Przeniesienie Google Authenticator: migracja uwierzytelniania dwuskładnikowego na nowy telefon
Zgub telefon z kodami uwierzytelniającymi, a Coinbase umieści Cię w kolejce weryfikacji tożsamości trwającej od 48 do 72 godzin, zanim ponownie zobaczysz swoje konto. Na Binance może to potrwać tydzień. Na małej giełdzie może to potrwać miesiąc. Taka jest cena niezmigrowanego uwierzytelniacza i to jedyny powód, dla którego powstał ten poradnik.
W tym poradniku opisano, jak korzystać z transferu Google Authenticator na iOS lub Androidzie, w obu kierunkach, za pomocą dwóch faktycznie działających metod: eksportu kodu QR, który jest dostarczany z aplikacją na telefonie od maja 2020 roku, oraz synchronizacji z chmurą konta Google, która pojawiła się w kwietniu 2023 roku, z pewnymi zastrzeżeniami dotyczącymi bezpieczeństwa. Poradnik obejmuje również sytuacje awaryjne związane ze zgubieniem lub kradzieżą starego telefonu, pułapki związane z przenoszeniem kodów uwierzytelniania dwuskładnikowego na nowy telefon oraz działania w przypadku kont internetowych o dużej wartości, których odzyskanie nie zawsze jest możliwe. Cel: migracja Google Authenticator bez utraty dostępu do kont, a następnie zapewnienie bezpieczeństwa kodów Google Authenticator.
Dlaczego przeniesienie konta Google Authenticator jest ważne przed zmianą telefonu
Uwierzytelnianie dwuskładnikowe SMS umiera wraz z kartą SIM. Atak polegający na przeniesieniu karty, zmiana operatora, a nawet nieudany transfer eSIM – kod trafia na czyjś telefon. Raport FBI na temat przestępstw internetowych z 2024 roku odnotował 982 skargi dotyczące zamiany karty SIM i 25,98 mln dolarów strat bezpośrednich (w porównaniu z 72,65 mln dolarów w 2022 roku, ale te same oszustwa nadal stanowią drogę do kradzieży tożsamości i drenażu portfeli kryptowalutowych). Jednorazowe kody z aplikacji uwierzytelniającej są przechowywane na bezpiecznym nośniku urządzenia, a nie w sieci operatora, dlatego Microsoft od lat twierdzi, że włączenie uwierzytelniania dwuskładnikowego blokuje ponad 99,9% zautomatyzowanych prób włamania na konto.
Kompromis jest oczywisty. Każdy kod jest na jednym telefonie. Wrzuć go do rzeki, przez przypadek przywróć ustawienia fabryczne, daj dziecku na „pięć minut” – i nie będziesz mógł uzyskać dostępu do swoich kont, dopóki nie przejdziesz procesu odzyskiwania danych w każdej usłudze. Dlatego zapisuj kody, generuj kody tylko na urządzeniu, którym zarządzasz, i traktuj migrację na nowy telefon jako rutynową konserwację.
Zanim zaczniesz: przygotuj aplikację Google Authenticator na obu telefonach
Zaskakująco duża część nieudanych transferów wynika z pominiętych przygotowań, a nie z wadliwego oprogramowania. Trzy rzeczy psują to częściej niż cokolwiek innego: przestarzała aplikacja, brak ustawień biometrycznych i niestabilne Wi-Fi. Otwórz aplikację Google Authenticator na starym telefonie i sprawdź, czy uruchamia się i wyświetla aktualne kody zmienne. Zaktualizuj ją przez Google Play (wersja Androida 7.0 lub nowsza, wydana 14 listopada 2024 r.) lub App Store. Zainstaluj tę samą aplikację Google Authenticator na nowym telefonie, zaloguj się na swoje konto Google, włącz biometrię — komunikat eksportu nie pokazuje kodu QR bez odcisku palca lub odblokowania twarzą. Podłącz oba urządzenia, połącz je z tą samą zaufaną siecią Wi-Fi i wyłącz wszystkie sieci VPN.
