Aegis: Für mich der neue 2FA-Standard

Wenn es um siche­res Anmel­den bei Online-Diens­ten geht, führt aktu­ell eigent­lich kein Weg mehr an Mehr­fak­tor-Authen­ti­fi­zie­rung vor­bei. Zumeist geht es dabei um zusätz­li­che Ein­mal-Pass­wör­ter – übli­cher­wei­se sechs­stel­li­ge Zah­len­codes, die nur eine kur­ze Zeit lang gül­tig sind. Frü­her™ braucht man dafür schwei­ne­teu­re Schlüs­sel­an­hän­ger („Tokens“) von spe­zia­li­sier­ten Her­stel­lern wie RSA Security.

Irgend­wann 2010 kam dann Goog­le mit sei­ner App Goog­le Authen­ti­ca­tor um die Ecke, die das Glei­che auf einem stink­nor­ma­len Smart­phone konn­te. Micro­soft ließ sich nicht lum­pen und bau­te eine mehr oder weni­ger iden­ti­sche Authen­ti­ca­tor-App. Außer­dem gibt es spe­zia­li­sier­te Her­stel­ler wie Authy (gehört seit 2015 zu Twi­lio), das mono­the­ma­tisch mit siche­rer Anmel­dung unter­wegs ist und sei­nen Dienst für Pri­vat­kun­den kos­ten­los anbietet.

An Goog­le Authen­ti­ca­tor gab es zuletzt immer öfter Kri­tik, ziem­lich geballt zum Bei­spiel beim US-Bran­chen­dienst „ZDNet“. Dort wird unter ande­rem bemän­gelt, dass man die App selbst nicht über ein Pass­wort oder bio­me­trisch vor neu­gie­ri­gen Bli­cken schüt­zen kann. Oder dass man beim Gerä­te­wech­sel alle Ein­stel­lun­gen ver­liert und sämt­li­che Kon­ten neu für Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) ein­rich­ten muss. Und es gibt mitt­ler­wei­le sogar schon Mal­wa­re, die bei instal­lier­tem Goog­le Authen­ti­ca­tor des­sen Codes abgrei­fen und miss­brau­chen kann.

blank

Zum Glück gibt es aber Ent­wick­ler wie Alex­an­der Bak­ker und Micha­el Schätt­gen a.k.a. Beem Deve­lo­p­ment aus den Nie­der­lan­den, die mit Aegis Auten­ti­ca­tor eine zeit­ge­mä­ße TOTP-App für Android pro­gram­miert haben. Aegis ist Open Source. Die App spei­chert die ver­schie­de­nen Kon­ten des Nut­zers in einem „Tre­sor“, der mit AES-256 ver­schlüs­selt und mit Pass­wort oder bio­me­trisch ent­sperrt wird. Die Zugän­ge dar­in las­sen sich in Grup­pen sor­tie­ren sowie mit eige­nen Sym­bo­len versehen.

Die Aegis-Daten­bank kann man außer­dem expor­tie­ren und so beim Gerä­te­wech­sel umzie­hen. Ein Import aus ande­ren Apps ist eben­falls mög­lich, hier wer­den die For­ma­te AndOTP sowie Free­OTP unterstützt.

Aegis ist kos­ten­los, her­un­ter­la­den könnt Ihr die App wahl­wei­se aus dem Play Store oder bei F‑Droid. Den Quell­code fin­den Inter­es­sier­te bei Git­Hub.

Schreibe einen Kommentar