Wie man eine vertrauenswürdige Authentifizierungs-App auswählt

• Updates
  • 2023-04-25: Ich muss von Google Authenticator wegen Cloud-Datenabfluss dringend abraten.
  • 2023-04-26: Google Authenticator überträgt Geheimnisse unverschlüsselt!
  • 2023-05-25: Google hat auch den Fix vom Authenticator verbockt.
  • 2023-07-08: Beispiel-Screenshot einer Warnung vor einer bösen 2FA-App
  • 2023-09-17: Google Authenticator hat mit Cloud-Backup Geheimnisse von Nutzern verloren

Ich war beim Podcast Methodisch inkorrekt! in Episode 239 mit einen Audiokommentar on air, wo ich etwas zu den Themen "Wie man eine Authentifizierungs-App auswählt" und Passwortsicherheit im Allgemeinen sagen durfte. Der bezog sich auf die Diskussion zum Thema "Google" der Podcast-Episode 238 "Mö Mö", wo Reini einen etwas saloppen Kommentar zu der Thematik geäußert hat.

In diesem Artikel möchte ich den Teil mit der Auswahl einer TOTP-Anwendung beschreiben. Die meisten Punkte können jedoch auch für die Auswahl von sicherer Software verallgemeinert weiterverwendet werden.

Für ganz allgemeine Tipps zur Auswahl von Werkzeugen wie Softwareprodukten, empfehle ich meinen (englischsprachigen) Artikel zur Tool-Auswahl.

Falls du zuvor noch generell etwas über Passwortsicherheit und Zweifaktor-Authentifizierung lernen willst, so lies dir meinen Artikel zu Passwortsicherheit durch und komm zum Thema Authentifizierungs-App und TOTP hierher zurück.

Es gibt verschiedene Authenticator-App-Typen. Deshalb sollte man sich zuerst bewusst werden, worüber man gerade spricht.

Neben proprietären Authenticator-Apps verschiedener Firmen, die keinem offenen Standard folgen, gibt es den aktuell weit verbreiteten Standard TOTP, der für "Time-based One-time Password" steht. Da zu ersterem mangels Einsicht in den Code keine sicherheitstechnische Aussage getroffen werden kann, kann ich hier nur zu TOTP schreiben.

TOTP ist den meisten Anwendern durch einen QR-Code bekannt, den man beim erstmaligen Einrichten einer neuen Zugangsberechtigung mit der TOTP-App einlesen muss.

Da es sich um einen offenen Standard handelt, gibt es hier etliche Apps, die TOTP-Funktionalität zur Verfügung stellen.

Meine persönlichen Kriterien zur App-Auswahl sind:

1. möglichst eine freie Software mit großer Community
2. vertrauenswürdige Hersteller- und Installations-Quellen
3. keine unnötigen Berechtigungen

Freie Software ist keine Garantie für ein gewisses Maß an Sicherheit aber Voraussetzung, dass ein gewisses Maß an Sicherheit von unabhängigen Sicherheitsexperten nachgewiesen werden kann.

Die Chance auf vertrauenswürdige Sicherheits-Audits unabhängiger Sicherheitsexperten als auch automatischer Sourcecode-Checks ist bei freiem Zugang zum Quellcode und einer großen Community an vielen Nutzern deutlich höher.

Bei proprietärer Software ohne Zugang zum Quellcode kann alles mögliche an absichtlichen oder unabsichtlichen Fehlern drinnenstecken - niemand kann es ordentlich prüfen. Das gleiche gilt somit auch für alle Cloud-basierten Lösungen. Auch hier hat man keine Möglichkeit herauszufinden, in welcher Form mit den Daten umgegangen wird. Und oftmals ist hier leider das Vertrauen auch ungerechtfertigt vergeben worden. Das sieht man zuletzt auch an Fällen, wo bösartige Authentifizierungs-Apps deine Geheimnisse stehlen.

Aus diesem Grund ist für ein überprüfbares Maß an Sicherheit und Vertrauenswürdigkeit eine freie Softwarelizenz auf einem kontrollierbaren Computer eine notwendige Voraussetzung.

Es nützt die sicherste, freie Software nichts, wenn man sie von einer Quelle installiert, die den Sourcecode vor der Auslieferung der Software beliebig manipulieren konnte.

Trotz aller Bedenken sind die Google- und Apple-App-Stores nach wie vor die am besten überwachten App-Quellen für mobile Anwendungen, selbst wenn ab und zu bekannt wird, dass die Kontrollen nicht immer ordnungsgemäß funktioniert haben.

Ganz allgemein ist sehr empfehlenswert, die von den Programmierern geforderten App-Berechtigungen auf Plausibilität zu prüfen, bevor man eine mobile Anwendung am Handy installiert.

Wenn beispielsweise eine Taschenlampen-App die Berechtigung zum Zugriff aufs Adressbuch des Nutzers als auch auf das Netzwerk erfordert, so ist das ein untrügerisches Zeichen, dass hier etwas gar nicht so ist, wie es sein soll. Die Berechtigungen kann man in den App-Stores der Plattformbetreiber in den Details zu den Apps vor der Installation einsehen.

Bei TOTP-Apps ist es wichtig zu wissen, dass das Konzept ohne Netzwerk funktioniert. Wenn also eine TOTP-App die Netzwerkberechtigung verlangt, so würde ich die Finger von der App lassen und meine FreundInnen und KollegInnen davor warnen.

Viele Menschen verwenden Google Authenticator (Berechtigungen) oder Microsoft Authenticator (Berechtigungen) weil sie von "den Großen" kommen. Ich selber verwende aktuell FreeOTP Authenticator (Berechtigungen), da diese freie Software minimale Rechte verlangt und mir deshalb einfach sympathischer ist.

Update 2023-04-25: Google Authenticator Gets Major Upgrade with Account Sync. Offenbar braucht Google nun für TOTP auch eine Internet-Permission und ladet eure Geheimnisse in die Cloud. Ich kann nur empfehlen, keine TOTP-Anwendung zu nutzen, die Internet-Rechte benötigt. Insofern leider Finger weg von Google Authenticator.

Update 2023-04-26: Laut dieser Quelle überträgt Google die Geheimnisse komplett unverschlüsselt, sodass man dadurch auch die Kompetenz von Google, eine Authentifizierungs-App zu schreiben in Frage stellen muss. Sowas darf niemals passieren und selbst wenn es passiert, muss soetwas beim Testen auffallen und darf nicht freigegeben werden. Eine Katastrophe. Im Nachhinein "nachrüsten" ist nicht ausreichend.

Update 2023-05-25: Laut diesem Artikel hat Google reichlich spät aber doch ein Update herausgebracht, das die Klartextverschlüsselung fixen soll. Nur übertragen sie nach wie vor die Geheimnisse im Klartext. Was soll man davon halten?

Update 2023-09-17: Es kam, wie's kommen musste: Google Authenticator Geheimnisse in der Cloud wurden gestohlen und missbraucht. Wer Google Authenticator mit dem Wissen jetzt noch einsetzt, dem kann nicht mehr geholfen werden. Deshalb nach wie vor Finger weg von Google Authenticator. Google hat hier meiner Einschätzung nach seine Glaubwürdigkeit auch für die Zukunft verspielt.

Bei dem minkorrekt-Audiokommentar erzählte ich noch wichtige Dinge zum Umgang mit Passwörtern. Das kannst du bei diesem Artikel lesen.