Bitwarden liefert Authenticator als Standalone-App
Bitwarden hat eine Standalone-Authenticator-App entwickelt. Bislang gab es zeitbasierte Einmalpasswörter nur als Zusatzfunktion für Abonnenten.
(Bild: Tero Vesalainen/Shutterstock.com)
Die Macher des Passwortmanagers Bitwarden haben zeitbasierte Einmalpasswörter (Time-based OneTime Passwords, TOTP) bislang als Pro-Funktion für Abonnenten angeboten. Jetzt kommt eine Standalone-App dazu. Sie ist kostenlos verfügbar.
(Bild: Bitwarden)
Zeitbasierte Einmalpasswörter dienen als zusätzlicher Faktor bei einer Authentifizierungsanfrage. Etwa Paypal bietet das an, um Transaktionen zusätzlich abzusichern, aber auch diverse andere Dienste ermöglichen damit den besseren Schutz etwa vor unbefugten Log-ins mit bei Phishing-Angriffen erbeuteten Daten.
Bitwarden-Authenticator: Kostenlose Alternative
Authenticator-Apps, die diese zeitbasierten Zusatz-PINs erzeugen, gibt es bereits mehrere, in der Regel kostenlos. Am bekanntesten dürfte etwa der Google Authenticator sein, auch Microsoft bietet eine eigene App an. Wer den Unternehmen jedoch diese Geheimnisse nicht anvertrauen mag, greift zu anderen Angeboten – es gibt einige kostenlose Alternativen. Dank Bitwarden ist die Auswahl nun größer geworden.
Bitwarden Authenticator steht für Googles Android im Play Store zur Installation bereit, aber auch in Apples App-Store für iOS-Geräte. Die App lässt sich gewohnt einfach nutzen: Um Zwei-Faktor-Authentifizierung für eine App oder Webseite einzurichten, müssen Interessierte auf deren 2FA-Seite oder -Dialog gehen und den dort angezeigten QR-Code scannen oder das Geheimnis – eine lange Zeichenkette – manuell eingeben. Das gelingt durch das Antippen des "+"-Symbols und der Auswahl von "Scan a QR code" respektive "Enter key manually" in der App.
Durch langes Drücken auf einen Eintrag lassen sich Benutzernamen hinzufügen oder der Algorithmus zum Erstellen der Einmalkennwörter, die Refresh-Zeitperiode und die Anzahl an Ziffern ändern. Die sind vom genutzten Dienst oder der App vorgegeben und sollten nur geändert werden, wenn die Webseite es verlangt oder derartige Änderungen ermöglicht, erläutert Bitwarden in der Online-Hilfe zur neuen Authenticator-App. Die aktuellen Codes kopiert ein kurzes Antippen in die Zwischenablage, sodass sie sich schnell und direkt auf einer Webseite oder einer App einsetzen lassen.
Daten lassen sich in den Einstellungen exportieren, als .json- oder .csv-Datei. Ein direkter Import ist derzeit nicht möglich. Ein Backup der verschlüsselten Daten finde durch das Cloud-Backup-System des Smartphones statt, etwa durch iCloud, erläutern die Bitwarden-Entwickler. Zum Wiederherstellen der Daten sei es lediglich nötig, das Gerätebackup aus der Cloud wiederherzustellen. Laut Blog-Eintrag von Bitwarden sollen Nutzer und Nutzerinnen daher sicherstellen, dass das Gerätebackup im Betriebssystem aktiviert ist.
Dort findet sich auch eine Roadmap: Der Daten-Import kommt demnach bald. In Planung ist zudem die Synchronisierung mit dem Bitwarden-Konto und dem Bitwarden-Vault. In weiterer Ferne stehen Push-basierte 2FA-Anfragen und Kontenwiederherstellung auf der Liste. Die in den Einstellungen angebotenen Übersetzungen sind derzeit noch nicht verfügbar, die App zeigt derzeit weiter englische Begriffe an. Dies dürfte jedoch auch ohne explizite Ankündigung bald ausgebessert werden.
Den Trend zu besserem Zugangsschutz mit TOTP versuchen auch Cyberkriminelle zu nutzen. Etwa in Apples App-Store und Googles Play-Store haben IT-Sicherheitsforscher bösartige Apps entdeckt, die die damit gescannten QR-Codes mit den Seeds an die Server der kriminellen Drahtzieher schicken.
Google bietet explizit die Cloud-Synchronisation dieser Daten an. Allerdings gab es da Probleme mit der angeblichen Ende-zu-Ende-Verschlüsselung – zwar innerhalb einer TLS-geschützten Verbindung, gingen die Daten lediglich Base32-kodiert über die Leitung. Das ermöglicht Man-in-the-Middle-Angriffe.
(dmk)