Google Authenticator App funktioniert nicht

[imebro]

Hallo liebe Foren-User,

ich habe ein Problem mit meiner Authenticater App von Google.
Bin mir nicht sicher, ob ich hier richtig bin. Aber es hat ja mit Sicherheit zu tun, da 2FA.

Es gibt folgendes Problem:
Ich habe diese App seit Jahren in Benutzung.
Nun hatte ich mein Handy getauscht und sie auch über die Exportfunktion korrekt auf das neue Handy exportiert.

Eben wollte ich eine neue Bank-App einrichten.
Dazu wurde eine 2FA benötigt.
Ich musste zunächst in der Bank-App einen dort angezeigten Code kopieren (wahrsch. um zu zeigen, dass ich es persönlich bin...).
Danach sollte ich in einem neuen Fenster den 6-stelligen Code aus der Authenticator App einkopieren.

War alles easy und ich habe ja 30 Sekunden Zeit, was definitiv genug ist.
Aber ich erhielt ständig den Hinweis in der Bank-App "wrong code..." (oder so ähnlich).

Das habe ich 5 Mal oder öfters versucht... immer ohne Erfolg.

**ABER:**
Dann meinte ein Freund, mit dem ich gerade er WhatsApp gechattet habe, dass er es ja mal mit seiner Authenticator App versuchen kann.
Das hat er gemacht... mir den Code in WhatsApp gepostet... ich habe ihn kopiert und in der Bank-App eingefügt.

Und - siehe da - hat funktioniert ;-)

Aber ich frage mich jetzt, wieso das funktioniert hat mit einem quasi fremden Authenticater-Code und nicht mit meinem?
Und... eben kam mir der Gedanke... hab ich jetzt ggf. sogar im Namen des Freundes die 2FA bestätigt?

Würde mich über Eure Hilfe freuen.

Grüße von
imebro

 

[martinfd]

Ich musste zunächst in der Bank-App einen dort angezeigten Code kopieren (wahrsch. um zu zeigen, dass ich es persönlich bin...).
Danach sollte ich in einem neuen Fenster den 6-stelligen Code aus der Authenticator App einkopieren.

Ich kenne es eigentlich so, dass man mit der Authenticator-App einen QR-Code auf der Seite, für die man die 2FA einrichten will, scant ...

Andere Frage: Funktionieren denn nach dem Übertragen auf das neue Handy die Codes auf anderen Seiten noch?

 

[Skyhigh]

Wie ist deine Uhr eingestellt? Stimmt die Zeit?
Ich vermute das da was nicht stimmt, dann wird dir ein Code zu früh oder einer zu spät angezeigt.

Andere Frage: Funktionieren denn nach dem Übertragen auf das neue Handy die Codes auf anderen Seiten noch

Ja. Und das würde ich als Ansatzpunkt nehmen.
Wenn das alte Smartphone nicht defekt ist, Leg sie Mal nebeneinander. Kontrolliere was dir die Codes so anzeigen.


Die Sache mit der Banking App wundert mich jedoch. Wenn schon 2FA besteht, brauchst du doch keinen neuen Code einzuscannen bzw 2FA neu zu generieren?

 

[martinfd]

Die Sache mit der Banking App wundert mich jedoch. Wenn schon 2FA besteht, brauchst du doch keinen neuen Code einzuscannen bzw 2FA neu zu generieren?

... vielleicht doch:

Eben wollte ich eine neue Bank-App einrichten.

 

[Skyhigh]

Eine neue Bank App... Aber für deren Login brauchst du doch den bereits bei der Bank vorhandenen Code oder?
Hat diese App ein separates Login und läuft Cloudbasiert?


Achso zu dem "Code Kopieren" damit ist wahrscheinlich der Secret Token Gemeint, welchen man vielmals auch komfortabel per QR Code scannen kann. Ist aber nicht zwingend notwendig wenn er im Reintext vorliegt

 

[martinfd]

stimmt auch wieder ...

 

[imebro]

super lieben Dank für Eure Hilfe.
Ich kapiere es ja auch nicht.
Habe die Uhr nochmal synchronisieren lassen.
Aber ich weiß gerade nicht, mit welcher App ich die Google Auth. App testen könnte.
Kann man die irgendwie sonst testen?

Und... darf das überhaupt so sein, dass ich mit einem 6-stelligen Code aus einer fremden Authenticator App (also über ein fremdes Google-Konto) meine Bank-App verifizieren kann?

Hmmm... der Freund könnte aber jetzt nicht immer wieder meine Bankgeschäfte verifizieren über 2FA... oder?