Podczas aktualizacji telefonów, wypisz wszystkie usługi powiązane z aplikacją uwierzytelniającą. Większość osób ma dziesięć lub więcej kont uwierzytelniających, nie zdając sobie z tego sprawy: każde konto Google, GitHub, każda giełda, menedżer haseł, konsola AWS, CMS. Poniższa tabela przedstawia lokalizację kodów zapasowych dla usług, które najczęściej blokują dostęp. Trzymaj tę listę i silne hasła do każdej usługi pod ręką — niektóre procedury odzyskiwania danych wymagają obu, zanim odłączą stare urządzenie.
| Praca | Gdzie znajdują się kody zapasowe | Notatki |
|---|---|---|
| Konto Google | myaccount.google.com → Bezpieczeństwo → Weryfikacja dwuetapowa | 10 kodów jednorazowych |
| Microsoft | account.microsoft.com → Bezpieczeństwo → Zaawansowane zabezpieczenia | Kod odzyskiwania, a także e-mail awaryjny |
| GitHub | Ustawienia → Hasło i uwierzytelnianie → Kody odzyskiwania | 16 kodów |
| Coinbase | Ustawienia → Bezpieczeństwo → Kody zapasowe | Powiązane z weryfikacją tożsamości podczas resetowania |
| Binance | Centrum użytkownika → Bezpieczeństwo → 2FA | Odzyskiwanie konta w ciągu 24 godzin do 7 dni |
| AWS | Centrum tożsamości IAM → Profil użytkownika | Do 8 urządzeń MFA |
| Facebook / Instagram | Centrum kont → Hasło i bezpieczeństwo | 10 kodów odzyskiwania |
Eksport i import: przenieś swój Google Authenticator za pomocą kodu QR
Eksport kodów QR został uruchomiony w maju 2020 r. Pozostaje to ścieżką zalecaną na stronie pomocy Google dla systemu iOS i przenosi seedy dla każdego wybranego konta z jednego telefonu na drugi bez pośrednictwa serwera. Bez chmury, bez konta Google.
Zacznij na starym telefonie. Otwórz aplikację i znajdź menu — Android umieszcza trzy poziome linie w lewym górnym rogu; iPhone umieszcza trzy kropki, zazwyczaj w prawym górnym rogu, choć niektóre kompilacje umieszczają je na dole. Stuknij menu, wybierz Przenieś konta, a następnie Eksportuj konta. Aplikacja poprosi o odcisk palca, Face ID lub kod dostępu do urządzenia. Po przejściu przez monit biometryczny zobaczysz listę wszystkich kont Google Authenticator na urządzeniu. Zaznacz te, które chcesz przenieść (pole akceptuje wybór wielokrotny) i stuknij Dalej. Teraz aplikacja generuje kod QR zawierający zaszyfrowany materiał źródłowy dla maksymalnie dziesięciu kont jednocześnie. Masz więcej niż dziesięć? Otrzymasz kolejkę kodów QR, ponumerowanych, a aplikacja powie Ci, który z nich przeglądasz.
Teraz nowy telefon. Otwórz Google Authenticator, dotknij „Rozpocznij” lub kliknij ikonę plusa w prawym dolnym rogu, jeśli aplikacja jest już zainicjowana. Wybierz „Skanuj kod QR”. Jeśli podczas importowania pojawi się pytanie, czy importujesz z istniejącego konta, odpowiedz „tak”. Przytrzymaj nowy telefon przed ekranem starego i poczekaj, aż aparat ustawi się na kodzie QR. Nowe urządzenie wyświetli listę wszystkich zaimportowanych kont. Dotknij „Dalej”, aby zobaczyć dodatkowe kody QR w pakiecie.
Oryginalne kody pozostają na starym telefonie. Najpierw zweryfikuj nowe urządzenie, a następnie je wyczyść. Otwórz jedną z usług, zaloguj się i sprawdź, czy sześciocyfrowy kod weryfikacyjny z nowego kodu uwierzytelniającego jest zgodny z oczekiwaniami usługi. Gdy obie usługi poprawnie Cię wpuszczą, usuń wpisy z aplikacji starego telefonu — lub, lepiej, zresetuj stare urządzenie do ponownej sprzedaży.
