OTP Application für Android

    Kann nicht viel zum Thema sagen, aber ich hatte auf die schnelle nach einer 2FA App gesucht und Aegis Authenticator wurde öfters empfohlen, daneben z.B. FreeOTP+.

    Beides Freie Software und Open Source Software.

    Habe dann Aegis gewählt, hauptsächlich wegen folgender Funktionen:

    • Passwort/Biometrie-Sicherung möglich (verschlüsselter Vault)
    • Import-/Export-Funktionen inkl. Klartext-Export

    Features von Aegis Authenticator:

    Nachteile von Aegis Authenticator sind bzw. könnten sein:

    • Kein Sync? (anscheinend möglich durch automatisches Backup von Aegis und Sync von z.B. Nextcloud App oder Syncthing)
    • Kein Cloud-Backup integriert, sondern nur Benutzung der in Android integrierten Google-Cloud-Backup-Funktion möglich (Aegis sichert verschlüsseltes Backup automatisch auf dem Android Gerät, Android selbst sichert diese Datei in der Google Cloud)
    • Kein Anzeigen der verbliebenen Gültigkeitsdauer in Sekunden, es gibt nur einen Balken am oberen Displayrand
    • Das nächste Einmalkennwort wird nicht vor Ablauf der Gültigkeitsdauer des aktuellen Einmalkennworts angezeigt (Also muss man gegebenenfalls kurz warten, wenn man nicht schnell genug tippen kann und das aktuelle Kennwort in Kürze abläuft, relativ unwahrscheinlich wenn man schnell tippen kann)

    Da 2FAS hier im Forum schonmal erwähnt wurde, habe ich mir das auch mal kurz angeschaut und das überzeugt mich nicht wirklich:

    • Die App ist nicht in F-Droid verfügbar ist und sie war anscheinend auch längere Zeit nicht "open source".
    • Behauptungen auf deren Webseite wie "The world's most secure, private and simple 2FA app." sind in meinen Augen ziemlich suspekt.
    • Man vergleiche die Privacy Policy von Aegis mit der von 2FAS: Aegis Privacy Policy vs. 2FAS Privacy Policy
    • Größe der installierten App auf meinem Smartphone im Vergleich: Aegis: ~15MB, 2FAS: ~36MB

    Browser-Extension und Sync könnten interessante Features von 2FAS sein, brauche ich persönlich aber nicht.

    Was ich an 2FAS gut finde:

    • Anzeige Gültigkeitsdauer in Sekunden,
    • Anzeige nächstes Einmalkennwort (next token Funktion)

    Ansonsten sind meine Erfahrungen mit Aegis Authenticator bis jetzt reibungslos.

    Völlig OS unabhängig:


    Ich habe meine OTPs in 1Password (auf dem EU Server). Dadurch können sie nicht verloren gehen, wenn das eine OTP Geräte kaputt / verloren geht, gestohlen wird oder sonst nicht mehr verwendbar ist.


    Hardwarefaktoren wie Yubikeys haben mit 25 Keys nur eine sehr begrenzte Speichermöglichkeit für Faktoren, wenn man trotzdem welche verwenden will, wäre es wohl empfehlenswert, nur EINEN Key auf einem solchen Hardwaregerät für die Verwendung mit einem unterstützten Passwortmanager zu verwenden, z.B. 1Password | Two-Factor Authentication | Yubico . Wenn man das so machen will, daran denken, dass man mindestens ZWEI Hardwarekeys kauft und einrichtet.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    3 Mal editiert, zuletzt von TBT ()

    Zitat von TBT

    Völlig OS unabhängig:


    Ich habe meine OTPs in 1Password (auf dem EU Server). Dadurch können sie nicht verloren gehen, wenn das eine OTP Geräte kaputt / verloren geht, gestohlen wird oder sonst nicht mehr verwendbar ist.


    Hardwarefaktoren wie Yubikeys haben mit 25 Keys nur eine sehr begrenzte Speichermöglichkeit für Faktoren, wenn man trotzdem welche verwenden will, wäre es wohl empfehlenswert, nur EINEN Key auf einem solchen Hardwaregerät für die Verwendung mit einem unterstützten Passwortmanager zu verwenden, z.B. 1Password | Two-Factor Authentication | Yubico . Wenn man das so machen will, daran denken, dass man mindestens ZWEI Hardwarekeys kauft und einrichtet.

    Bitwarden bietet da eine ähnliche Funktion (bzw. Die gleiche).

    Bitwarden sehe ich dabei grundsätzlich als die bessere Option, aufgrund seines Open Source Ansatzes (und dazu ist auch noch günstiger)

    Den Nachteil sehe ich vor allem darin, dass man den zweiten Faktor mit dem ersten speichert und so mehr oder weniger nur einen Faktor hat bzw. einen zentralen Angriff Punkt.

    Zu den maximal 25 Codes - stimmt ist nicht viel, aber OTP ist für die Keys ja nur als die letzte Option gedacht. Die meisten Anwendungen unterstützen Fido oder yubico OTP (z.B. nutze ich die OTP Funktion nur für Netcup und Nextcloud + ein paar Anwendungen die nur einen Fido Schlüssel erlauben)

    Nach kurzem Testen aller Android Apps, sind nur noch 2 geblieben:


    Aegis Authenticator - 2FA App

    FreeOTP+ (2FA Authenticator)


    die alles können was man sich als techn. Anwender wünscht.

    Nach dem Lesen von ArchLinux OTP hatte ich natürlich einige Wünsche an die App, z.B. Secret / Hash-Funktion im Klartext einsehen...

    Alle anderen haben irgendeine Einschränkung oder Account Zwang.


    Enttäuscht war ich von KeePassDX. Ist erstmal 1:1 genauso gut wie die Linux Variante KeePassXC - daher dachte ich: super!

    Dann aber die Erkenntnis: QR Code Scanner ist in der App nicht eingebaut, man soll laut Entwickler eine Dritt App verwenden...

    Wo gibt es denn sowas, dass man das base32 Secret abtippt, wo man das Smartphone mit Kamera in der Hand hält. Kopfschütteln.
    OTP Secret als QR Code weitergeben ist natürlich auch nicht drin.

    Zitat von tom434

    Bitwarden bietet da eine ähnliche Funktion (bzw. Die gleiche).

    Bitwarden sehe ich dabei grundsätzlich als die bessere Option, aufgrund seines Open Source Ansatzes (und dazu ist auch noch günstiger)

    Yep. Kann man natürlich auch nehmen.


    Zitat von tom434

    Den Nachteil sehe ich vor allem darin, dass man den zweiten Faktor mit dem ersten speichert und so mehr oder weniger nur einen Faktor hat bzw. einen zentralen Angriff Punkt.

    Ja, ist erst einmal unsicherer, allerdings ist man trotzdem gegen den häufigsten Fall: "Benutzername/eMailadresse und Passwort werden durch einen Hack geleakt" gesichert.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)