Alternativen für Authy Desktop
Die Sicherheitsfirma Twilio hat angekündigt, die beliebte TOTP- und MFA-Software Authy Desktop ab Sommer 2024 nicht mehr weiterzuentwickeln. Welche Möglichkeiten zum Wechsel haben Authy-Nutzer?
Authy Desktop ist eine der wenigen TOTP-Lösungen, die auch unter Windows, macOS und Linux läuft und nicht nur auf den großen Smartphone-Plattformen. 2015 hat die Sicherheitsfirma Twilio das kleine Startup hinter Authy übernommen und anschließend erstmal weitergeführt.
Neun Jahre nach der Akquisition stellen die Corporate Overlords von Twilio aber nun den Support und die Weiterentwicklung von Authy Desktop im August 2024 ein:
The Authy Desktop apps for Windows and MacOS that are available or were previously downloaded from authy.com/download as well as those for Linux will reach their End-of-Life in August 2024.
We made this difficult decision to sunset the Twilio Authy desktop apps in order to streamline our focus and provide more value on existing product solutions for which we see increasing demand.
"Streamline our focus"? Twilio kämpft tatsächlich mit wirtschaftlichen Schwierigkeiten. So musste das Unternehmen im Dezember 2023 fünf Prozent seiner Belegschaft entlassen. Vor ein paar Tagen hat Twilio zudem überraschend noch seinen CEO ausgewechselt.
Qual der Wahl nach dem Authy-Desktop-Ende
Da ich Authy Desktop selbst schon seit einigen Jahre zur Erzeugung von MFA-Codes (Multifaktor-Authentifizierung) nutze und das Programm daher auch bereits mehrfach weiterempfohlen habe, muss ich mich nun nach einer Alternative umsehen. Ein direkter Umstieg zu einem anderen Programm ist nicht möglich.
Die meisten TOTP-Anwendungen (Time-based-One-time-Password) sind leider nur auf Smartphone-Nutzer ausgelegt. Authy war mit seiner Desktop-Version die rühmliche Ausnahme, die sogar mit einem Passwort gesicherte Backups ermöglichte.
Authy Desktop hat „aus Sicherheitsgründen“ keine Export-Funktion. Da vermutlich kein Entwickler mehr bei Twilio arbeitet, der sie nachrüsten könnte, wird sie wohl auch nicht mehr kommen. Es wäre natürlich schön, wenn Twilio den Sourcecode von Authy freigeben würde (wie es zum Beispiel Trend Micro bei Hijackthis gemacht hat, bravo!), aber damit ist wohl nicht zu rechnen.
Mir stellen sich nun ein paar Fragen
- Was bedeutet End of Life (EOL) in diesem Fall? Können wir Authy Desktop nicht auch nach dem Support-Ende einfach weiter verwenden? Selbst wenn Twilio die App dann nicht mehr zum Download anbietet, gibt es ja noch genug andere Quellen.
- Wie kriege ich meine MFA-Daten rechtzeitig aus Authy Desktop heraus und welches Alternativprogramm nutze ich in Zukunft?
Welche Lösungen empfehlen die Authy-Entwickler?
- Umstieg zu einer der Mobile-Versionen von Authy. Die unterstützt die Firma Twilio nämlich weiterhin. Sofern die Backup-Funktion in Authy Desktop aktiviert ist, sollten die darin gespeicherten Accounts auch direkt gesynct werden. Allerdings war einer der größten Vorteile ja eben, dass es auch einen Desktop-Client
gibtgab. - Umstieg auf eine andere Lösung. Die Authy-Webseite nennt als Alternativen Authenticator.cc, Step Two, Secrets 4, KeepassXC sowie 1Password. Nur die letzten beiden unterstützen Desktop-Betriebssysteme sowie die Generierung von TOTP-Codes. Auch das originale Keepass kann übrigens TOTP-Codes erzeugen, benötigt dafür aber ein Plug-in wie KeeTrayTOTP (siehe unten).
Anschließend ist es allerdings erforderlich, sich bei jedem in Authy Desktop hinterlegten Dienst noch einmal per MFA anzumelden und sie danach erst zu deaktivieren und dann gleich wieder zu aktivieren. Der dabei erzeugte Code kann dann in einer anderen TOTP-fähigen Anwendung registriert werden.
Mir ist die Variante mit dem Skript zu umständlich, daher ziehe ich meine Accounts lieber einzeln um. Wie das exyemplarisch funktioniert, zeige ich im Folgenden am Beispiel von Amazon, Dropbox sowie Paypal.
Amazon-Account umziehen
Besuchen Sie die Amazon-Seite. Klicken Sie oben rechts auf „Konto und Listen“ sowie danach auf „Anmelden und Sicherheit“. Nun loggen Sie sich mit Passwort sowie per Authy Desktop erzeugtem OTP-Code ein. Klicken Sie dann bei „Zwei-Schritt-Verifizierung“ auf „Verwalten“ und danach auf „Neue App hinzufügen“.
