Google Authenticator, wat als je telefoon kwijt/stuk is?

Als het goed is heb je daarom recovery codes gekregen die je los van je mobiel moet bewaren. Door 2FA uit te zetten en weer aan kan je die meestal opnieuw verkrijgen.

[Voor 28% gewijzigd door DukeBox op 17-02-2022 14:50]

Je kunt in GA een recovery QR-code laten genereren en die ergens buiten je mobiel opslaan.

Als alternatief kun je eens kijken naar bijvoorbeeld Microsoft Authenticator of Authy, die hebben beide een back-up functie waardoor je op een nieuwe mobiel alles weer kunt herstellen.

Koppensneller schreef op donderdag 17 februari 2022 @ 14:51:
Je kunt in GA een recovery QR-code laten genereren en die ergens buiten je mobiel opslaan.

Die QR is tijdsgebonden dus daar heb je niet zoveel aan.

De authy app kan je idd wel een backup/sync naar de cloud maken.

[Voor 4% gewijzigd door DukeBox op 17-02-2022 14:54]

Authy biedt backup mogelijkheden. Makkelijk, maar de vraag is of dat je 2FA niet minder veilig maakt. Mocht iemand toegang krijgen tot je google account en dus ook je google backup heeft hij ook de mogelijkheid om de 2fa codes terug te zetten.

Vaak krijg je bij 2FA een backup code of kan je de code opslaan ergens zodat je deze later opnieuw toe kan voegen. Daarnaast kan je vaak bij het inloggen aangeven dat je geen toegang meer hebt tot je 2fa. Mogelijk moet je dan middels een verificatie aan kunnen geven dat jij de persoon bent die eigenaar is van het account.

Voor iOS/iPadOS gebruik ik OTP Auth. Ontwikkeld door een Nederlander, en synchroniseert je codes over al je iOS/iPadOS devices.

Je hebt recovery codes en meestal nog een extra manier (vaak sms of e-mail)

EKorvemaker schreef op donderdag 17 februari 2022 @ 15:35:
Volgens mij snappen jullie mijn probleem niet. Ik heb alleen de GA app. Verder niets! Deze is voor mij van levensbelang. Hoe kom ik aan een backup code of wat dan ook. Enige wat ik in de app kan doen is mijn account exporteren en importeren. Mijn google account nogmaals staat niets over 2fa. Wat te doen jongens?

Ik beken het, ik snap het probleem niet.

Staat 2FA wel aan in jouw account? Zo nee, zet ze dan aan. Ik ken geen andere verklaring waarom het niet in jouw account zou staan.

Zoals de Help meldt:

Create & find a set of backup codes
To store your backup codes somewhere safe, you can print a copy of your backup codes.
Go to your Google Account.
On the left, click Security.
Under "Signing in to Google," click 2-Step Verification. You may need to sign in.
Under "Backup codes," click Continue .
From here you can:
Get backup codes: To add backup codes, click Get backup codes.
Create a new set of backup codes and inactivate old ones: To create new codes, click Refresh .
Delete your backup codes: To delete and automatically inactivate your backup codes, click Delete Delete .
Download your backup codes: Click Download Codes .
Print your backup codes: Click Print .
Tips:
If you think your backup codes were stolen or you run out of codes, create a new set. To create a new set of codes, click Refresh .
When you create new codes, your old set automatically becomes inactive.

EKorvemaker schreef op donderdag 17 februari 2022 @ 15:35:
Volgens mij snappen jullie mijn probleem niet. Ik heb alleen de GA app. Verder niets! Deze is voor mij van levensbelang. Hoe kom ik aan een backup code of wat dan ook. Enige wat ik in de app kan doen is mijn account exporteren en importeren. Mijn google account nogmaals staat niets over 2fa. Wat te doen jongens?

Het lijkt dat je op zoek bent naar een soort master backup code voor de GA app, maar die bestaat niet.
De afzonderlijke accounts binnen GA hebben wel backup-codes, te vinden op de betreffende websites.
Als je je mobiel kwijt bent, heb je inderdaad een probleem.

