Authenticator-App: 2FAS ist nun Open Source
Die Apps des 2FA-Authentifizierungsprogramms 2FAS sind nun in vollem Umfang Open Source. Das Tool war bisher bereits recht transparent, was die Funktonweise angeht, aber den Quellcode der Apps offenzulegen ist bei sicherheitsrelevanter Software sicherlich nochmal besser.
Ich weise darauf hin, weil ich das Projekt seit geraumer Zeit beobachte und auch selbst zufrieden nutze. Kurz: 2FAS ist jetzt in allen Bestandteilen (iOS/Android-App, Browsererweiterung, API) des Projekts „open source“.
Unverändert gilt, das Tool ist kostenfrei, optisch ansprechend, bietet Backups über die Cloud oder lokal als Export und kommt mit zahlreichen Komfortfeatures daher. Auch eine Chrome-Erweiterung gibt es. Für die Nutzung wird kein Account benötigt und selbstverständlich arbeitet die App vollständig offline.
Wer mit den „etablierten“ Lösungen wenig anfangen kann, wirft mal einen Blick auf 2FAS. Mir ging es jedenfalls so. Mal fand ich die Backup-Möglichkeiten schwach (Google), mal Optik und Aufbau mies (Microsoft) und mal mangelte es mir etwas an Vertrauen (Authy). Wie schon einmal erwähnt: Das sind natürlich alles rein subjektive Einschätzungen.
Warum fehlt dir bei Authy das Vertrauen?
Ich kann das Unternehmen dahinter nicht einschätzen und die App ist closed source.
Schau auch mal hier: https://2fas.com/vs/authy/
Bin von MS zu 2FAS gewechselt und bisher zufrieden. Danke René!
Na gerne doch. Wichtig ist nur, dass du mich in Ruhe lässt, wenn du mal Probleme damit hast 😆
😅😄
Ich wollte schon etwas länger von Authy weg, aber die App von Google hat eben keine Backup Möglichkeit. Darum habe ich jetzt die Stunde investiert und bin zu 2FAS. Bisher sehr zufrieden. Schön wären eigene Icons, aber das kann ich verschmerzen. Das Problem mit den Icons ist, dass bei jedem Firmen-Account das Microsoft Icon ist, aber man kann ja auch einen farbigen Buchstaben wählen. Die Gruppierung von Accounts finde ich super.
Was in der Praxis ganz nützlich ist: über die Einstellungen kannst du aktivieren, dass immer schon der nächste Token angezeigt wird.
Oh, weshlab möchtest du von Authy weg? Bin damit aktuell extrem zufrieden..
Bei uns in der Firma wollen sie den Authenticator von Microsoft pushen.
Diese Datenkrake lass ich aber auf meinem Smartphone nicht zu. Dir erforderlichen (Android) Permissions sind total unnötig.
Habe deshalb ebenfalls eine Open Source Alternative installiert, AEGIS Authenticator.
Hat nur die allernötigsten Permissions.
Siehst du einen Vorteil in einer separaten App gegenüber einer im Passwortmanager integrieren? Nutze die Integration in 1Password und bin damit eigentlich zufrieden. Frage mich nur, ob ich irgendwelche Vorteile verpasse 🙃
Ist halt einfach sicherer. Wenn man hypothetisch iwie in deinen Passwortmanager kommt, hat man gleich beide Schlüssel. Hast du den 2. Faktor in einer separaten App, ist das nicht so gravierend, da du dann immer noch geschützt bist.
Genau, wäre das Szenario das ich auch verstanden habe wo es einen Vorteil bringen würde die 2FA Codes separiert zu haben. Vertraue aktuell 1Password alles im Griff zu haben, weshalb ich den Vorteil alles aus einer Hand zu haben für mich höher gewichte. Kann sich aber durchaus ändern in der Zukunft, wenn es mal zu einem Incident kommt.
1Password an sich vertrauen zu können macht aber nur 50% der Sicherheit aus, denn dein Account kann auch auf anderen Wegen gehackt werden (zB Phishing).
Ich nutze 1Password nicht, daher erstmal die Frage: Wie genau ist es ein echter zweiter Faktor, wenn beides aus einer App kommt?
2 Faktor heißt für mich, das es neben dem Passwort eine zweite Ebene gibt. Falls jemand an mein Passwort kommt, reicht das alleine nicht um Zugriff auf den Account zu haben.
Getrennte App macht in meinen Augen aus diesem Grund nur Sinn, wenn ich Angst davor haben würde das jemand meinen 1PW-Account hacken würde.
Finde die Integration in 1PW sehr angenehm. Nach dem Login über 1PW wird der 2FA Code automatisch eingefügt. Kein lästiges Öffnen einer anderen App und manuelles Kopieren notwendig.
Na, dann hast du doch die Frage selbst beantwortet. Dir ist Komfort etwas wichtiger als Sicherheit. Ist natürlich nicht unmöglich, in einem Passwortmanager einzudringen, vor allem auf Geräteebene. Ich habe es daher gerne getrennt. Ganz vergleichbar ist das aber sowieso nicht. 1Password kostet zum Beispiel Geld und ist kein Open Source.
Wollte nur auf Nummer sicher gehen, das ich nichts übersehen habe. Dann gibt es für mich momentan keinen Grund etwas zu ändern. Habe mir die App aber mal abgespeichert 👍
1Password sammelt Daten von Dir. Sie werden zwar nicht weitergeleitet, aber ich finde es trotzdem nicht nötig.
https://support.1password.com/1password-privacy/
Auch für Password Management gibt es auf diesem Gebiet bessere Open Source Alternativen.
Die Daten werden ja wohl zum Betrieb und Weiterentwicklung gebraucht. Habe schon ganz andere Datenschutzbestimmungen gesehen 😅
Damit legitimiert sich natürlich alles. "Woanders habe ich schon ganz andere Datenschutzbestimmungen gesehen" — wo woanders — etwas bei einem Passwortmanager? Aber abgesehen davon, weiß man als Endanwender so und so nicht, was mit den Daten passiert, die man irgendwo eingibt. Es bleibt nur, der Software / dem Hersteller zu trauen. 1000%ige Sicherheit gibt es nicht mehr.