Nun müssen Sie den angezeigten QR-Code mit einer geeigneten Smartphone-App scannen oder auf „Barcode kann nicht gescannt werden“ klicken und den langen Schlüssel, den sogenannten TOTP Seed, in die Zwischenablage kopieren und in der gewünschten Anwendung einfügen. Erzeugen Sie in der neuen Software Ihren ersten TOTP-Code und fügen Sie ihn in das Feld „OTP eingeben“ ein. Bestätigen Sie mit „Verifizieren Sie das OTP und fahren Sie fort“.
Soll die Authentifizierung via Authy Desktop gleich gelöscht werden, dann klicken Sie zuerst bei „Zwei-Schritt-Verifizierung“ auf „Deaktivieren“. Danach fügen Sie eine „neue App“ hinzu, wie gerade beschrieben.
Dropbox-Account umziehen
Besuchen Sie die Dropbox-Seite. Loggen Sie sich ein, falls noch nicht geschehen, und klicken Sie oben rechts auf Ihr Profilbild sowie „Einstellungen“. Rufen Sie den Reiter „Sicherheit“ auf und klicken „Bevorzugte Methode“ auf „Bearbeiten“. Wählen Sie „Über eine mobile App“ aus und bestätigen Sie mit „Weiter“. Im folgenden Dialog sehen Sie einen QR-Code, den Sie mit dem Smartphone einscannen.
Klicken Sie dann auf „Geben Sie Ihren geheimen Schlüssel manuell ein“, um den TOTP Seed anzuzeigen. Kopieren Sie ihn in die Zwischenablage und anschließend in das TOTP-Programm, das Sie in Zukunft verwenden wollen.
Paypal-Account umziehen
Auch bei Paypal funktioniert es ähnlich. Besuchen Sie die Webseite des Finanzdienstleisters und loggen Sie sich mit Ihren Zugangsdaten sowie einem noch mit Authy Desktop erzeugten TOTP-Code ein. Klicken Sie dann rechts oben auf das Zahnradsymbol sowie auf „Sicherheit“. Bei „Zweistufige Verifizierung“ klicken Sie auf „Aktualisieren“ und danach zwei Mal auf „Deaktivieren“.
Anschließend sind Sie wieder in der „Sicherheit“-Übersicht. Klicken Sie erneut bei „Zweistufige Verifizierung“ auf „Aktualisieren“. Lassen Sie die Auswahl auf „Authentifizierungs-App verwenden“ und bestätigen Sie mit „Einrichten“. Nun scannen Sie wieder entweder den QR-Code mit einer geeigneten App ein oder kopieren den angezeigten TOTP-Seed in die Zwischenablage.
Tragen Sie diesen Code in Ihrer TOTP-Software ein und erzeugen Sie damit gleich einen neuen Einmal-Code. Diesen fügen Sie auf der Paypal-Webseite ein. Der Dienst schickt Ihnen nun eine SMS mit einem weiteren Code an Ihre früher hinterlegte Handynummer, den Sie ebenfalls auf der Paypal-Webseite eingeben. Damit haben Sie die MFA von Authy Desktop zu einer anderen TOTP-Abwendung umgezogen.
TOTP-Codes in Keepass speichern
Keepass 2.x kann standardmäßig nicht mit TOTP-Codes umgehen. Der Passwortmanager lässt sich aber um verschiedene Plug-ins erweitern, die diese Funktion nachrüsten. Ich nutze KeeTrayTOTP, aber es gibt auch andere.
Plug-ins lassen sich in Keepass relativ leicht integrieren. Man muss sie nur als ZIP-Archiv herunterladen und dann in einen neuen Ordner auspacken. In Keepass 2.x rufen Sie dann „Extras“ sowie „Plugins“ auf. Klicken Sie auf „Ordner öffnen“. Ein Fenster das Dateiexplorers mit dem Plug-in-Ordner von Keepass öffnet sich. Kopieren Sie die „.plgx“-Datei von KeeTrayTOTP in dieses Verzeichnis. Starten Sie den Passwortmanager anschließend neu.
Erstellen Sie dann einen neuen Datenbank-Eintrag in Keepass oder verwenden Sie einen bestehenden Eintrag. Klicken Sie nun in der Übersicht mit der rechten Maustaste auf diesen Eintrag und wählen Sie „Tray TOTP Plugin“ sowie „Setup TOTP“ aus dem Kontextmenü aus.
Der „TOTP Setup Wizard“ öffnet sich. Kopieren Sie den TOTP-Seed von etwa der Amazon-Webseite (siehe oben) in das gleichnamige Feld und speichern Sie die Änderung mit einem Klick auf „Finish“. Anschließend erzeugen Sie gleich einen frischen TOTP-Code durch einen erneuten Rechtsklick auf den Datenbank-Eintrag in Keepass. Wählen Sie diesmal aber „Tray TOTP Plugin“ sowie „Copy TOTP“ aus. Der Einmal-Code befindet sich jetzt in der Zwischenablage, von wo aus Sie ihn an der gewünschten Stelle einfügen können.