W praktyce zdarza się kilka błędów. Ścieżka z Androida do Androida jest prawie zawsze czysta. Czasami po imporcie niektóre konta nie są wyświetlane, szczególnie gdy krok skanowania kodu QR zawiera więcej niż pięć wpisów; zmniejsz rozmiar pliku i spróbuj ponownie. Eksport z iPhone'a do Androida czasami zawiesza się na ekranie eksportu, ponieważ implementacja Google w systemie iOS jest opóźniona w stosunku do Androida; w takim przypadku wymuś zamknięcie aplikacji, otwórz ją ponownie i rozpocznij eksport od nowa. Sieć VPN na dowolnym urządzeniu może również zakłócić skanowanie z powodu ograniczania przepustowości kamery w niektórych klientach VPN. Wyłącz ją na czas transferu. Kody transferu zawarte w kodzie QR są ograniczone czasowo, więc jeśli zegar nowego telefonu jest przesunięty, po imporcie mogą pojawić się nieprawidłowe kody — otwórz menu aplikacji i dotknij opcji „Korekcja czasu dla kodów”, aby ponownie zsynchronizować zegar urządzenia.
Synchronizuj kody Google Authenticator ze swoim kontem Google
Synchronizacja z chmurą, dodana 24 kwietnia 2023 roku w wersji 6.0 na Androida i 4.0 na iOS, to wygodna metoda. Po włączeniu każdy dodany lub usunięty kod pojawia się na każdym telefonie zalogowanym na to samo konto Google, bez kodów QR. W przypadku większości okazjonalnych logowań jest to dokładnie to, czego użytkownicy oczekują.
Warto zatrzymać się na zastrzeżeniu dotyczącym bezpieczeństwa. W ciągu 48 godzin od uruchomienia w kwietniu 2023 roku badacze bezpieczeństwa z Mysk Inc. wykazali, że ruch przesyłający seedy TOTP do serwerów Google nie był szyfrowany metodą end-to-end. Google publicznie zobowiązało się do dodania E2EE „w przyszłości”, ale w chwili pisania tego tekstu synchronizacja jest chroniona wyłącznie przez własne szyfrowanie po stronie serwera Google, co oznacza, że sam Google technicznie może odczytać seedy. W przypadku konta Spotify lub Twittera jest to akceptowalny kompromis w kwestii utraty dostępu. W przypadku głównego menedżera haseł lub giełdy kryptowalut z funkcją depozytu, preferuję metodę QR i akceptuję tarcie.
Aby włączyć synchronizację, otwórz aplikację Google Authenticator na starym telefonie, dotknij ikony awatara lub profilu w prawym górnym rogu i zaloguj się na konto Google, którego chcesz użyć jako zapasowego. Obok każdego zsynchronizowanego wpisu pojawi się zielona chmurka. Otwórz tę samą aplikację na nowym telefonie i zaloguj się na to samo konto Google, a kody pojawią się w ciągu kilku sekund. Nie ma konieczności skanowania kodu QR ani monitu biometrycznego.
Jeśli szukasz transferu Google Authenticator, który praktycznie nie kosztuje nic w kwestii tarcia, synchronizacja jest rozwiązaniem — ale używaj jej tylko do kont o niskiej wartości, jeśli nie ufasz projektowi no-E2EE. Zachowaj wartościowe klucze (bankowość, kryptowaluty, poważny GitHub) powiązane z jednym urządzeniem poprzez eksport kodów QR lub przenieś je w całości na klucz dostępu lub klucz sprzętowy. W raporcie informacyjnym CISA z 2022 roku dotyczącym odporności na phishing, potwierdzonym w 2024 roku, klucze sprzętowe FIDO2 plasują się wyżej niż jakakolwiek metoda TOTP.
Skonfiguruj aplikację Google Authenticator na nowym urządzeniu bez starego telefonu
Jeśli stary telefon został zgubiony, skradziony lub uszkodzony, żadna z powyższych metod nie zadziała, ponieważ wszystkie wymagają urządzenia źródłowego. Nie ma ścieżki „przywracania z chmury”, chyba że przed utratą włączono synchronizację. Poniższa opcja jest jedyną, ale powolną.