EKorvemaker schreef op donderdag 17 februari 2022 @ 15:35:
Volgens mij snappen jullie mijn probleem niet. Ik heb alleen de GA app. Verder niets! Deze is voor mij van levensbelang. Hoe kom ik aan een backup code of wat dan ook. Enige wat ik in de app kan doen is mijn account exporteren en importeren. Mijn google account nogmaals staat niets over 2fa. Wat te doen jongens?

Een backup maak je niet in die app, maar in de dienst waar je inlogt, facebook, google, epic etc. Dat kan een code zijn of een andere manier van inloggen.

Vraag aan jullie is nu: Hoe kan ik mijn back up code terugkrijgen? En kan ik op meerdere apparaten GA overzetten. Van Andriod ook naar Apple...? Of krijg ik dan problemen.

Ga voor elke dienst die nu in Google Authenticator staat terug naar hun website. Schakel 2FA uit en schakel het daarna weer in en sla deze keer de back-up code wel op. Je zult dus elke websites even opnieuw moeten toevoegen aan Google Authenticator.

Het het dus voorkomen dat je huidige telefoon kwijt/kapot raakt heb je die back-ups codes van elke dienst waarmee je toch kunt inloggen. Denk hierbij dan ook aan een recovery plan! Hoe ga je te werkt als je niet meer bij je Google Authenticator app kunt. Behandel deze back-up codes dus als curciale data en backup deze volgens de 321 methode: 3 kopieen, 2 verschillende media, 1 offline buiten de deur.

Persoonlijk heb ik deze codes op een fysieke harde schijf en encrypted in cloud opslag. Daarnaast heb alles wat nodig is om toegang te krijgen tot mijn password manager en cloud backup veilig buiten de deur opgeslagen.

Ik gebruikte zelf FreeOTP maar die laat (tenzij je via ADB of met root-rechten werkt) geen backup toe. Momenteel gebruik ik Aegis (open source, en - voor wie dat belangrijk vindt - ook door een Nederlander ontwikkeld ). Die laat backups toe, al dan niet versleuteld.

Als je zo'n authenticator gebruikt heb je je single point of failure toch al afgevangen. Dat, en niet roekeloos die recovery codes negeren maar die ergens (apart!) opslaan.

Euhm nee... Je krijgt tien backupcodes voor je Google-account. Heeft niks te maken met je authenticator app, alleen met je 2FA op je Google account.

EKorvemaker schreef op donderdag 17 februari 2022 @ 16:31:
maar ik ben dus heel erg bang als ik nu naar mijn Google Account ga en ik ga 2FA opeens aanzetten dat ik dan mijn huidige diensten in de GA app kwijt ben.

Die Google Authenticator app staat volledig los avn de diensten die je bij Google afneemt. Je kunt de Google Authenticator app gebruiken zonder ook ooit maar een Google account te hebben aangeraakt bij wijze van spreken.

Je zult voor iedere applicatie die je erin hebt staan een backup moeten regelen. Ofwel door middel van een backup telefoonnummer, recoverycodes. Dit heb je nu enkel gedaanv oor je Google account, dat is zeker niet genoeg.

EKorvemaker schreef op donderdag 17 februari 2022 @ 16:42:
Oooohhh... maar hoe krijg ik die dan voor mijn authenticator app? Maar GA is toch gekoppeld aan mijn Google account?

Nope, die staan volledig los van elkaar. En er is dus geen recoverycode voor de authenticator app zelf.

[Voor 19% gewijzigd door TERW_DAN op 17-02-2022 16:46]

Wat @TERW_DAN zegt. Voor elke service in GA, zou je backup codes moeten hebben.

Als je die niet hebt, zou je moeten kijken, of je een alternatief hebt voor die diensten, om zonder F2A in te loggen (verficatie naar telefoonnummer), en dan in de service F2A uitschakelen, inschakelen, en gelijk backup codes voor die service ergens bewaren.

bv. ik gebruik GA voor Fifa en voor Bitwarden. Voor deze 2 diensten heb ik 2 aparte backup codes die ik beide offline/irl heb opgeslagen.

