Authentifizierungs-Apps für iOS

vatolin · 30. Oktober 2024 um 11:03

Welche Authentifzierungs-Apps für iOS haltet Ihr datenschutztechnisch für sicher? Ich suche einen Ersatz für den Microsoft Authenticator, mit dem ich aktuell den Zugang zu zwei Microsoft-Accounts sowie zu einem Sophos-Account verwalte.

anon · 30. Oktober 2024 um 12:38

Falls es nur um OTP oder TOTP geht, in Apples Passwort App kann man diese verwalten. Falls du das nicht willst kannst du dir vielleicht mal KeePassDX oder Bitwarden angucken.

Exciter · 30. Oktober 2024 um 12:45

Es ging um eine reine Authenticator App, von daher:

Twilio Authy

Krone · 30. Oktober 2024 um 18:31

Mit richtig guten gewissen kann man die aber nicht empfehlen.

https://www.securityweek.com/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/

vatolin · 30. Oktober 2024 um 19:19

Ah! Okay. Endlich ein plausibler Grund, um auf iOS 18 zu upgraden.

Exciter · 31. Oktober 2024 um 05:33

Oh, gar nicht mitbekommen (als nicht Appleuser) - danke

nanoq · 31. Oktober 2024 um 07:35

Bitwarden hat seit kurzem eine separate Authenticator-App. Vielleicht passt die?

Exciter · 31. Oktober 2024 um 08:54

Zumindest für Android keine wirkliche Alternative zu Aegis - Import des Aegis Backups bricht auch mit nichtssagendem Error ab…

Hat für mich eher Beta-Status…

anon · 31. Oktober 2024 um 09:08

Dafür musst du nicht zwingend auf iOS 18 updaten, das geht auch schon vorher in den Einstellungen unter Passwörter

NichtDieMama · 31. Oktober 2024 um 16:43

2fas auth. Siehe https://2fas.com/

Cyberduck · 31. Oktober 2024 um 19:44

Der Begriff „Sicher“ wird in der Informationstechnologie sehr strapaziert. Was heute sicher ist, kann schon nächste Woche eine Sicherheitslücke aufweisen. Und Datenschutz im Sinne der DSGVO spielt bei MFA eigentlich keine Rolle, da keine personenbezogenen Daten verarbeitet werden. Zumindest nicht bei OTP. Dort wird bei der Initialisierung ein geheimer Schlüssel erzeugt und dieser mit der aktuellen Uhrzeit kombiniert, um ein OTP zu erzeugen. Mehr nicht. Das ist dann konkret TOTP (Time-based One-Time Password).

Die Probleme sind offensichtlich. Da sowohl der Server als auch der Client diesen geheimen Schlüssel benötigen, ist ein hohes Maß an Vertrauen in den Dienst erforderlich, da die Sicherheit des Schlüssels auf Anbieterseite nicht in unserer Hand liegt. Dies ist unabhängig von der verwendeten Authentikator App.

Bei der Authentikator App selbst würde ich zu Open Source raten, da hier Sicherheitsforscher die App auf Schwachstellen und Hintertüren untersuchen können. Dann würde ich darauf achten, dass ein standardisiertes Verfahren wie z.B. TOTP verwendet wird. Zu guter Letzt sollte man die App immer auf dem neuesten Stand halten. Damit hast du eigentlich alles getan, was du tun kannst.

Vielleicht gibt es eine konkrete Empfehlung vom BSI (Bundesamt für Sicherheit in der Informationstechnik), aber ich habe auf die Schnelle keine gefunden. Ich weiß aber, dass das BSI mit Empfehlungen auch nicht geizt. Das sind dann Apps, die vom BSI selbst oder von beauftragten Instituten wie z.B. dem Joseph Fraunhofer Institut untersucht werden. Auch der Chaos Computer Club (CCC) führt solche Untersuchungen durch, vielleicht findet sich bei denen etwas.

Reklow · 1. November 2024 um 14:20

Bei der Thematik TOTP (Timebased One Time Password) ist die technische Grundlange wie Du schreibst der gemeinsam genutzte, vom Anbieter generierte und vom Anwender in einer TOTP App eingescannte Schlüssel.

Dem Anbieter als Aussteller des Schlüssels muss man hier vertrauen oder aber man nutzt hier modernere Public/Private Key-Verfahren wie Passkeys wo der Anbieter nur den öffentlichen Schlüssel hat und damit ein Abgriff der Anbieterdaten keine erfolgreiche Zwei-Faktor-Authentisierung ermöglicht.