Grüße,
imebro

 

[martinfd]

Aber ich weiß gerade nicht, mit welcher App ich die Google Auth. App testen könnte.
Kann man die irgendwie sonst testen?

Du siehst doch in der Auth-App direkt, für welche Anbieter Du die 2FA eingerichtet hast ...

Hmmm... der Freund könnte aber jetzt nicht immer wieder meine Bankgeschäfte verifizieren über 2FA... oder?

Solange Du ihm nicht den ersten Faktor (Username & Passwort) der 2FA gesagt hast, kann er sich ja nicht bei Deiner Bank einloggen ...

 

[Skyhigh]

Kann man die irgendwie sonst testen?

Wenn du PayPal/Amazon hast, könntest du dort Mal 2FA aktivieren, dann den QR scannen und schauen ob die App an sich funktioniert.

Eine irrelevante App, wäre z.B Discord. Die unterstützen auch 2FA. Einen Account hat man in Sekunden angelegt und falls man sich davon ausschließen sollte, wäre es ja nicht wichtig.

Und... darf das überhaupt so sein, dass ich mit einem 6-stelligen Code aus einer fremden Authenticator App (also über ein fremdes Google-Konto) meine Bank-App verifizieren kann?

Das macht mich stutzig.
Also bei meiner Bank gibt's nur Tan Generator als zweiter Faktor. Diese aber in verschiedenen Ausführungen mit verschiedenen Sicherheitsstufen.
Ich wäre an deiner Stelle vorsichtig.

Hmmm... der Freund könnte aber jetzt nicht immer wieder meine Bankgeschäfte verifizieren über 2FA... oder?

Genau so ist es.
Wenn er jetzt an die Login Daten kommt und du zum überweisen nur den 2FA Code brauchst, könnte er verifizieren, wenn er den Code in seiner authenticator App behält. Ich weiß z.B das meine Freunde sowas nicht tun würden. Aber deine bedenken sind berechtigt.
Da du ihn jedoch zu vertrauen scheinst, sonst hättest du ihm den Code nicht gesendet, bitte ihn doch einfach diesen wieder zu löschen, wenn du das Problem behoben hast.

Wenn du jedoch auch einen Tan Generator oder ähnliches brauchst dann könnte er sich maximal einloggen und deine Kontostände begutachten

 

[imebro]

sorry, aber auch wenn es jetzt blöde klingt.
Wo sehe ich denn in meiner Auth-App, für welche Anbieter ich die 2FA eingerichtet habe?

Beiträge automatisch zusammengeführt: 19.06.2022

@Skyhigh
dieser erste Code aus der Bank-App, den ich ja kopieren musste (offenbar um zu zeigen, dass ich es persönlich bin), der hat sich auch immer wieder geändert. Wenn der Freund diesen also hätte, würde ihm das doch auch nichts bringen... denke ich...
Er müsste also mein Login inkl. Passwort haben - richtig?

Grüße,
imebro

 

[martinfd]

sorry, aber auch wenn es jetzt blöde klingt.
Wo sehe ich denn in meiner Auth-App, für welche Anbieter ich die 2FA eingerichtet habe?

Wenn Du die App öffnest, siehst Du eine Liste, die z.B. so aussieht (das Bild ist bei Two-Factor Authentication with Node.js geliehen):

Er müsste also mein Login inkl. Passwort haben - richtig?

Solange Du ihm das nie gesagt hast, kann nichts passieren

 

[Skyhigh]

Ich kenne den genauen Zusammenhang der Codes nicht.
Und da du dir nicht sicher bist für was der Code war, kann ich dir da keine entgültige Antwort darauf geben was dein Freund mit dem Code anfangen kann.
Fakt ist, 2FA heißt ja 2Faktor Authentifizierung:
Der erste Faktor ist Username&Passwort der zweite Faktor ist der Code.
Dementsprechend braucht man beides für einen erfolgreichen Login


@martinfd
Der Name des Dienstes wird aber vom QR Code übergeben. Wenn man den Code manuell kopiert und eingibt, definiert man den Namen selbst. Zumindest kenne ich das so.

 

[imebro]

also wenn ich meine Google Authenticator App öffne, sehe ich nur folgendes (Screenshot geht aus Sicherheitsgründen nicht):
- ganz oben "Google Authenticator"
- darunter "Google (meine@google-mail-adresse)
- darunter in fett blau "Click to reveal PIN" und rechts daneben der runde Kreis, der 30 Sekunden lang läuft
Mehr nicht!!! Das war aber auf meinem alten Phone genauso. Dort habe ich das Konto jedoch jetzt gelöscht. Aber vielleicht geht es ja dadurch jetzt auch.

