Veranderen van app voor tweestapsverificatie

[Helga]

Hallo,

Ik wil van mijn tweestapsverificatie met Google Authenticator af, ik wil overstappen naar het Europese Aegis Authenticator.

Ik geloof dat ik dan QR codes moet maken in GA, maar ik wilde eerst eens checken of ik de tweestapsverificatie via Google volledig uit mijn instellingen in de NAS zou kunnen halen, dus als het ware terugzetten naar 'er is geen tweestapsverificatie' en dan opnieuw vanuit nul een app hiervoor kan toewijzen en instellen voor mijn NAS.

Heeft er iemand al ervaring met de NAS tweestapsbeveiliging volledig verwijderen en opnieuw instellen in een andere app?

Dank voor de hulp, ik durf het niet zomaar te gaan klooien, ik ben bang mijn toegang te verliezen en dan ben ik verder van huis.

[Hofstede]

Tenzij je de QR code waarmee je Google Authenticator ooit geconfigureerd hebt hebt opgeslagen (niet veel mensen doen dat) is de enige optie inderdaad om 2FA uit te schakelen en dan opnieuw te configureren met de nieuwe authenticator.

[Helga]

Dus gewoon op de pagina tweefactorauthenticatie uitzetten dmv vinkje weghalen en dan weer aanzetten door opnieuw aan te vinken? Of moet het op de pagina 'persoonlijk' waar ook een linkje voor staat bij deze pagina?

Overigens maakt de Google app wel QR codes om blijkbaar stuk voor stuk een account over te zetten maar zou dat dan inderdaad met de sleutel zijn (ik snap niet helemaal hoe dat werkt, met die zgn sleutels)

[Briolet]

Ik geloof dat ik dan QR codes moet maken in GA, maar ik wilde eerst eens checken of ik de tweestapsverificatie via Google volledig uit mijn instellingen in de NAS zou kunnen halen,

Die instelling op de nas is in principe onafhankelijk van het merk authenticator. Het enige wat gebruikt wordt is een inlognaam en een eraan gekoppeld wachtwoord.  Zolang je dat wachtwoord kent, kun je het naar elke andere authenticator overzetten.

Vroeger bevatte die QR code die de Google authenticator genereerde volgens mij ook de leesbare wachtwoorden.  Maar ik heb het net getest en zie dat de inhoud van de QR code nu ook gescrambled is. Je zou kunnen kijken of die andere app, toch die code van Google kan lezen. Dat is het snelste.

Als ik de QR code inlees, begint hij met de tekst "otpauth-migration://offline?data=..."  Met een beetje geluk is dit een protocol die niet allleen google gebruikt. Op github zie b.v. dat deze decoding open source code is:  https://github.com/dim13/otpauth

Ik vond ook deze procedure:  https://www.rajashekar.org/migrate-otp/

Wat mij wel verbaasde is dat ik een screenshot kon nemen van de QR code. Twee jaar geleden wilde ik een backup van de codes maken door dit screenshot te bewaren en toen was de optie om een screenshot geblokkeerd. (En volgens de manual was dat ook een bewuste veiligheidsmaatregel). Ik heb toen met een 2e telefoon een veel waziger copie van die code moeten maken. Nu is het blijkbaar weer mogelijk een schreenshot te maken. Bedenk wel dat je dit screenshot zeer goed beveiligd moet opslaan.

[Hofstede]

Je moet een nieuwe QR code genereren voor de andere authenticator (tenzij je daar een kopie van hebt gemaakt).
En dat kan alleen door 2FA uit te zetten en weer aan. Een QR code kun je niet terughalen uit de code op je authenticator want dan zou een authenticator niets toevoegen. De QR code wordt gebruikt om de juiste gegevens in de authenticator in te stellen, maar je kunt het encryptie proces niet omkeren.

Zelf voeg ik de QR code altijd tegelijkertijd toe aan twee authenticators om een backup te hebben.

Dus @Helga het is inderdaad een kwestie van het vinkje uitzetten en weer aan.

[Helga]

Ik heb het vinkje uitgezet, toepassen geklikt, vinkje weer aan en weer toepassen geklikt.