Aus dem Blickwinkel des Anwenders hat man nur die Möglichkeit auf seiner Seite die TOTP-Schlüssel gut abzusichern gegen:

Verlust
Missbräuchliche Zugriffe / Kopien

und zusätzlich noch auf seine Privatsphäre in Hinsicht auf von der TOTP Apps generierten und übermittelte Daten zu achten.

Ausgehend von der ursprüngliche Frage

würde ich als Apple Anwender ohne eigene Analyse-Möglichkeiten von Apps die folgende Strategie wählen:

Identifzierung Privatsphärefreundlicher Apps

(1) Im App Store nach entsprechenden TOTP-Apps suchen und die AppStore-Informationen zum App-Datenschutz mir ansehen. Die App „Microsoft Authenticator“ hat hier die folgenden Angaben:

Hier würde ich nach einer App suchen, die wenige oder keine Datennutzung ausweist.

Ich nutze zum Beispiel die App „OTP Auth“ mit den folgenden Angaben:

Absicherung lokaler Bedrohungen

(2) Als zweites geht es dann darum zu prüfen, ob ich auf meiner Seite die Bedrohungen

Verlust
Missbräuchliche Kopien

vermieden bekomme.

Bedrohung Verlust

Über die iCloud Synchronisation die OTP Auth unterstützt, kann ich alle aufgenommenen TOTP Schlüssel über meine Geräte synchronisieren und habe bei einem Geräteverlust immer noch Zugriff auf meine TOPT Token.

Über die Export / Import Funktion kann man die Daten aber auch manuell sichern und wiederherstellen. Diese manuelle Sicherung muss man wohl auch bei versehentlichem Löschen von Einträgen nutzen.

Bedrohung Missbräuchliche Kopien

Gegen missbräuchliche Kopien meiner TOTP Token auf meiner Seiten helfen dann die typsichen Maßnahmen:

(-) Zugangsschutz zu den eigenen Geräten mit hinreichenden Sperr-Codes / Passwörtern
(-) Kein Verleihen von Geräten
(-) Einspielen von Software-Updates gegen Schwachstellen

und bei iCloud

(-) Aktivierung der Zwei-Faktor-Authentisierung für die Apple ID
(-) Aktivierung des Erweiterten Datenschutzes und damit der iCloud-weiten Verschlüsselung der Nutzerdaten (abseits von Mails, Kontakten, Kalender, Erinnerungen die zur Bewahrung der Kompatibilität mit den offenen Protokollen IMAP, CardDAV, CalDAV nicht Ende-zu-Ende-verschlüsselt werden).

Damit sollte ich auf meiner Seite schon eine Menge dafür getan haben, dass mir die TOTP-Token nicht entwendet werden oder verloren gehen.

Restrisiken aus meiner Sicht

Offen bleibt aus meiner Sicht noch die Bedrohung, dass ich den Zugriff auf meine AppleID verliere (z. B. durch Deaktivierung durch Apple, einen Angreifer auf Apple) und mir dann parallel noch meine Geräte über die Find-my-iPhone-Funktion gelöscht werden (also auch lokale Kopien vernichtet werden).

Hier werde ich mir jetzt noch OTP Auth auf dem Mac installieren, der jedoch nicht in Find-my-Funktionen eingebunden ist und damit nicht aus der Ferne gelöscht werden sollte. Dieses Problematik ist mir tatsächlich erst gerade aufgefallen.

Das ist meine aktuelle Lösung für eine Authentifizierungs-App für iOS.

Cyberduck · 1. November 2024 um 15:05

Auf dem Mac habe ich die 2FA Keys in meinem KeepassXC gespeichert. Das KeepassXC Browser Plugin zeigt auch einen Button an, mit dem man den TOTP einfügen kann. Allerdings funktioniert das nicht immer. Bei Paypal zum Beispiel muss ich das TOTP selbst eingeben. Keine Ahnung warum.

Das Charmante an KeepassXC ist außerdem der von dir oben erwähnte Aspekt eines Backups. KeepassXC speichert auch den QR-Code mit, so dass man ihn auf einem neuen Gerät ganz einfach wieder einrichten kann. Einige TOTP Apps machen das auch, aber bei weitem nicht alle. Das ist einfach auch ein Sicherheitsfeature, wenn deine App in falsche Hände gerät, kann man nicht einfach hingehen und den Code in eine fremde App kopieren.

Dass die Microsoft Authenticator App so viele Daten speichert, war mir tatsächlich nicht bewusst. Für eine funktionierende TOTP App ist diese Datensammlung nicht notwendig. Microsoft halt…

Reklow · 1. November 2024 um 16:50

Microsoft hat einfach überall Telemetrie integriert und sammelt viele Daten über die Bedienung der Anwendungen durch die Anwender.

