Authy
Authy ist eine Mobile App des Unternehmens Twilio. Sie ermöglicht eine Zwei-Faktor-Authentifizierung mittels eines standardisierten Verfahrens für Einmal-Kennwörtern (OATH-TOTP). Bietet eine Webseite bzw. ein Web-Dienst Zwei-Faktor-Authentifizierung (2FA) über die App Google Authenticator an, dann funktioniert die 2FA-Anmeldung dort mit Authy ebenso.[1]
Authy | |
---|---|
Basisdaten | |
Entwickler | Twilio |
Betriebssystem | Android, iOS, Blackberry OS, Windows, Mac OS und Linux |
deutschsprachig | ja |
authy.com |
Funktionsweise
Authy folgt den in RFC 6238 und RFC 4226 definierten Standards, um zeitbasierte Einmalkennwörter (TOTP) zu generieren.[2] Der Online-Dienst, den ein Benutzer durch 2FA schützen möchte, generiert dazu ein 'Geheimnis' (Token), das er als QR-Code anzeigt. Der Benutzer scannt diesen QR-Code mittels Authy (oder tippt den Geheimcode ab) und speichert das 'Geheimnis' dadurch auf seinem persönlichen Gerät – meist ein Smartphone. Für den Online-Dienst ist nun 2FA eingerichtet und das Gerät des Benutzers als zweiter Faktor registriert.
Bei der Anmeldung bei einem webbasierten Dienst muss der Anwender nun neben dem normalen Passwort auch das von der App generierte Einmalpasswort zur Autorisierung eingeben. Dieses wird aus der aktuellen Uhrzeit und dem 'Geheimnis' berechnet.
Besonderheiten
Die Geheimnisse / Token werden bei Authy (verschlüsselt) in der Cloud gespeichert, dadurch kann Authy auf mehreren Geräten parallel (synchronisiert) zur Zwei-Faktor-Authentisierung verwendet werden. Dies erleichtert auch die Migration auf ein neues Gerät, ohne die 2FA-geschützten Web-Dienste erneut für 2FA registrieren zu müssen.[3]
Die Backup-Funktion erlaubt es, die 2FA-Geheimnisse (die Token) zu den einzelnen geschützten Konten – passwortgesichert – zu sichern, um sie (z. B. bei Verlust oder Beschädigung des Geräts) auf einem anderen Gerät wiederherstellen zu können. Die Sorge, jemals von seinen Konten ausgesperrt zu sein, ist also nicht gegeben.[1]
Sicherheit
Authy verwendet zur Absicherung drei Kennwörter:
- ein Master-Passwort, das man bei der Anmeldung am ersten Gerät und bei der Registrierung jedes weiteren Geräts benötigt;
- (für iOS and Android) eine PIN oder einen Fingerabdruck, um die App zu entsperren – für den Fall, dass das Gerät in fremde Hände gelangen sollte;
- ein Backup-Passwort, das die Übertragung der Token auf ein weiteres Gerät ermöglicht.
Als Nachteil von Authy wird gesehen, dass das Benutzerkonto mit einer Mobiltelefonnummer verknüpft ist – ohne diese funktioniert die App nicht.[3]
Geschichte
Twilio erwarb Authy im Februar 2015 – damals war Authy ein Startup, der two-factor authentication services für Konsumenten, Entwickler und Unternehmen anbot.[4]
Weblinks
- Authy. Two-factor Authentication (2FA) App & Guides. Twilio (englisch)
Einzelnachweise
- The Best Two-Factor Authentication App. Von Thorin Klosowski, New York Times, 15. September 2020.
- Authy One-Time Passwords (OTP) – Twilio.com.
- Alex Drozhzhin: Die SMS-basierte Zwei-Faktor-Authentifizierung ist nicht sicher – werfen Sie einen Blick auf diese alternativen 2FA-Methoden. Kaspersky Lab, 17. Oktober 2018.
- Lardinois, Frederic: Twilio Acquires Two-Factor Authentication Service Authy. TechCrunch, 24. Februar 2015.