 

[martinfd]

Das hört sich für mich so an, als wäre die App noch für überhaupt kein Konto aktiv ...

Dort habe ich das Konto jedoch jetzt gelöscht. Aber vielleicht geht es ja dadurch jetzt auch.

Welches Konto hast Du wo gelöscht?

 

[imebro]

ich habe es einfach in der Auth-App des alten Phones entfernt.
Im neuen Phone hat sich dadurch aber nichts verändert.

Habe mir eben mal in meinem Google-Konto unter "Sicherheit" die Einstellungen angesehen.
Dort ist...
1) 2FA aktiviert
2) das neue Phone korrekt hinterlegt.

Tja... ich kapiere es einfach nicht.

 

[martinfd]

Vielleicht versuchst Du mal, die 2FA für Deine Bank am PC zu konfigurieren ...?!

 

[imebro]

leider läuft diese nur auf einem Smartphone.
Ich denke, ich müßte mal irgendwie testen, ob die Auth-App jetzt funktioniert, nachdem ich die Zeit synchronisiert habe und nachdem ich das Konto auf dem ALTEN Phone entfernt habe.

In meinem Google-Konto wird ja alles korrekt angezeigt (2FA aktiv und mein neues Phone ist hinterlegt).

Grüße,
imebro

 

[Skyhigh]

Konto auf dem ALTEN Phone entfernt habe.

Das hat damit nichts zu tun. Die Auth App läuft voll Lokal und synchronisiert sich nicht über das Netz.
ich hab sie auf 3 Geräten drauf mit dem selben Software und Keys stand. läuft auf allen 3 identisch.


möglicherweise sagst du uns mal, um welche BankingApp es sich handelt. ggf klärt das ein paar offene Fragen

 

[imebro]

Hallo nochmal,

Du hast Recht @Skyhigh Vielleicht habe ich es mit Banking-App auch blöde ausgedrückt.
Es geht um die Erstellung eines Kontos bei Crypto.com.
Bei der Erstellung des Kontos musste ich halt auch eine 2FA machen.

Dabei musste ich zunächst
- über einen Fingerdruck auf einen Kopier-Button, einen langen Code in die Zwischenablage kopieren. Dieser Code ändert sich aber auch immer wieder. Offenbar wird er benötigt, damit Crypto.com weiß, dass man es selbst ist.

- danach musste ich dann die 2FA durchführen.

Aber das funktionierte dann nicht. Immer wenn ich den 6-stelligen Code aus meiner Google Authenticator App in Crypto.com in das entsprechende Feld eingefügt und danach auf "Confirm" gedrückt hatte, erschien die Meldung, dass der Code nicht korrekt ist.

Erst als der Freund mir einen Code sendete, den er mit seiner Google-Authenticator App auf seinem Handy erstellt hatte, funktionierte es.

Und jetzt weiß ich nicht...
1) wieso das mit einem Code aus einer fremden Auth-App funktioniert hat und nicht mit meiner eigenen
2) ob der Freund jetzt irgendwie auch in Zukunft etwas in meinem Crypto.com 2FA-verifizieren könnte, da der Code ja auch von SEINEM Google-Konto erstellt wurde.

Er hat jedoch nicht mein Crypto.com Login!!

Hoffe es ist jetzt deutlicher.
Sorry, wenn ich mit dem Ausdruck "Bank-App" für Verwirrung gesorgt habe

Grüße,
imebro

 

[BB1]

Die 2FA in der hier verwendeten Variante TOTP basiert erstens auf einem Geheimnis (Secret), welches i.d.R. in einem QR-Code enthalten ist, den man beim Einrichten der Authenticator-App scannen muss (es ist auch möglich, das Secret per Tastatur einzugeben).
Beim Initiieren der 2FA (d.h. Kopplung des Smartphones mit dem Zugang) wird das Secret zufallsgeneriert erzeugt.

Hast du das Secret/den QR-Code an deinen Freund weitergegeben, ist die Sicherheit der 2FA nicht mehr gegeben, da er damit für deinen Zugang gültige 2FA-Codes erzeugen kann. In dem Fall würde ich den Zugang löschen und neu einrichten, dabei wird wieder ein neuer QR-Code und damit ein neues Secret erzeugt.

Zum Anderen fließt in die Generierung des 6-Stelligen 2FA-Codes (zur Authentifizierung) das aktuelle Datum und die aktuelle Uhrzeit des Geräts mit ein, auf dem der Authenticator ausgeführt wird. Stimmen Datum und Uhrzeit nicht, werden falsche 2FA-Codes generiert.