W przypadku każdej powiązanej usługi musisz zalogować się w inny sposób i ponownie powiązać uwierzytelnianie dwuskładnikowe z nowym telefonem. Kody zapasowe to najszybszy sposób na odzyskanie konta: Google wydaje dziesięć jednorazowych kodów zapasowych z Twojego konta Google podczas konfiguracji uwierzytelniania dwuskładnikowego, GitHub wydaje szesnaście, a większość giełd wydaje od ośmiu do dwunastu. Jeśli masz je zapisane w menedżerze haseł lub wydrukowane, użyj jednego z nich do zalogowania się, a następnie przejdź bezpośrednio do ustawień zabezpieczeń, usuń stare powiązanie uwierzytelniania z innego urządzenia i sparuj nowy telefon, skanując nowy kod QR, aby ponownie przesłać kody na konto Google.
Jeśli nie masz kodów zapasowych, wpadniesz w pułapkę. Dokumenty pomocy Coinbase dotyczące resetowania uwierzytelniania dwuskładnikowego (2FA) trwają od 48 do 72 godzin, a dłużej, gdy rozpocznie się weryfikacja tożsamości. Niektóre banki wymagają wizyty w oddziale. Wniosek: skonfiguruj Google Authenticator z kodami zapasowymi powiązanymi z menedżerem haseł w dniu pierwszej aktywacji i wydrukuj papierową kopię, którą przechowujesz w miejscu, w którym nie ma telefonu. Tak czy inaczej, prowadź listę kontrolną z nazwą użytkownika i adresem e-mail odzyskiwania dla każdego konta online obsługiwanego przez Authenticator.
Przenoś kody 2FA między urządzeniami z systemem Android i iPhone bez utraty dostępu
Migracja międzyplatformowa to obszar, w którym skupia się najwięcej wątków pomocy. Transfer Google Authenticator działa w obu kierunkach na iOS i Androidzie, ale powtarzają się dwa tryby awarii. Pierwszy to pomyślne zeskanowanie kodu QR eksportu i wyświetlanie na nowym urządzeniu tylko podzbioru kont. Prawie zawsze jest to limit dziesięciu kont na kod QR, który po cichu gryzie, zwłaszcza gdy aplikacja na iOS generuje kod QR. Zmniejsz eksport do pięciu kont jednocześnie. Drugim jest menu eksportu wyświetlające komunikat „brak kont do eksportu” na iOS, mimo że kody są wyraźnie uruchomione. Rozwiązaniem w wersjach 2026 jest aktualizacja do najnowszej wersji TestFlight lub App Store, wymuszone zamknięcie aplikacji oraz jednorazowe wyłączenie i włączenie ustawień biometrycznych urządzenia.
Zrób zrzuty ekranu każdego eksportowanego kodu QR przed zeskanowaniem — na drugim urządzeniu lub wydrukuj je. Każde urządzenie może zeskanować kod QR w celu zaimportowania, ale Google nie pozwala na ponowne wygenerowanie tego samego eksportu, więc czysty zrzut ekranu to różnica między pięcioma minutami pracy a paniką, o której mowa powyżej. Niezależnie od tego, czy migrujesz na iOS, czy na Androida, bezpieczne przechowywanie zrzutów ekranu QR (w zaszyfrowanej notatce menedżera haseł) to najtańsze możliwe zabezpieczenie.
Korzystaj z kont Google Authenticator na giełdach kryptowalut i w sieciach Web3
Przejęcie konta na giełdzie kryptowalut lub w portfelu jest funkcjonalnie nieodwracalne: po przeniesieniu środków znikają one. Kody uwierzytelniające to minimalny próg, a raport Microsoftu o 146% wzroście rok do roku w przypadku phishingu typu adversary-in-the-middle do 2024 roku oznacza, że nawet samo TOTP nie wystarczy. Kampania AiTM, oparta na „kodeksie postępowania” z maja 2026 roku, dotknęła ponad 35 000 użytkowników w 13 000 organizacji w 26 krajach — atakujący przejęli autoryzowane strony logowania, przechwycili kod TOTP w czasie rzeczywistym i ukradli plik cookie sesji, zanim użytkownik to zauważył. Najpierw należy przypisać klucz sprzętowy (YubiKey lub podobny) do głównego konta Google, następnie nałożyć Authenticator na stronę giełdy i wyłączyć uwierzytelnianie dwuskładnikowe SMS w momencie potwierdzenia działania Authenticatora. Dane FBI z 2024 roku wskazują, że całkowite straty spowodowane cyberprzestępczością wyniosły 16,6 miliarda dolarów, a liczba skarg związanych z kryptowalutami rośnie z roku na rok.
