Google Authenticator är troligtvis den populäraste appen för tvåfaktorsautentisering. En gång i tiden var den så dominerande att vi rent av började kalla autentiseringsmetoden för ”Google Authenticator-metoden” i stället för RFC 6238 som den egentligen heter.
Trots appens stora användarskara har Google knappt utvecklat appen genom åren. Det var först 2020 som Google lade till möjligheten att exportera de inskannade tvåfaktorsautentiseringshemligheterna. Fram till dess behövde användare som ville byta mobil inaktivera tvåfaktorsautentisering på alla berörda konton och därefter aktivera det på nytt från sin nya mobil. För mig (Karl Emil Nikka), som har aktiverat tvåfaktorsautentisering på över hundra konton, var en sådan process orimlig. Detta var ett av skälen till att vi rekommenderade Twilio Authy i stället.
Nu med säkerhetskopiering
I samband med tilläggandet av exportfunktionen blev Google Authenticator mer användbar, men ett problem kvarstod. Google Authenticator säkerhetskopierade fortfarande inte tvåfaktorsautentiseringshemligheterna, vilket gjorde att användare riskerade att bli utelåsta om de tappade bort sina mobiler. Detta problem har Google nu löst i samband med lanseringen av en ny version av appen som dessutom har förärats med en ny ikon.
Med den senaste versionen av Google Authenticator kan användare säkerhetskopiera sina tvåfaktorsautentiseringshemligheter till sina Google-konton. Detta gäller både IOS- och Android-versionen av appen, något som möjliggör byte mellan plattformarna. Det kan jämföras med Microsoft Authenticator vars IOS-version säkerhetskopierar till Icloud medan Android-versionen säkerhetskopierar till Microsofts molntjänst.
Ett problem i praktiken
Tyvärr finns det fortfarande två skäl till att välja Twilio Authy i stället för Google Authenticator. Det första skälet är risken för cirkelinlåsning, det vill säga att du måste kunna generera rätt engångskod för att komma åt din säkerhetskopia av tvåfaktorsautentiseringshemligheterna. Ponera att du säkerhetskopierar dina tvåfaktorsautentiseringshemligheter till ditt Google-konto och att du (givetvis) skyddar ditt Google-konto med tvåfaktorsautentisering. Vad händer då om du tappar bort mobilen? Då kan du inte logga in på ditt Google-konto, vilket gör att du inte kan återställa din säkerhetskopia.
Om du väljer Google Authenticator som din tvåfaktorsautentiseringsapp måste du skydda ditt Google-konto med en annan tvåfaktorsautentiseringsmetod än ”Google Authenticator-metoden”. Du måste också säkerställa att den valda metoden inte förlitar sig på att du har tillgång till din mobil.
Ingen totalsträckskryptering
Det andra skälet till att välja Twilio Authy i stället för Google Authenticator är säkerheten. Det första jag gjorde efter att ha läst nyheten på nyheten på Google Security Blog var att fråga inläggsförfattaren om tvåfaktorsautentiseringshemligheterna säkerhetskopierades totalsträckskrypterat. Jag fick inget svar, och det visade sig idag att så inte är fallet.
Säkerhetsduon Mysk har inspekterat trafiken och konstaterat att tvåfaktorsautentiseringshemligheterna inte skickas totalsträckskrypterade. Om du aktiverar synkronisering får Google alltså tillgång till dina tvåfaktorsautentiseringshemligheter.
Använd Twilio Authy
Nikka Systems rekommenderade tvåfaktorsautentiseringsapp förblir Twilio Authy. Den är kostnadsfri, reklamfri och stödjer säkerhetskopiering så att du inte riskerar att bli utelåst om du tappar bort mobilen. Appen stödjer även totalsträckskryptering, så att inte ens Twilio, företaget som driver tjänsten, får tillgång till dina tvåfaktorsautentiseringshemligheter.
Twilio Authy har dock även nackdelar som är värda att känna till. Dessa avhandlade vi senast i slutet av artikeln ”Spionerande appar för tvåfaktorsautentisering”. Trots dessa nackdelar är Twilio Authy det bästa alternativet för den breda allmänheten.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.