Maar al mijn toestellen zijn al aangemeld en bekend dus ik kan het eigenlijk niet controleren.

Overigens heb ik wel de QR codes van Google authenticator kunnen overzetten naar Aegis en als ik de codes in beide apps bekijk, zijn het precies dezelfde cijfers die opgegeven worden. Zou dat betekenen dat de sleutel mee gekopieerd is naar Aegis?

[Hofstede]

Hmmm. Slaat de Google Authenticator de originele QR code dan zelf op? Dat is niet de bedoeling eigenlijk. Des te beter om over te stappen.
Als de codes gelijk lopen in beide apps zit je in elk geval goed.

[sciurius]

Ik ken Goodle Authenticator niet, maar elke 2FA tool heeft the oorspronkelijke keys nodig om de codes te kunnen berekenen. Die zijn dus opgeslagen.

Elke authenticator die ik ken heeft daarnaast de mogelijkheid deze codes te exporteren zodat je ze in een andere tool kunt importeren.

Ik gebruik zelf https://github.com/Authenticator-Extension in LibreWolf, alsmede een zelf geschreven programma voor op de command line.

[Helga]

Hmmm. Slaat de Google Authenticator de originele QR code dan zelf op? Dat is niet de bedoeling eigenlijk. Des te beter om over te stappen.
Als de codes gelijk lopen in beide apps zit je in elk geval goed.

Google maakt een QR code om te exporteren naar zijn eigen app op bv een nieuwe telefoon. Maar of dat ook werkt in Aegis is de vraag nu, want ik had gisteren mezelf buitengesloten van de NAS.

Vinkje uitgezet, weer aangezet maar toen ik in de browser naar de NAS wilde moest ik inloggen. Drie keer foutieve verificatiecode en prompt mijn IP voorgoed geblokkeerd 

Gelukkig kon ik met mijn mobiel wel op de NAS komen en de beveiliging even uitschakelen zodat ik weer in de browser erbij kon.

Ik probeer nu helemaal de externe app te verwijderen en alleen met de Synology verificatie te gaan werken maar het lukt me niet om die tweede optie van de verificatie uit te zetten en ook niet om de Google te verwijderen.

Nog even verder speuren denk ik

[Briolet]

Hmmm. Slaat de Google Authenticator de originele QR code dan zelf op? Dat is niet de bedoeling eigenlijk.

Natuurlijk slaat hij die code op. Hoe zou de app kunnen werken als hij de code niet op slaat?  Die originele QR code is gewoon de representatie van het random gegenereerde wachtwoord die zowel de nas als elke authenticator moeten kennen. Die QR-code (het wachtwoord) heeft de app nodig op een tijdgebaserde code te berekenen. En de nas doet exact dezelfde berekening en komt dan op dezelfde code uit. (Mits beide klokken gelijk lopen).  Meestal rekent de nas ook nog de code van een minuut eerder en later uit en accepteert deze codes ook nog.

Daarnaast kan de Google authenticator voor het overzetten van de accounts op een ander apparaat, deze accounts als en QR code weergeven die je net een 2e device kunt inlezen. Dit is dus een heel andere QR code.

[Hofstede]

Ik begrijp dat de Google Authenticator het kan. Maar ze zouden het niet moeten doen. Ze zouden de "secret key" die via de QR code eenmalig wordt uitgewisseld niet meer zichtbaar moeten maken via een QR Code. Want als iemand dan toegang weet te krijgen tot jouw telefoon / app kunnen ze alle codes kopieren naar een ander apparaat.

Dat het handig is voor overzetten naar een andere app snap ik, maar het verzwakt gewoon je beveiliging.

De authenticator apps die ik gebruik (hardware Yubikeys) bieden je deze functionaliteit niet. Die waarschuwen ook er voor dat je de QR Code zelf moet opslaan als je ze in de toekomst wilt hergebruiken. De secret key wordt weggeschreven naar een stuk flash geheugen op de key die daarna alleen voor lezen toegankelijk is voor de interne processor op de Yubikey om de code te genereren. De secret key kan niet meer worden teruggelezen naar de Yubico Authtenticator app.