Nya Google Authenticator snubblar på mållinjen

Google Authenticator är troligtvis den populäraste appen för tvåfaktors­autentisering. En gång i tiden var den så dominerande att vi rent av började kalla autentiserings­metoden för ”Google Authenticator-metoden” i stället för RFC 6238 som den egentligen heter.

Trots appens stora användarskara har Google knappt utvecklat appen genom åren. Det var först 2020 som Google lade till möjligheten att exportera de inskannade tvåfaktors­autentiserings­hemligheterna. Fram till dess behövde användare som ville byta mobil inaktivera tvåfaktors­autentisering på alla berörda konton och därefter aktivera det på nytt från sin nya mobil. För mig (Karl Emil Nikka), som har aktiverat tvåfaktors­autentisering på över hundra konton, var en sådan process orimlig. Detta var ett av skälen till att vi rekommenderade Twilio Authy i stället.

Nu med säkerhetskopiering

I samband med tilläggandet av export­funktionen blev Google Authenticator mer användbar, men ett problem kvarstod. Google Authenticator säkerhetskopierade fortfarande inte tvåfaktors­autentiserings­hemligheterna, vilket gjorde att användare riskerade att bli utelåsta om de tappade bort sina mobiler. Detta problem har Google nu löst i samband med lanseringen av en ny version av appen som dessutom har förärats med en ny ikon.

Med den senaste versionen av Google Authenticator kan användare säkerhetskopiera sina tvåfaktors­autentiserings­hemligheter till sina Google-konton. Detta gäller både IOS- och Android-versionen av appen, något som möjliggör byte mellan plattformarna. Det kan jämföras med Microsoft Authenticator vars IOS-version säkerhets­kopierar till Icloud medan Android-versionen säkerhets­kopierar till Microsofts molntjänst.

Ett problem i praktiken

Tyvärr finns det fortfarande två skäl till att välja Twilio Authy i stället för Google Authenticator. Det första skälet är risken för cirkelinlåsning, det vill säga att du måste kunna generera rätt engångskod för att komma åt din säkerhetskopia av tvåfaktors­autentiserings­hemligheterna. Ponera att du säkerhets­kopierar dina tvåfaktors­autentiserings­hemligheter till ditt Google-konto och att du (givetvis) skyddar ditt Google-konto med tvåfaktors­autentisering. Vad händer då om du tappar bort mobilen? Då kan du inte logga in på ditt Google-konto, vilket gör att du inte kan återställa din säkerhetskopia.

Om du väljer Google Authenticator som din tvåfaktors­autentiserings­app måste du skydda ditt Google-konto med en annan tvåfaktors­autentiserings­metod än ”Google Authenticator-metoden”. Du måste också säkerställa att den valda metoden inte förlitar sig på att du har tillgång till din mobil.

Ingen totalsträckskryptering

Det andra skälet till att välja Twilio Authy i stället för Google Authenticator är säkerheten. Det första jag gjorde efter att ha läst nyheten på nyheten på Google Security Blog  var att fråga inläggsförfattaren om tvåfaktors­autentiserings­hemligheterna säkerhetskopierades totalsträcks­krypterat. Jag fick inget svar, och det visade sig idag att så inte är fallet.

Säkerhetsduon Mysk har inspekterat trafiken och konstaterat att tvåfaktors­autentiserings­hemligheterna inte skickas totalsträcks­krypterade. Om du aktiverar synkronisering får Google alltså tillgång till dina tvåfaktors­autentiserings­hemligheter.

Använd Twilio Authy

Nikka Systems rekommenderade tvåfaktors­autentiserings­app förblir Twilio Authy. Den är kostnadsfri, reklamfri och stödjer säkerhets­kopiering så att du inte riskerar att bli utelåst om du tappar bort mobilen. Appen stödjer även totalsträcks­­kryptering, så att inte ens Twilio, företaget som driver tjänsten, får tillgång till dina tvåfaktors­autentiserings­hemligheter.

Twilio Authy har dock även nackdelar som är värda att känna till. Dessa avhandlade vi senast i slutet av artikeln ”Spionerande appar för tvåfaktors­autentisering”. Trots dessa nackdelar är Twilio Authy det bästa alternativet för den breda allmänheten.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar