Hi

Hat einer eine idee wie ich die Schlüssel aus dem Google Auth ohne die Möglichkeit den QR-Code direkt abzuscannen aus dem alten Handy bekomme?

Ich hab bestimmt 30 2fa codes da drin und bekomm nicht mal alle welchen Webseite und Programme im kopf zusammen ;(


Screenshots sind nicht möglich
Bildschirmaufzeichnung auch nicht
das Pixel bietet keine Möglichkeit für direkten usb-c->hdmi
um letzteres zu umgehen hab ich mir ein usb-c dock mit Displaylink gekauft, was leider nicht hilft da auch damit die "geblockten" Apps nicht angezeigt werden
zugriff über Anydesk führt zum selben Ergebniss


kann man die Sicherheitsschlüssel manuell exportieren?

hat vielleicht jemand ein pixel und kann versuchen ob die Apps mit Chromecast übertragen werden?

besten Dank schon mal!

Die einzige, mir bekannte, Möglichkeit wäre noch wenn du USB Debugging aktiviert hast. Denn dann müsstest du den Screen über ADB rüberholen können. Aber wenn du Pech hast dann verhält sich das ähnlich dem Probem wie über das usb-c Dock.

die dev-options sind offen und ich könnte mich sicher zum usb-debugging durchhangeln. hab ja auch anydesk ohne bildschirm zum laufen gebracht. war gar nicht so einfach an die id zu kommen.

hast du vielleicht nen link zu nem guide wie man sich den bildschirminhalt via adb ziehen kann?

edit: usb debugging lies sich einfach über anydesk aktivieren. hab auch schon nen guide gefunden. mal schaun ob das klappt. danke auf jeden fall schon mal!

scrcpy sollte dir helfen können. Damit kann man imho alles übertragen.

scrcpy sollte dir helfen können. Damit kann man imho alles übertragen.
hab ich direkt mal getestet. funktioniert wunderbar. hat aber auch leider obige einschränkungen.

sprich google auth, banking apps, etc. zeigen nur einen schwarzen bildschirm. selbst die pineingabe im lockscreen wird ausgeblendet.

wäre zu schön gewesen. ist aber ein suber cooles tool.

hat aber früher wohl problemlos funktioniert: https://www.androidpolice.com/how-to-take-a-screenshot-in-android-when-an-app-doesnt-want-you-to/. android 12 hat da wohl einen riegel vorgeschoben. man kann wohl rooten und dann die app daran hindern FLAG_SECURE zu setzen. dazu muss man nen patch erstellen und den per magisk laden. ohhh man.

adb exec-out screencap > xyz.png

funktioniert leider auch nicht. auf dem homescreen wird der screenshot einwandfrei erstellt. ist google auth offen ist die dateigröße nach dem erstellen 0 kb.

sehr schade.

vielleicht hat noch jemand eine idee.

Holy shit:

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

https://twitter.com/mysk_co/status/1651021165727477763?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1651021 165727477763%7Ctwgr%5Ea3356da9eb5c208d5cca32e9cf74ec0c102eaa88%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.redditmedia.com%2Fmediaembed%2F130dhcc%3Fresponsive%3D trueis_nightmode%3Dtrue

Hab das Update auf GA 6 über APKmirror gezogen und mit scrcpy auf meinem alten handy installiert. Der Sync hat sofort funktioniert. Obiges ist natürlich eigentlich ein Supergau und ich werd die 2FA auch in eine andere App umziehen.

...
hast du vielleicht nen link zu nem guide wie man sich den bildschirminhalt via adb ziehen kann?...
moin,
das hier hab ich noch in den favs gehabt: https://forum.xda-developers.com/t/tool-windows-control-a-device-with-a-broken-screen-now-with-touchscreen-support.2786395/
Good luck ;)

moin,
das hier hab ich noch in den favs gehabt: https://forum.xda-developers.com/t/tool-windows-control-a-device-with-a-broken-screen-now-with-touchscreen-support.2786395/
Good luck ;)
Hab ich, auch wenn ich die 2fa Tokens durch das Update des gauth schon wieder hatte, auch noch getestet. Auch hier wird der flag_secure respektiert. Ich bezweifle, dass sich das ab Android 12 ohne root umgehen lässt.

Ich hab verdammtes Glück gehabt, dass ausgerechnet zum Defekt meines Gerätes ein Update mit Sync für den Authentificator raus kam. Deshalb lege ich jedem ans Herz für ein Backup seiner 2fa Tokens zu sorgen.

Ich werde/habe auf aegis gewechselt.

Gründe:

Multidevice support
Offline oder Cloud Backup
Verschlüsselte Backups
Sync wenn gewünscht
FOSS


https://github.com/beemdevelopment/Aegis

@ganjabob: danke auf jeden Fall für deinen Input!

