog "maar" in de 30 of 40 codes ofzo lang).
Maar op de plekken waar 't wél werkt (zeker op m'n watch inderdaad) is 't wel super d:)b

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Voor mij geen Authy of andere apps van onduidelijke kleine partijen. Eigenaar van Authy is Twillio. Nooit van gehoord en geen idee wat zij met jouw data doen. Behalve de melding dat Authy jouw data in de cloud in de US opslaat.

Waar verdienen zij hun geld mee, gratis bestaat niet. Liever Google als grote partij die onder het vergrootglas ligt van alles en iedereen.

[Reactie gewijzigd door CR2032 op 23 juli 2024 01:29]

RobIII Moderator GoT @CR20327 mei 2020 22:06
Eigenaar van Authy is Twillio. Nooit van gehoord en geen idee wat zij met jouw data doen.
Geen idee onder welke steen jij leeft maar Twilio is een bekend, beursgenoteerd, bedrijf met een omzet van meer dan een miljard, een beurswaarde van 17 miljard, 2500 medewerkers en al 12 jaar oud :X Het is dan wel geen kaliber Google, maar een "onduidelijke kleine partij" is 't zeker niet.

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Wat ik zeg; klein en vaag. Zoek eens naar de privacy statements van Authy en Twillio.
Erg onduidelijke allemaal. Geen idee wat zij met jouw data doen. Waar verdienen zij hun geld mee?

Idd geen vergelijking met een tech gigant zoals Google. Die zijn zeker niet heilig, verre van dat. Maar staan zo in de spotlights dat het stukken vertrouwder allemaal is.
RobIII Moderator GoT @CR20327 mei 2020 22:25
Wat is zeg, klein en vaag
Wat versta jij onder klein? Wat ik zeg: ja, vergeleken bij een Google "klein" maar er is niks kleins aan Twilio. En ik weet niet wat jij vaag vindt aan:
Authy does not sell your personal information, share it with third parties for their own marketing purposes, nor do we allow third parties to use it for their own marketing purposes, unless you ask us to do this.
Voor de rest is dat document vooral een hoop 'legalese' en niet heel anders dan een willekeurig ander privacy policy.

Maar doe lekker wat je wil, ikzelf gebruik ook geen Authy (ben tevreden met LPA). Ik vond je statements gewoon kant noch wal raken (en nog steeds niet).

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Dan zijn we het eens. Want jouw statements zijn wel erg goedgelovig en ook voorbarig met conclusies. Deze partij wil veel te veel van je verzamelen.

quote uit dezelfde link:
- From time to time, if there are other situations where we need to verify that you are the rightful account holder of your Authy account, our support team may require you to provide identity information like a drivers’ license, national ID or passport.
- We also share your information with our third party service providers as necessary for them to provide their services to us.
- We may also have to share your information with third parties if required to do so by law.
RobIII Moderator GoT @CR20328 mei 2020 22:46
- From time to time, if there are other situations where we need to verify that you are the rightful account holder of your Authy account, our support team may require you to provide identity information like a drivers’ license, national ID or passport.
8)7 Gek he dat ze om een vorm van legitimatie vragen als je niet meer in je account kunt. Daarmee is niet gezegd dat ze 't bewaren en al helemaal niet dat ze 't delen met derde partijen. En het is óf dat, óf bye-bye, zwaai-zwaai :w met je account als je jezelf buiten sluit. Dat is bij andere partijen écht niet anders hoor.
- We also share your information with our third party service providers as necessary for them to provide their services to us.
Dat kan vanalles betekenen; "als we je een boeket bloemen willen opsturen omdat je onze beste klant bent moeten we je adres aan de pakketdienst geven".
Als je dat document gelezen had ipv alleen de summart had je ook gezien:
We may share your personal information with third-party service providers or consultants who need access to the personal information to perform their work on our behalf, like sharing personal information with our storage provider for the purposes of storing your personal information on our behalf. These third-party service providers are limited to only accessing or using this personal information to provide services to us and must provide reasonable assurances that they will appropriately safeguard the personal information.
En ja, IANAL en daar zullen vast wel wat 'gaten' in zitten, maar ik denk dat dit zo'n beetje in elke privacy policy zal staan. Ik weet niet hoe 'waterdicht' deze is dus die wil ik je dan nog (deels) gunnen. Maar ik denk dat je wat achterdochtiger (en minder realistisch ;) ) bent dan ik :>
- We may also have to share your information with third parties if required to do so by law.
Met de klemtoon op 'if required by law'. Dat zal ieder legaal bedrijf doen. Dat is nou net de crux achter "required by law" :F

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Voor een authenticator appje voor 2FA hebben ze al deze informatie toch echt niet persé van je nodig.

Het geeft alleen maar aan dat jij als gebruiker het product bent.
RobIII Moderator GoT @CR20329 mei 2020 18:54
Die informatie vragen ze toch helemaal niet van je tenzij je jezelf buitensluit van je account? En dan nog: wat let je om fake informatie in te vullen?

