Twillio Authenticator Dektop Version nach EOL nicht mehr sicher? Alternativen?

[zocker7]

Wie sieht es mit der Sicherheit aus nachdem das Programm nun nicht mehr supportet wird?
Kann ich die App noch getrost nutzen oder muss ich damit rechnen das nun Sicherheitslücken ausgenutzt werden können die nicht mehr gefixt werden?
Gibt es gute Alternanitven?
Ich meine damit keine Password Keeper oder sowas, sondern einfach nur einen Authenticator als Desktop Version?

 

[VL125]

Jede Software die nicht mehr supportet wird, ist ein Sicherheitsrisiko.

 

[zocker7]

Die Frage wäre noch, wenn nicht gerade jemand fremdes auf meinem Rechner wühlt,
kann man sonst irgendwie Zugriff auf meine Codes/Tokens bekommen wenn ich diese EOL Version weiternutze?

 

[VL125]

Aus dienstlicher Sicht, dickes nein.

Privat kannste alles machen was du willst, ich würde mir was anderes suchen.

 

[zocker7]

Kennst du eine Desktop Alternative?
Wie verhält sich das eigentlich wenn ein 2FA Tool keine synchronisation zwischen verschiednen Geräten erlaubt,
kann/muss ich dann das Tool auf zwei seperaten Geräten zweimal einrichten?
Oder kann ich sager zwei komplet verschiedene 2FA nutzen?

 

[YCbCr]

Kennst du eine Desktop Alternative?

Authy ist eine Implementierung des standardisierten TOTP Verfahrens. Wenn du danach suchst solltest du unzählige Alternativen finden. Wikipedia hat eine (bei weitem nicht vollständige) Liste, auf der du nach Betriebssystem und gewünschten Features (wie online Sync) sortieren kannst: https://en.wikipedia.org/w/index.php?title=Comparison_of_TOTP_applications

Wie verhält sich das eigentlich wenn ein 2FA Tool keine synchronisation zwischen verschiednen Geräten erlaubt,
kann/muss ich dann das Tool auf zwei seperaten Geräten zweimal einrichten?
Oder kann ich sager zwei komplet verschiedene 2FA nutzen?

Grundsätzlich kannst du den gleichen Schlüssel in beliebig vielen (auch unterschiedlichen) Tools hinterlegen, die dann auch alle die gleichen Token generieren. Allerdings empfiehlt es sich den Schlüssel nicht zu diesem Zweck irgendwo im Klartext zu hinterlegen. Viele 2FA Apps erlauben stattdessen das erstellen von verschlüsselten Schlüssel-Backups / Exporten.
Meistens kann man auch mehrere separate Apps mit eigenem Key für den gleichen Dienst hinterlegen.

---

Da du ja um deine Sicherheit besorgt zu sein scheinst: Zwei Faktoren, die die Sicherheit jeder TOTP App (oder MFA Implementierung allgemein) massiv einschränken, sind:

1. Den Token auf dem gleichen Gerät zu generieren, auf dem sich auch das Passwort befindet (sei es in einem Passwortmanager oder Eingabe per Hand)
   • Wird das eine Gerät kompromitiert hat der „Angreifer“ Zugang zu beiden Faktoren ⇒ Genau das Szenario, das 2FA eigentlich verhindern soll
2. Cloud-Synchronisation
   • Ist maximal so sicher wie dein Master-Passwort einer Offlineattacke standhält.