Grundsätzlich sollten die meisten Dienste ja Alternativen für 2FA TOTP anbieten für genau solche Fälle. Beliebt sind solche statischen Recovery Codes, die man sich ausdrucken kann. Machen natürlich viele Dienste nicht und wenn man sich nicht durch die Recovery-Prozesse hangeln will, wenn man sein Gerät verliert, bleibt einem tatsächlich nicht viel übrig als die TOTP Secrets anderweitig zu sichern.

Dass Google jetzt standardmäßig einen unverschlüsselten Sync der TOTP Secrets anbietet, ist tatsächlich suboptimal. Wenn man seinen Google Account richtig absichert, ist es vermutlich weniger schlimm als es sich anhört. Warum sie das Feature aber so in der Form gelauncht haben, ohne wenigstens eine optionale Verschlüsselung der Secrets anzubieten, ist für mich nicht so ganz nachvollziehbar. Für ihren in Chrome integrierten Passwortmanager bieten sie das wohlgemerkt an.

Ich meine aber auch irgendwo gelesen zu haben, dass das Feature noch kommen soll. Leider ein bisschen zu spät.

Find ich auch komisch. Vor allem wird das Zeug auch noch ohne encryption über den äther geschickt. Bricht halt die komplette Kette der Sicherheit für die 2fa sorgen soll.

Für das meiste Zeug hab ich recovery codes oder zumindest noch einen zweiten Faktor angelegt. Manche Sachen bieten das aber wir du sagst erst gar nicht an.

Eigentlich wollte ich seit Ewigkeiten weg von gauth. Fand es immer schon komisch, dass die Codes einfach, ohne vorherigen GE Freigabe durch Password oder Biometrie, direkt angezeigt werden. Hab's eben nach immer auf die lange Bank geschoben, weil der Export so ein pain in the ass war. Naja aus Fehlern lernt man. Diesmal durch Glück nicht auf die ganz harte Weise.

Was mich auf Android aber tierisch annervt gerade ist, dass Chrome nicht auf die Passwörter des Android/Google Passwordmanagers zugreift. Chrome mobile legt seine Passwörter noch Mal extra ab. Die kann man zwar exportieren. Aber nicht importieren. Völlig bescheuert. In manchen Formularen für User credentials kann Mann dann auf den Android PW-Manger zugreifen, in anderen nicht. Keine Ahnung warum.

Dienstseite

So finde ich das Dienstseitig schon ganz gut gelöst:
83744
Ich kann mehrere zweite Faktoren hinzufügen. Geht einer kaputt, kann ich ausweichen. Leider ist das kein Standard.
Warum ich dort nicht mehrere Authentifizierungs-Apps hinzufügen kann, erschließt sich mir allerdings wieder nicht.

Wenn ich Dienstseitig nicht mehrere 2FA-Mechanismen hinterlegen kann, benötige ich wenigstens auf der Generatorseite einen Fallback.

Generatorseite

In der Firma ist seit Jahren Standard, dass man eine App auf dem Handy registrieren kann und eine auf dem Laptop. Das ist schon ok. Geht eins kaputt oder geht verloren, hat man noch den zweiten OTP-Generator.

Aus dem gleichen Grunde verwende ich seit langem Authy. Dort kann ich auch eine App auf dem Handy verwenden und alternativ eine Anwendung auf dem Rechner.

Aegis ist wieder nur Android, Linux "Authenticator" ist nur Linux. Die meisten haben doch ein Handy und einen Rechner. Es bietet sich an, dass Eine als Fallback des Anderen zu verwenden. Das kriege ich damit aber nicht hin, oder? Eine FOSS Lösung wäre schon schön.

Was Google da macht verstehe ich nicht. Die generierten Schlüssel werden ins Konto gesynct oder wie? Dann habe ich doch immer noch das Problem, dass ich bei einem kaputten Gerät nicht mehr weiter komme.

In der Firma ist seit Jahren Standard, dass man eine App auf dem Handy registrieren kann und eine auf dem Laptop. Das ist schon ok. Geht eins kaputt oder geht verloren, hat man noch den zweiten OTP-Generator.

Aus dem gleichen Grunde verwende ich seit langem Authy. Dort kann ich auch eine App auf dem Handy verwenden und alternativ eine Anwendung auf dem Rechner.

Wobei das den Sinn hinter 2FA wieder ein bisschen in Frage stellt. Der zweite Faktor sollte ja irgendwie getrennt verfügbar sein. Ansonsten könnte man TOTP auch in seinen Passwortmanager integrieren (was viele Passwortmanager auch anbieten).

Aber wozu dann der ganze Aufwand, wenn man den zweiten Faktor sowieso nur neben seinen Passwörtern lagert? Damit hat man dann nichts gewonnen.