EKorvemaker schreef op donderdag 17 februari 2022 @ 16:50:
Okee bedankt

laatste vraag. Ik heb nu op 2 toestellen de authenticator app staan...

Op hoeveel meer kan ik de app nog zetten? dan zet ik de app op nog een tablet en/of telefoon ter extra veiligheid voor mijzelf. Verstop ik die ergens goed. Heb ik altijd een fysieke backup van GA

Zoveel als je wilt.

TOTP is een vrij simpel protocol. Je duwt er een secret in, en er komt iedere 30 seconde een code uit. Meer heb je er niet voor nodig. Het werkt zonder internetverbinding, dus je kunt nergens zien of die code nu 1 of 100 keer is gescand.

Mijn advies zou sowieso zijn, als je zo bang bent om dit kwijt te raken, iets te pakken dat synchroniseert. Google Authenticator werkt op zich prima, maar is basic. Zelf gebruik ik de LastPass authenticator die synct naar m'n LastPass account (omdat ik toevallig een LP Enterprise heb), maar Authy kan het volgens mij ook, en er zijn er vast nog veel meer. Dan hoef je je ook niet druk te maken of al je apparaten wel alles bevatten en allemaal up to date zijn.

Je kunt de daadwerkelijke secrets exporteren uit google authenticator met de overzet functie.

Dit stuk python zet de grote allesbevattende qr code om in de losse secrets (en qr code).

https://github.com/scito/extract_otp_secret_keys

Geen dingen doen met backups, dat gaat compleet tegen het principe in.
Beste is een applicatie wat gelocked is aan je device, waar geen backup bij mogelijk is.

Je totp codes sla je vooraf zelf elders op.
Dus bij het toevoegen, gelijk je eigen backup maken op bv papier, of invoeren in een tweede (of zelfs derde) offline telefoon.

Ik heb 2 offline telefoons waar ik ook alle totp secrets aan toegevoegd heb
En een lijst van alle totp codes offline zodat ik ze zelf aan een andere tool kan toevoegen.

Krijg je een QR getoont, dan kan je die printen.
Vaak wordt het secret ook textueel getoont, die kan je dan makkelijk opslaan in een eigen vault naar keuze.

Je kan bv in 1Password, LastPass, Bitwarden, Keepass etc deze makkelijk toevoegen

Voorbeeld:
otpauth://totp/Tweakers:@MijnAccount?secret=A1ABVCD4353FGFGF&issuer=Tweakers.net

Zelfs sla ik ze op in gpg encrypted vaults en gebruik pass icm pass-otp (linux)

Dit moet je wel vooraf bedenken, en uitvoeren
Achteraf uitlezen uit een app moet je niet willen.

Heb je dus niks aan achteraf, maar wellicht brengt dit anderen toch op goede ideeen

Pak er volgende keer iig een tweede, oude offline smartphone bij waar je ze gelijktijdig ook aan toevoegd

En als je nog netjes toegang hebt, dan kan je nu overal inloggen, 2FA uitschakelen en weer toevoegen waarbij je bovenstaande stappen naar eigen inzicht uitvoert om vooraf voor backups te zorgen.

Een oplossing die je kan kiezen is het gebruik van Microsoft Authenticator en daar een backup op inschakelen. Uiteraard is dat account dan heel gevoelig. Die kun je dan weer beveiligen met een hardware key (geen andere opties toestaan). Van die hardware key bewaar je in ieder geval minimaal 1 backup op een veilige locatie.

Resultaat, 1 account dat door een aanvaller niet over te nemen is. Ben je je telefoon kwijt, dan download je de app, log je in met de hardware sleutel en heb je al je TOTP codes weer terug.

Het is inderdaad een interessant probleem en ik denk dat je niet de enige bent die hier niet volledig in mee is.
Er zijn password managers die je toelaten om de TOTP secrets op te slaan maar imo is dat geen goed idee. Je kan dan via je password manager 2-fa codes maken maar tegelijkertijd betekent dat ook dat je effectief geen extra veiligheid meer hebt: als iemand je wachtwoord van je password manager achterhaalt dan kan je overal binnen zonder het op je telefoon te bevestigen.

