Richte niemals Zwei-Faktor-Authentifizierung ein, ohne ein Backup anzulegen. So geht’s

Neulich wurde mein Telefon gestohlen. Zuerst dachte ich, das sei nicht allzu tragisch: Glücklicherweise war es vollständig verschlüsselt, es konnte also niemand auf meine Daten zugreifen. Einige Bilder gingen verloren, doch das war auch meine Schuld, weil ich keine Cloud-Synchronisierung aktiviert hatte.

Was sich letztendlich rächte, war meine blinde Begeisterung für Zwei-Faktor-Authentifizierung. Ich hatte dieses Smartphone als zweiten Faktor eingerichtet, um mich in alle wichtigen Konten einzuloggen: E-Mail, Banking, Webhosting; sogar diesen alten Tumblr-Account, den ich schon lange nicht mehr benutze. Auch wenn mir bewusst war, dass das ein Problem sein würde, falls ich das Telefon jemals verlieren sollte, schob ich dieses Szenario als höchst unwahrscheinlich beiseite. Ich könnte ja immer noch meine Backup-Codes verwenden (bei den maximal fünf Diensten, die sie anbieten) oder dem Support auf die Nerven gehen.

Mehrere Monate später ist alles wieder beim Alten und ich wünschte mir, es wäre nicht so anstrengend gewesen. Vor allem wo ich jetzt weiß, wie leicht es ist, TFA-Codes zu sichern und wiederherzustellen, egal ob der entsprechende Dienst selbst Backup-Codes unterstützt oder nicht. Und das geht so.

• Bei der Einrichtung von Zwei-Faktor-Authentifizierung mit Google Authenticator, Authy oder einer beliebigen App, die den Standard-Algorithmus für Zeitbasierte Einmalpasswörter verwendet, wird dir entweder ein QR-Code oder eine Zeichensequenz angezeigt, die du auf dein Telefon kopieren musst.
• Wenn dir ein QR-Code geliefert wird, versuche das Bild durch Rechtsklick oder langes Antippen auf deinem (bevorzugt verschlüsselten) Gerät zu speichern. Falls das nicht funktionieren sollte, mache einen Screenshot. Ich würde sehr empfehlen, diesen Schritt nur auf deinem eigenen Gerät auszuführen; auch wenn du das Bild von einem geliehenen Gerät gelöscht hast, dürfte es noch wiederherstellbar sein.
• Drucke den QR-Code aus.
• Schließe die Aktivierung ab, indem du den gedruckten QR-Code mit deinem Telefon scannst. Der Druck könnte verschmiert oder niedrig aufgelöst sein; dies wird dir zeigen, ob er wirklich funktioniert.
• Wenn dir eine Zeichenkette angezeigt wird, notiere sie auf einem Stück Papier. Tippe den Code dann vom Papier in dein Telefon, um zu sehen, ob du ihn richtig aufgeschrieben hast. Schließe die Einrichtung ab.
• Falls du zwischen einem QR-Code und einer Zeichenkette wählen kannst, entscheide dich für Ersteres, wenn du Bequemlichkeit vorziehst, und Letzteres, wenn du mehr Wert auf Sicherheit legst. Der Barcode enthält meistens deinen Benutzername und den Namen des Dienstes, für den du ihn verwendest, zum Beispiel Gmail (hier läßt sich ein Beispiel-Code generieren). Die nackte Zeichenkette enthält keine persönlichen Informationen.
• Falls du Zwei-Faktor-Authentifizierung schon aktiviert hast, schalte die Funktion aus und wieder ein, um ein Backup zu erstellen.

Zuletzt ein paar Hinweise. Diese Methode ermöglicht es, Google Authenticator (oder jede vergleichbare App) auf mehr als einem Telefon zu verwenden. Sie funktioniert natürlich nicht mit 2FA über SMS, die ohnehin furchtbar unsicher und unpraktisch sind. Trotzdem ist es besser, ein Passwort und zusätzlich SMS als nur ein Passwort zu verwenden. Verwende diese Option also definitiv trotzdem, wenn es deine einzige ist, und übe gleichzeitig Druck auf deinen Dienst aus, endlich Zeitbasierte Einmalpasswörter einzubauen.

Herzlichen Dank an die Person, die mir diesen Trick mit einem Kommentar auf Stack Exchange gezeigt hat.