Hallo zusammen,
ich bin jetzt in Sachen Datenschutz und Sicherheit ein gutes Stück weiter gekommen. GrapheneOS, Linux-PC, Open Source-Software und Passwortmanager (KeepassXC/DX) sind funktionstüchtig im Einsatz. An TOTP habe ich mich aber noch nicht rangetraut, da mir dazu noch ein paar Dinge unklar sind.
Verstanden habe ich, dass ein Authenticator auf Grundlage eines Geheimnisses einen temporären Zahlencode generiert, der zum Login als zweiter Faktor neben dem Passwort eingegeben werden muss.
Wird der Authenticator nur auf einem Gerät (hier Pixel mit GrapheneOS) eingerichtet, oder funktioniert das auch mit mehreren (ggf. auch unterschiedlichen) Authenticator-Apps auf verschiedenen Geräten?
Wie ist das Szenario, wenn das Gerät bzw. der Authenticator abhanden kommt. Bin ich dann ausgesperrt?
Wäre ein Nitrokey mit einem zweiten als Backup sogar die bessere Lösung?
Das solltest du mit Backups zu verhindern wissen.
Fido2 sollte bevorzugt werden, da Phishing-resistent
Hallo,
och war anfangs auch skeptisch, man liest zu oft das man ohne den code nicht mehr an seine Daten kommt.
Die meisten Dienste bieten aber Notfallcodes an, da bekommt man bei der Einrichtung z.b. 10 codes welche einmalig genutzt werden können wenn man selber keine codes mehr erzeugen kann.
Oft kann man auch eine „notfslladresse“ oder eine Handynummer hinterlegen um so an Notfallcodes zu gelangen.
Ich nutze diese Optionen allerdings nicht.
Meine setup:
Auf dem Smartphone läuft aegis zur Erzeugung der codes. Die APP kann verschlüsselte Backups erzeugen, die kann man sich sicher speichern und so im Notfall alles wiederherstellen. Ist somit backup Nummer 1.
Die qr codes, welche man bei Einrichtung von 2 FA angezeigt bekommt, speicher ich per Screenshot in einer keepassdatenbank. Ist somit backup Nummer 2.
Dann habe ich hier noch einen Reinert RSC https://www.reiner-sct.com/ rumliegen, so ganz offline. Ist somit Backup Nummer 3.
Ja, das muss man als pflegen und verwalten, aber ich habe mich in vielen Jahren noch nicht ausgesperrt und mache mir auch keine Sorgen dass das mal passieren wird. Inzwischen nutze ich überall wo es geht 2 FA.
Leg einfach los mit 2 FA, sich wenn es bei der Einrichtung vielleicht komplex aussieht und immer gewarnt wird: kein code, kein Zugriff!
Geht man die Sache vernünftig an passiert nichts.
Du kannst so viele Authenticator-Apps benutzen, wie du willst. Sie müssen nur den Standard unterstützen, was normalerweise alle Authenticator-Apps für TOPT tun.
Wie gesagt, du kannst so viele TOTP-Apps benutzen, wie du willst. In der Praxis ist es so, dass viele Apps den geheimen Schlüssel nicht anzeigen, was es schwierig macht, einen einmal eingegebenen Code auf ein anderes System zu übertragen. Ich habe mir daher angewöhnt, TOTP zuerst in meinem KeePassXC einzurichten, da dort auch der QR-Code gespeichert ist, den ich dann nur noch auf meinen mobilen Geräten scannen muss. Das kann ich dann beliebig oft machen. Außerdem bietet KeePass auch die Eingabe von TOTP an, was die Nutzung von MFA sehr komfortabel macht.
Ich habe ein Tutorial über MFA mit TOTP geschrieben, das einen detaillierten Einblick gibt und trotzdem (hoffentlich) verständlich ist:
https://kb.prontosystems.de/knowledge-base/multi-faktor-authentifizierung-mfa/
HTH
Du kannst mehrere Apps auf verschiedenen Geräten verwenden. In der Regel ist es möglich, mehrere Apps als OTP-MFA-Methode zu einem Dienst hinzuzufügen. Wenn das nicht möglich ist (z. B. bei PayPal), kannst du aber auch das selbe Secret (den selben QR-Code) mehrfach (sprich: auf verschiedenen Geräten) verwenden.
Tipp: Auch KeepassXC kann OTP-Codes generieren. Ob die gemeinsame Speicherung von Passwörtern und OTP-Secrets sich mit deinem Sicherheitskonzept vereinbaren lässt, musst du selbst beurteilen. Es ist deutlich bequemer als ein separates Gerät, vereinfacht das Backup, und schützt immer noch dagegen, bei einmaligem Phishing dem Angreifer einen dauerhaften Zugriff zu gewähren. Gegen einen Hack, bei dem die Datenbank deines Passwortmanagers abgezogen wird, schützt es allerdings nicht.
Dann hast du hoffentlich ein Backup. Bei reinen Softwarelösungen (App, die die Daten auf dem Handy speicher) ist das relativ einfach, bei Hardwarelösungen (Hardware-Key) musst du dir einen zweiten (und dritten) Key zulegen, den du an einem sicheren Ort aufbewahrst.
Danke Dir, aber auch allen anderen. Das hat mich ermutigt, die ersten Accounts auf 2FA umzustellen.
An deiner Stelle würde ich Ente Auth verwenden. Dadurch hast du die TOTP-Secrets Ende-zu-Ende-verschlüsselt in der Cloud. Die Benutzerfreundlichkeit ist wirklich gut. Dabei gehst du folgendermaßen vor:
- Du generierst dir eine zufällige Passphrase (mindestens 6 Wörter), lernst sie auswendig und schreibst sie vorsichtshalber auf ein Blatt Papier.
- Du installierst die App auf einem deiner Smartphones und erstellst darin einen Account mit o.g. Passphrase
- Du transferierst deine TOTP-Daten dorthin
- Wenn du andere Smartphones hast, kannst du dort jetzt auch die App installieren und dich einloggen
- Du wirst dich bei Ente Auth weder mit dem Browser noch via Desktopapp einloggen. Verwendung nur über Smartphone-App, da so deutlich sicherer.