Authy

Authy
Basisdaten

EntwicklerTwilio
BetriebssystemAndroid, iOS, Blackberry OS, Windows, Mac OS und Linux
deutschsprachigja
authy.com

Authy ist eine Mobile App des Unternehmens Twilio. Sie ermöglicht eine Zwei-Faktor-Authentifizierung mittels eines standardisierten Verfahrens für Einmal-Kennwörter (OATH-TOTP). Bietet eine Webseite bzw. ein Web-Dienst Zwei-Faktor-Authentifizierung (2FA) über die App Google Authenticator an, dann funktioniert die 2FA-Anmeldung dort mit Authy ebenso.[1]

Funktionsweise

Authy folgt den in RFC 6238[2] und RFC 4226[3] definierten Standards, um zeitbasierte Einmalkennwörter (TOTP) zu generieren.[4] Der Online-Dienst, den ein Benutzer durch 2FA schützen möchte, generiert dazu ein „Geheimnis“ (Token), das er als QR-Code anzeigt. Der Benutzer scannt diesen QR-Code mittels Authy (oder tippt den Geheimcode ab) und speichert das „Geheimnis“ dadurch auf seinem persönlichen Gerät – meist ein Smartphone. Für den Online-Dienst ist nun 2FA eingerichtet und das Gerät des Benutzers als zweiter Faktor registriert.

Bei der Anmeldung bei einem webbasierten Dienst muss der Anwender nun neben dem normalen Passwort auch das von der App generierte Einmalpasswort zur Autorisierung eingeben. Dieses wird aus der aktuellen Uhrzeit und dem „Geheimnis“ berechnet.

Besonderheiten

Die Geheimnisse / Token werden bei Authy (verschlüsselt) in der Cloud gespeichert, dadurch kann Authy auf mehreren Geräten parallel (synchronisiert) zur Zwei-Faktor-Authentisierung verwendet werden. Dies erleichtert auch die Migration auf ein neues Gerät, ohne die 2FA-geschützten Web-Dienste erneut für 2FA registrieren zu müssen.[5]

Die Backup-Funktion erlaubt es, die 2FA-Geheimnisse (die Token) zu den einzelnen geschützten Konten – passwortgesichert – zu sichern, um sie (z. B. bei Verlust oder Beschädigung des Geräts) auf einem anderen Gerät wiederherstellen zu können. Die Sorge, jemals von seinen Konten ausgesperrt zu sein, ist also nicht gegeben.[1]

Sicherheit

Authy verwendet zur Absicherung drei Kennwörter:

  • ein Master-Passwort, das man bei der Anmeldung am ersten Gerät und bei der Registrierung jedes weiteren Geräts benötigt;
  • (für iOS und Android) eine PIN oder einen Fingerabdruck, um die App zu entsperren – für den Fall, dass das Gerät in fremde Hände gelangen sollte;
  • ein Backup-Passwort, das die Übertragung der Token auf ein weiteres Gerät ermöglicht.

Als Nachteil von Authy wird gesehen, dass das Benutzerkonto mit einer Mobiltelefonnummer verknüpft ist – ohne diese funktioniert die App nicht.[5]

Geschichte

Twilio erwarb Authy im Februar 2015 – damals war Authy ein Startup, das Zwei-Faktor-Authentifizierung-Services für Konsumenten, Entwickler und Unternehmen anbot.[6]

Weblinks

  • Authy. Two-factor Authentication (2FA) App & Guides. Twilio (englisch).

Einzelnachweise

  1. a b Thorin Klosowski: The Best Two-Factor Authentication App. In: New York Times, 15. September 2020.
  2. RFC6238 – TOTP: Time-Based One-Time Password Algorithm. Mai 2011 (englisch).
  3. RFC4226 – HOTP: An HMAC-Based One-Time Password Algorithm. Dezember 2005 (englisch).
  4. Authy One-Time Passwords (OTP). Twilio.com
  5. a b Alex Drozhzhin: Die SMS-basierte Zwei-Faktor-Authentifizierung ist nicht sicher – werfen Sie einen Blick auf diese alternativen 2FA-Methoden. Kaspersky Lab, 17. Oktober 2018.
  6. Frederic Lardinois: Twilio Acquires Two-Factor Authentication Service Authy. TechCrunch, 24. Februar 2015.