[Reactie gewijzigd door RobIII op 23 juli 2024 01:29]

Heeft ook maar een paar jaar geduurd. Lijkt mij dat iedereen die ook maar één dienst op Google Authenticator had, inmiddels wel naar Authy is overgestapt.
Dus alleen omdat Authy die optie biedt, waar je helemaal geen gebruik van hoeft te maken, wil je geen Authy gebruiken?
Authy slaat sowieso je zooi in de cloud op volgens mij
Dat is niet per definitie slecht.
Het werkt wel erg goed en vooral als je vanaf meerdere apparaten gebruik wil maken van deze functies en/of backup's wil hebben.
Dat Google zeer beperkt was heeft Authy veel gebruikers opgeleverd, en dat is m.i. ook terecht.
Waarom zou ik Authy gebruiken voor alleen lokaal (volgens mij kan het niet eens zonder account) als Google Authenticator hetzelfde doet? Meer features heb ik niet nodig. Helemaal niet als het allemaal op de servers van Authy wordt opgeslagen.
Volgens mij is de Google Authenticator app nog steeds de defacto standaard aangeraden app?
Ja, je kunt elke "authenticator" app gebruiken, zolang die TOTP ondersteund, maar volgens mij zijn er vele websites die verwijzen naar de Google Authenticator. Dus de ITer weet wel dat er alternatieven zijn, maar de gewone gebruiker ziet een "aanbeveling" voor de Google Authenticator app staan en installeert die, niet wetende van de alternatieven. Waarbij ik Authy persoonlijk ook weer niet kon. Maar volgens mij is DUO ook wel een bekende. En zelf heb ik een Yubikey, waarbij roaming überhaupt geen probleem is bij mijn weten, omdat de OTP secrets om de code te genereren op de Yubikey zelf staan.
Nee, gewoon Enpass, dan sync je het op je eigen manier, bijv via je eigen server.
Zal niet te veel lekken over m’n opsec. Maar misschien handige tip: je kunt de QR ook uitprinten & fysiek veilig ergens bewaren. Dan kun je op een ander toestel (later) die QR’s gewoon opnieuw scannen. Zonder dat je je zorgen hoeft te maken over veilige overdracht van bestanden (van zo’n export).
Authy doet clientside encryptie, dus die "veilige overdracht" waaraan je twijfelt begrijp ik even niet helemaal. In plaats van "te lekken over je opsec" (wtf is dat uberhaupt), is dit misschien interessanter om te lezen:
We ask you to enter a password. Passwords must be 6 characters long, although we recommend that you aim for at least 8 characters.
Your password is then salted and run through a key derivation function called PBKDF2, which stands for Password-Based Key Derivation Function 2. PBKDF2 is a key stretching algorithm used to hash passwords in such a way that brute-force attacks are less effective. The details of how this is done are quite important:
We use a secure hash algorithm that is is one of the strongest hash functions available. It’s a one-way function – it cannot be decrypted back and is one of the strongest hash functions available.
We use 1000 rounds. This number will increase as the low range Android phone’s processor power increases.
We salt the password before starting the 1000 rounds.
The salt is generated using a secure random value.
Using the derived key, each authenticator key is encrypted with Advanced Encryption Standard AES-256, in Cipher Block Chaining (CBC) mode along with a different initialization vector (IV) for each account. To make each message unique, an IV must be used in the first block.
If any Authenticator keys are 128 bits or less, we pad them using PKCS#5.
Only the encrypted result, salt, and IV are sent to Authy. The encryption/decryption key is never transmitted.
https://authy.com/blog/ho...-two-factor-backups-work/

Verder, het is 2FA, het zijn geen wachtwoorden die bruikbaar zijn zonder 2FA. Lekt het, dan heeft iemand potentieel de helft en nog steeds geen toegang.

Overigens kan je best wat vinden van authy/Twilio, omdat ik niet geloof dat het open source is, iets dat bij voorkeur wenselijk is, zeker bij security producten in mijn ogen.

Het sperzieboon gehalte in de reacties is wel errug hoog in dit draadje. Er is zoveel interessants te lezen en te vinden, als je maar even de moeite neemt met duckduckgo. Zoveel te leren...
Zelf bewaar ik ook altijd ergens de magiccode zodat ik later op een ander device of app dezelfde codes kan laten genereren.
RobIII Moderator GoT @rgom7 mei 2020 19:10
Waarom überhaupt de QR bewaren; Je kunt ook gewoon de QR scannen met een willekeurige app (moet je die wel vertrouwen of je telefoon moet 't native kunnen) en de shared secret gewoon opschrijven / ergens in een bestand zetten / printen. Zo'n secret is 32 tekens lang (bijv. "HXDMVJECJJWSRB3HWIZR4IFUGFTMXBOZ") en niks spannends. En dan kun je 't gewoon in je Lotus 123 opslaan :P
En dan zo'n niet-logische 32-cijferige tekenreeks voor een x aantal accounts invoeren op het keyboard van een smartphone? Nah, doe mij die QR-codes maar.
Je mist mijn punt / het grapje ;) Geeft niet :>
Welkome verbetering!
Bizar dat Google dit nu pas implementeert (en dat dat dus nieuws is).

Een simpele open source TOTP app als FreeOTP+ heeft deze functie al jaren. Makkelijk te downloaden via de open source appstore F-Droid.
Het is natuurlijk vandaag in het nieuws omdat het vandaag World Password Day is.

[Reactie gewijzigd door sambalbaj op 23 juli 2024 01:29]

Net te laat, net al een nieuwe telefoon ingesteld en alles opnieuw aangevraagd en overgezet
Ik heb vanwege het ontbreken van een export/backup functie ook gekozen voor een andere app. Weet niet of ik nu nog terugga.
Dan moet je nog wel toegang hebben tot het oude toestel. Is het oude toestel defect of wil je je telefoon een factory reset geven, dan kun je alsnog overnieuw beginnen. Dan is een encrypted backup can, bijvoorbeeld authy, toch wel een stuk handiger
AuteurTijsZonderH Nieuwscoördinator @doctormetal7 mei 2020 20:58
Daarom heb je backup-codes. Die moet je wel ergens opslaan ja.
Leuk als het om een paar sites gaat, maar met grotere aantallen is dat een behoorlijk tijdrovende klus. In Authy heb ik nu 28 entries. Die wil je toch niet allemaal met de hand over hoeven zetten?

Op dit item kan niet meer gereageerd worden.