Als normaler Anwender hat man kaum eine Chance Apps auf Ihre Datenübertragungen zu testen, wie es z. B. Mike macht und die Aufwände sind sehr hoch dafür. Insofern empfinde ich die Datenschutzhinweise in Apples AppStore für einen ersten Überblick durchaus hilfreich, auch wenn diese Informationen vom App Entwickler bereitgestellt werden.

Grundsätzlich werden die AppStore Datenschutz-Hinweise in drei Nutzungsbereiche getrennt dokumentiert:

(1) Daten die zum Tracking Deiner Person verwendet werden
(2) Mit Dir verknüpfte Daten
(3) Nicht mit Dir verknüpfte Daten

In jedem Nutzungsbereich werden verschieden Datenkategorien aufgeführt die von der App erhoben werden.

So kann ich als Anwender zumindest bedingt abschätzen was ein App-Entwickler über seine App so an Datenkategorien erhebt und Apps den Vorzug geben, die keine oder zumindest weniger invasive Datensammlung durchführen. Im Zweifel lese ich dann aber die Datenschutzbedingungen und platziere auch mal eine Datenschutzanfrage beim Anbieter oder auch eine Beschwerde bei der zuständigen Datenschutzbehörde.

Ist nicht viel aber eine kleine Orientierungs-Hilfe für normale Anwender.

DirtyD · 1. November 2024 um 23:29

Schau mal hier https://ente.io/auth/

nick · 1. November 2024 um 23:51

Ich denke mal, die MS-Konten sind der Knackpunkt, warum es eben keine unmittelbare Alternative gibt. Mit dem Authenticator hat Microsoft ja wie die Banken eine Art Push-TAN-App gebaut, die einfaches TOTP für hauseigene Accounts AFAIK gar nicht vorsieht. Da ich zwei MS-365-Geschäftskonten betreibe (die mich eh tracken), komme ich vom MS-Authenticator auch nicht wirklich weg.

Neben den hier genannten gibt es noch weitere TOTP-Apps, die keinerlei Daten sammeln, wie zum Beispiel freeOTP von Red Hat. Sogar der Stiftung Warentest war das im letzten Monat eine Erwähnung wert.

KeepassXC zu Backupzwecken habe ich ebenfalls im Einsatz, wie hier schon von @Cyberduck empfohlen.

Exciter · 2. November 2024 um 06:39

Wieso sollte es keine unmittelbare Alternative geben?

Du kannst im privaten sowie im beruflichen M365 (nicht MS 365) Account zusätzlich neben der Push MFA (via Microsoft Authenticator) noch weitere TOTPs anlegen, SMS geht sogar auch noch.

Microsoft schlägt halt nur seinen Authenticator vor, ist wie bei Salesforce, die haben auch eine eigene Authenticator App um Push MFA anzubieten.

Es ist halt auch bequemer und sicherer mit dem hauseigenen Push MFA als normal wie SMS oder TOTP…

Im M365 Businessbereich kann man Push MFA für bestimmte oder alle Accounts sogar erzwingen.

Es ist halt eher die Abwägung von Sicherheit und Komfort bzw. Datenschutz - denn wenn ich privat M365 nutze, dann kann ich auch den MS Authenticator nutzen;)

Beruflich kann der Arbeitgeber dich nicht zwingen für den Firmenaccount eine 2FA App auf deinem privaten Handy zu installieren - jedoch lassen es halt die meisten Leute mit sich machen…

Cyberduck · 2. November 2024 um 08:19

Also ich nutze 2FA für meine Microsoft ID schon mit einem Drittanbieter Authentikator. Aber das ist kein Microsoft oder Office 365 Konto sondern nur die Web-GUI meiner ID. Keine Ahnung ob es da Unterschiede gibt.

Exciter · 2. November 2024 um 08:30

Was meinst du damit?

Bitte nicht mehr Office oder O365 verwenden, diese Bezeichnung gibt es seit über 2 Jahren nicht mehr:

https://www.heise.de/news/Microsofts-Umbenennung-Aus-Office-wird-Microsoft-365-7308244.html

https://blog.knowbe4.com/microsoft-365-vs.-office-365-whats-the-difference

https://www.it-p.de/blog/o365-wird-zu-m365/

Cyberduck · 2. November 2024 um 09:20

Ich habe ein Office für Mac gekauft und musste es mit einer Microsoft ID aktivieren. Dafür habe ich ein Microsoft Konto benötigt. Ich weiß nicht, was man mit diesem Konto sonst noch machen kann, ich habe es nur für die Aktivierung verwendet. Dieses Konto habe ich mit TOTP MFA gesichert und das ist in meiner normalen (nicht Microsoft) Authentifikator App hinterlegt.