Przetwarzacze płatności kryptowalutowych zasługują na takie samo traktowanie jak giełdy. Na przykład Plisio obsługuje TOTP dla kont sprzedawców, a powiązanie go z Google Authenticator (lub dowolną aplikacją kompatybilną z TOTP) chroni panel sterujący transakcjami wychodzącymi. Podczas migracji na nowy telefon, panel bramki płatności należy traktować tak samo jak gorący portfel: tylko eksport kodów QR, brak synchronizacji z chmurą, nowe kody zapasowe generowane i przechowywane po przeniesieniu.
Alternatywy dla aplikacji Google Authenticator, które warto rozważyć
Upadek Authy przetasował rynek. 19 marca 2024 roku Twilio zablokowało aplikacje desktopowe Authy na kilka miesięcy przed pierwotnie ogłoszoną datą w sierpniu. Następnie, w lipcu 2024 roku, atakujący ukradli 33 420 546 numerów telefonów Authy za pośrednictwem nieuwierzytelnionego interfejsu API, a Twilio potwierdziło naruszenie. Dwa ataki w ciągu czterech miesięcy. Użytkownicy Authy rozproszyli się.
| Aplikacja | Synchronizacja w chmurze | Synchronizacja E2EE | Platformy | Otwarte źródło |
|---|---|---|---|---|
| Google Authenticator | Tak (od 2023 r.) | Nie (tylko po stronie serwera) | iOS, Android | NIE |
| 2FAS | Tak (opcjonalnie) | Tak | iOS, Android, przeglądarka | Tak |
| Egida | Nie (tylko kopia zapasowa lokalna) | Nie dotyczy | Android | Tak |
| Autoryzacja Ente | Tak | Tak | iOS, Android, komputer stacjonarny | Tak |
| Microsoft Authenticator | Tak | Tak | iOS, Android | NIE |
| Aplikacja Hasła iOS 18 | Pęk kluczy iCloud | Tak | iOS, macOS | NIE |
Apple zrobiło coś cichego we wrześniu 2024 roku, o czym warto wiedzieć. iOS 18 przekształcił pęk kluczy iCloud w dedykowaną aplikację do haseł, która natywnie generuje kody TOTP, automatycznie wypełnia pola w Safari i synchronizuje się z kompleksowym szyfrowaniem. Dla użytkowników urządzeń Apple oznacza to całkowitą eliminację potrzeby korzystania z oddzielnej aplikacji uwierzytelniającej. Dla pozostałych użytkowników powyższa tabela stanowi krótką listę.
Zachowaj bezpieczeństwo swoich kodów Google Authenticator po przesłaniu
Przejrzyj tę listę zaraz po zakończeniu importu. Zaloguj się do co najmniej trzech najważniejszych powiązanych usług z nowego telefonu i sprawdź, czy kody działają — i czy główny ekran aplikacji uwierzytelniającej wyświetla wszystkie oczekiwane konta. Wygeneruj ponownie kody zapasowe dla każdej usługi, którą właśnie przeniosłeś; przechowuj je w menedżerze haseł i na papierze, w różnych miejscach. Wymaż stary telefon za pomocą Znajdź mój iPhone lub Znajdź moje urządzenie z systemem Android przed przekazaniem go dalej. W przypadku głównego konta Google nałóż na nie klucz dostępu lub sprzętowy klucz bezpieczeństwa, więc nawet inny telefon z Twoim Authenticatorem sam w sobie nie wystarczy. Ta warstwowa konfiguracja to coś, co powstrzymuje kampanie AiTM, które Microsoft śledził do 2026 roku. Co ważniejsze, to właśnie ona sprawia, że kolejne przeniesienie Google Authenticator staje się piętnastominutowym zadaniem, a nie paniką.