Man muss sich eben fragen, was man erreichen will. Für mich hört sich das so an, als ob das 2FA in eurer Firma dazu verwendet wird um Credential Stuffing zu verhindern. Im Sinne von: Dein Arbeitgeber traut dir nicht zu Passwörter nicht wiederzuverwenden. 2FA (oder generell MFA) ist aber kein geeignetes Mittel um Credential Stuffing zu verhindern.

Was Google da macht verstehe ich nicht. Die generierten Schlüssel werden ins Konto gesynct oder wie? Dann habe ich doch immer noch das Problem, dass ich bei einem kaputten Gerät nicht mehr weiter komme.

Google bietet mehrere Alternativen zu TOTP an. Z.B. WebAuthn, Push-Nachrichten auf anderen Geräten, SMS etc. Wenn man nur TOTP verwendet, hat man natürlich ein Problem.

Ich glaub bei Google hab ich 6 Wege für Totp hinterlegt. Nur zur Sicherheit.

Hatte auch überlegt meine totps bei keypass im jeweiligen Konto zu hinterlegen. Kam aber zum selben Schluss wie lumines. Macht nicht wirklich Sinn den Totp direkt neben dem Passwort zu lagern.

Wobei das den Sinn hinter 2FA wieder ein bisschen in Frage stellt. Der zweite Faktor sollte ja irgendwie getrennt verfügbar sein. Ansonsten könnte man TOTP auch in seinen Passwortmanager integrieren (was viele Passwortmanager auch anbieten).

Aber wozu dann der ganze Aufwand, wenn man den zweiten Faktor sowieso nur neben seinen Passwörtern lagert? Damit hat man dann nichts gewonnen.

Man muss sich eben fragen, was man erreichen will. Für mich hört sich das so an, als ob das 2FA in eurer Firma dazu verwendet wird um Credential Stuffing zu verhindern. Im Sinne von: Dein Arbeitgeber traut dir nicht zu Passwörter nicht wiederzuverwenden. 2FA (oder generell MFA) ist aber kein geeignetes Mittel um Credential Stuffing zu verhindern.

Sehe ich genauso.

Ich benutze 1Password wo ich auch TOTPs hinterlegen könnte. Mache ich aber nicht. Für TOTP verwende ich Authy, um eben genau die Trennung zu haben.

In der Firma verwende ich ebenfalls 1Password (1. Faktor Passwort) plus das Firmeneigene TOTP-Tool (2. Faktor TOTP). Das dieses auf zwei Geräten installiert/freigegeben werden kann, dient der Ausfallsicherheit. Geht ein Gerät verloren oder ist defekt, habe ich noch ein zweites.

Welche Anwendung jetzt welche Verfahren in welcher Kombination einsetzt ist nochmal unterschiedlich. Es gibt dann eben auch genau den Fall, den du genannt hast, dass 1 Faktor per TOTP-Tool ausreichend ist. Dann ist aber vorher bereits eine gerätegegebundene 2-Faktor Freischaltung passiert. Also die Anwendung wird einmalig auf dem Gerät mit 2 Faktoren (Passwort, TOTP) freigeschaltet. Dann kann per TOTP-Only z.B. biometrisch freigegeben werden, um Credential Stuffing entgegenzuwirken. Das ist für mein Empfinden stimmig.

Aber ich checke nicht, wie das mit dem Google Authenticator, bei Ausfall des Geräts funktionieren soll. Also genau der Fall dieses Threads. Ist mein Handy defekt - so wie bei Tangletingle - habe ich welche Optionen, um mich weiterhin mit zwei Faktoren authentifizieren zu können? Nach meinem bisherigen Verständnis gar keine.

Mir ist nicht klar, was der neuerdings mögliche Sync in das Googlekonto daran ändert. Ist das jetzt genauso wie bei Authy, welches eine verschlüsselte Synchronisation der privaten Keys zwischen registrierten Geräten ermöglicht?


Google bietet mehrere Alternativen zu TOTP an. Z.B. WebAuthn, Push-Nachrichten auf anderen Geräten, SMS etc. Wenn man nur TOTP verwendet, hat man natürlich ein Problem.
Man benötigt ja eigentlich nicht unbedingt viele Verfahren. Im Grunde reicht ein sicheres Verfahren. Ggf. die Kombination zweier Verfahren, um ein sichereres Verfahren zu erzeugen.

Was ich aber völlig unabhängig von der Verfahrensfrage zwingend brauche sind Ersatzschlüssel. Und das ist mir ein totales Rätsel, wie das mit dem Google Authenticator funktionieren soll. Authy löst das Problem, durch verschlüsselte Synchronisation zwischen zwei Geräten. Was auch gewisse Nachteile hat. Was aber den Vorteil hat, dass man sich nicht so schnell selbst aussperren kann.