In letzter Zeit habe ich immer mehr 2FA-Logins. Kryptobörsen erzwingen es teilweise, andere Dienste raten es dringend an. Ich persönliche nutze den Google-Authenticator als Smartphone-App. So kam ich zu der Frage, was passiert, wenn mein Smartphone seinen Geist aufgibt?

---

Meine Vorstellung war: Dann kann ich mich nicht mehr einloggen und ein Herankommen an meine Accounts wird extrem schwierig bis unmöglich. Wenn der eine oder andere Wert hinter dem Account steht, sollte man diesen Fall vielleicht ernst nehmen.
Ich möchte euch nun zeigen, was ich heute zu dem Thema gelernt habe und welche Lösung ich für mich gefunden habe.

---

Wie funktioniert 2FA / Zwei-Faktor-Authenifizierung?

Dazu habe ich diese Quelle gelesen und auch bei Wikipedia gibt es einen kurzen Einblick zur Funktionsweise des Google Authenticator.

Ich fasse es mal vereinfacht zusammen:

• Zum normalen User-Passwort-Login benötigt man etwas Zweites
• Das ist in der Regel ein Code der nach Zeit/Ereignis/Reihenfolge generiert wird.
  • Dazu tauschen Server (Anbieter) und Client (dein Smartphone) einen Key aus.
  • Anschließend generieren sie beide Login-Codes (unabhängig voneinander)
  • Zeitbasiert ist dabei (bei mir) die häufigste Anwendung.
• Der generierte Code muss beim Login (oder ggf. sonstigen Accountaktionen) mit angegeben werden.

Wenn man den Key (Sicherheitsschlüssel) manuell eingibt, sieht man auch welche Methoden der Google Authenticator nutzen kann.

Mit der Zeit hat man dann mehrere Accounts im Google Authenticator. Auf dem folgenden Screenshot seht ihr jetzt nur noch die Codes, welche zu einer Zeit generiert wurden. Danaben seht ihr auch ein kleines Zeitsymbol, welches anzeigt, wann der jeweils nächste Code generiert wird.

In der Google Authenticator App auf dem Smartphone habe ich keine direkte Möglichkeit ein Backup des Keys zu machen. Einmal eingerichtet komme ich nicht mehr einfach an den Sicherheitsschlüssel.

Wie mach ich nun ein Backup der Keys

Dazu habe ich einen Artikel bei protectismus.com gelesen, welcher 3 Backup Wege beschreibt. Ein zweiter Artikel von icontrolwp.com beschreibt eine "Authy App".

Kurz zusammengefasst - Artikel 1:

1. Backup Codes vom Anbieter geben lassen -> geht nicht überall.
2. Screenshots vom Secret-Key aufheben -> geht, aber wo speichern?
3. Keys vom Gerät laden /data/data/com.google.android.apps.authenticator2/databases/databases -> benötigt root-Rechte

Grundsätzlich ein sehr guter Artikel. Ich denke in Richtung Variante 2 wird's wohl werden.

Kurz zusammengefasst - Artikel 2:

• Authy App installieren
• Alle Anbieter-Websites aufsuchen und 2FA -> aus -> an - diesmal aber über die Authy App scannen.
• Die App hat eine Backup Funktion

Noch eine fremde App dazwischen zu schalten ist mir vom Prinzip her suspekt. Ich verzichte lieber auf komfortabel, wenn ich mir dafür eine weitere App und Sicherheitslücke erspare.

Noch eine Idee

Ich könnte ein zweites Smartphone in den Schrank legen, auf dem ich alle Keys ebenfalls gescannt habe. Initial bedeutet das aber auch noch mal alle Keys neu machen und das zweite Gerät kostet Geld für's rumliegen. Außerdem kann es sehr schnell asynchron werden, wenn ich es vergesse.

Also was tun? - So hab ich es für mich gelöst

Ich bin zu allen Anbieter gegangen und habe die 2FA abgeschaltet und neu aktiviert. Diesmal habe ich mir den Key aber gespeichert. Dazu habe ich das Bild des QRCodes als Attachment in einem Keepass Eintrag hinterlegt. Falls das jemand auch so machen möchte, denkt bitte daran, dass es nicht die gleiche Passwort-Datenbank sein sollte, in der auch der User-Login für den Zugang steht.

Alternativ könnte man auch einen verschlüsselten Container, zum Beispiel mit VeraCrypt, erstellen und die Screenshots darin ablegen. Das Passwort für den Container sollte aber ebenfalls nicht in der selben Passwort-DB zu finden sein wie der User-Login für einen Dienst. Keinesfalls solltet ihr die Screenshots/Keys oder Backup-Codes irgendwo auf eurer Festplatte oder gar bei Dropbox, GDrive, usw. unverschlüsselt speichern.

---

Weiteres

Ich glaube es gibt einige Leute, die inzwischen 2FA nutzen ohne sich auch nur annähernd damit vertraut zu machen. Es gibt durch den Kryptoboom im letzten Jahr sicher viele neue Leute in dem Bereich mit vielen Krypto-Börsen-Accounts. Davon wiederum ist es bei einigen Börsen zwingend notwendig 2FA einzurichten und die Einrichtung kann jeder. Ich bezweifle aber, dass jeder daran denkt seine Keys zu sichern.
Vielen wird erst zu spät klar werden, dass ihr Zugang mit dem Defekt ihres Smartphones weg ist. Und das wird für einige deutlich teurer als ein Smartphone. Wer sich also nicht vorsorglich darum kümmert, bekommt "Kein Backup, kein Mitleid!" um die Ohren.

---

In diesem Sinne, macht ordentlich verschlüsselte Backups!

---

Quellen

• Video - https://video.golem.de/handy/18039/zwei-faktor-authentifizierung-mit-google-authenticator-herstellervideo.html
• https://entwickler.de/online/security/google-authenticator-zwei-faktor-authentifizierung-124710.html
• https://de.wikipedia.org/wiki/Google_Authenticator
• https://www.protectimus.com/blog/google-authenticator-backup/
• https://www.icontrolwp.com/blog/google-authenticator-backups/