Ikzelf gebruik voor dit probleem Authy, dat is een (gratis) alternatief voor je Google Authenticator. Het doet exact hetzelfde, maar je 2-fa secrets staan in de cloud, encrypted met een master password. Als je je toestel kwijt bent kan je via een meerdaagse procedure via SMS toch weer inloggen op een nieuw toestel, wel met hetzelfde telefoonnummer. Je moet dan meerdere keren een code bevestigen die je toegestuurd krijgt. Imo een goeie balans tussen veiligheid en gemak, de kans dat iemand je authy op die manier ontfrutselt is klein tenzij het echt om een direct persoonlijke aanval gaat.

Cheesy schreef op donderdag 17 februari 2022 @ 16:10:
Het lijkt dat je op zoek bent naar een soort master backup code voor de GA app, maar die bestaat niet.

Die bestaat wel. Vroeger was dat er niet, tegenwoordig wel.

Zie ook: jeroen3 in "Google Authenticator, wat als je telefoon kwijt/stuk is?"

Je kunt alle secrets exporteren als één QR, en ze vervolgens in een andere (oude, ongebruikte?) telefoon laden. Omdat je die QR natuurlijk ook kunt scannen met niet-Google Authenticator kun je 'm desgewenst ook prnten.

Skwydor schreef op donderdag 17 februari 2022 @ 18:49:
Beste is een applicatie wat gelocked is aan je device, waar geen backup bij mogelijk is.

[...]

Je kan bv in 1Password, LastPass, Bitwarden, Keepass etc deze makkelijk toevoegen

Aan de ene kant ageer je voor een app zonder backupmogelijkheid, maar vervolgens suggereer je wel om de secrets in je password manager op te slaan. Dat lijkt me tegenstrijdig?

Als je ze in je password manager opslaat bij je wachtwoorden en haal je m.i. 2FA onderuit. Zolang ze op een mobiel toestel staan (liefst zónder password manager) of geprint op een papiertje zijn ze daarentegen mooi gescheiden.

En over die apps met backup: probeer de exportfunctionaliteit van Google Authenticator maar eens. Ik denk dat zij een goede balans hebben gevonden tussen praktische bruikbaarheid (vroeger kon je geen backups maken en daar werd veelvuldig over geklaagd) en veiligheid (iemand kan niet ongemerkt je codes stelen als hij een minuutje je telefoon in handen heeft).

En als je bij dat laatste denkt: hoezo niet? Probeer het eens, ze hebben dat echt slim geïmplementeerd

DukeBox schreef op donderdag 17 februari 2022 @ 14:53:
[...]

Die QR is tijdsgebonden dus daar heb je niet zoveel aan.

De authy app kan je idd wel een backup/sync naar de cloud maken.

Volgens mij klopt je info niet. Voor de duidelijkheid in deze thread is het denk ik wel handig als je iets van een bron toevoegt. Van wat ik kan terugvinden hierover, kun je de QR code namelijk wel degelijk opslaan en op een later moment vanaf een andere telefoon importeren in een lege Google Authenticator app.

amx schreef op zaterdag 19 februari 2022 @ 22:37:
Volgens mij klopt je info niet. Voor de duidelijkheid in deze thread is het denk ik wel handig als je iets van een bron toevoegt.

De bron is mijn eigen ervaring. De QR is ongeveer 3 minuten geldig.

DukeBox schreef op zondag 20 februari 2022 @ 00:03:
[...]

De bron is mijn eigen ervaring. De QR is ongeveer 3 minuten geldig.

Dat kan in theorie. Als de applicatie de code laat vervallen als die niet binnen 3 minuten is bevestigd. Dan kun je 'm maar tijdelijk gebruiken.

Maar in alle andere gevallen kun je die QR code gewoon opslaan. Anders zouden de one time passwords uit je authenticator app ook niet werken.

Dus als je de code hebt opgeslagen en bevestigd in je authenticator. Dan kun je prima de QRcode opslaan als backup.