2FA - Welcher Authen­ti­ca­tor?

    Ich möchte einige Konten per 2FA absichern. Leider bin ich mir trotz Recherche nicht klargeworden, welchen Authenticator ich wählen soll. Ich möchte nicht nur eine App, wie z. B. die von Goggle verwenden, weil ich nicht nur mit einem Geät darauf zugreifen möchte, sondern mit einem PC (Windows) sowie mobilen Geräten mit Android und iOS. Außerdem soll es möglich sein, ein Backup anzulegen bzw. die Apps auf den verschiedenen Geräten synchron zu halten. Eine App ohne Backupfunktion und nur auf einem einzelnen Gerät ist ein NoGo, da ich nicht im Fall eines Geräteverlustes oder -defekts aus meinen Konten ausgesperrt werden möchte. Was würdet ihr mir empfehlen und warum?

    Wenn es für Android, iOS und Windows sein soll dann wohl LastPass Authenticator: https://lastpass.com/auth/
    Nutze ich selbst aber nicht


    Ansonsten in Android mit Backup: andOTP (OpenSource)


    Von Authy (Android/iOS) hab ich mal negatives gelesen, finde es aber nicht mehr.

    Mit Grüßen ...

    Auf Windows könnte ich vieleicht verzichten, aber nicht auf Android und iOS. Was ich auch nicht will, ist ein Backup in der Cloud. Was passiert, wenn die Firma ihren Dienst einstellt? Selbst wenn die Server nur zeitweise offline wären, ich aber in der Zeit ein Backup benötige? Ich bevorzuge ein Backup auf meinen Geräten, welches ich per (USB)-Kabel oder WLAN mit den anderen Geräten teilen kann. Die App kann ruhig Geld kosten, nur sollte sie ordentlich funktionieren.

    Hallo Blacky12,


    ich nutze folgende Tools:


    Auf dem iPhone:
    OTP Auth
    https://cooperrs.de/otpauth.html


    Strongbox (Personal Edition)
    https://strongboxsafe.com/


    Auf dem Windows-Notebook:
    KeePass Password Safe
    https://keepass.info/download.html


    Selbstverständlich alles immer ohne Cloud!
    Da Strongbox auch die OTP-Codes anzeigen kann, brauche ich OTP Auth eigentlich kaum noch.
    Bleibt aber als Backup trotzdem auf dem iPhone.
    -Gepflegt wird alles in Strongbox.
    Backup regelmäßig per Export als E-Mail zu meinem Tutanota-Postfach (vollverschlüsselt).
    E-Mail-Anhang wird auf Notebook heruntergeladen, ins KeePass-Datenverzeichnis verschoben und schon ist auch die Passwortdatenbank auf dem Notebook abgeglichen.


    Spezieller Tipp noch für OTP: Wiederherstellungs-Code separat auf Papier abschreiben/ausdrucken und sicher verschlossen aufbewahren.


    So etwas niemals (!) in eine Cloud, schon gar nicht iCloud oder Microsoft OneDrive, denn die NSA hat Generalschlüssel!

    Ciao
    IT-Hase

    Hallo it-hase,


    danke für Deine Antwort, ich hätte gleich ein paar Fragen dazu: Wie ist das mit den Backups bei OTP Auth? Sind das Tresore im gleichen Format wie bei KeePass? Könnte ich ein Backup erstellen, dann das iPhone oder iPad per Kabel mit dem PC verbinden und über iTunes den Backup-Tresor auf den PC kopieren und in KeePass einpflegen? So mache ich das mit Strongbox für die "normalen" Passwörter und würde daher gern eine zweite App für die 2FA verwenden (ich wusste gar nicht, dass das Strongbox auch kann).


    Welches Add-On verwendest Du in KeePass für die 2FA?


    Viele Grüße


    Hallo Blacky12,


    OTP Auth hat mit KeePass nichts zu tun.
    Das kann nur seine eigenen Daten verschlüsselt sichern - entweder in die iCloud oder lokal, dann hast Du die Wahl "iTunes Dateifreigabe" oder "In Dateien sichern". Bei letzterem legt OTP Auth dann ein Verzeichnis "OTP Auth" an, wennn es noch nicht existiert und wählt als Dateinamen "Accounts (JJJJ-MM-TT)".
    Da brauchst Du nur noch oben rechts auf "Sichern" tippen.
    Die App OTP Auth wird auch beim normalen Backup mit iTunes oder besser iMazing samt OTP-Daten gesichert (jedenfalls bei lokaler verschlüsselter Sicherung - etwas anderes mache ich nicht).


    Als ich nach Kauf des iPhone 11 Pro Max dieses zum Einrichten neben das ältere iPhone Xs legte, damit die Daten automatisch per Funk kopiert werden, waren nach einer halben Stunde nicht nur Foto- und Musiksammlung und alle Apps auf dem nagelneuen iPhone 11 Pro Max angekommen, sondern auch die OTP-Daten! :-)
    -Ich hatte schon befürchtet, dass ich die alle manuell nachtragen muss, aber das ging alles wie von Geisterhand mit rüber. :-)
    Also ist es auch per iTunes-Restore (oder mit besserer Kaufsoftware iMazing) komplett wiederherstellbar.
    Trotzdem sollte man die Wiederherstellungs-Codes auf Papier notieren und gut wegschließen.
    Dabei immer bedenken, dass Türschlösser für Geheimdienste und andere Profis überhaupt keine Hindernisse sind und diese ohne Spuren geöffnet werden!
    Wer sich also bei irgendeiner Regierung oder einem Großkonzern Feinde gemacht hat, sollte solche Wiederherstellungs-Codes supergut aufbewahren. ;-)


    Wenn Du für Strongbox bezahlt hast oder noch in der dreimonatigen Testphase bist, während der alles freigeschaltet ist, kannst Du auch (T)OTP-Daten hinterlegen.
    Voraussetzung: Du verwendest KeePass-Dateiversion 4.0 und Datenbankformat KeePass 2 (notfalls nachträglich zusätzliche Datenbank im modernen Format anlegen und nach und nach per Copy+Paste) übertragen.
    Und da Du Strongbox schon nutzt, kennst Du ja dessen Backup-Möglichkeiten (Datenbank exportieren ...).


    KeePass verwende ich in der Portable-Version auf auf dem Windows-7-Notebook, da brauche ich kein AddOn für TOTP und traue auch keinem.
    Der original KeePass-Tresor ist vertrauenswürdig, aber woher soll ich wissen, welches Plugin sicher ist?
    Außerdem ist das iPhone immer der zweite Hardware-Faktor, wenn ich online per Notebook arbeite.


    BTW:
    Was mein sterbendes Notebook betrifft (Hardware macht es nicht mehr lange, geht oft einfach aus): spätestens Ende Januar 2020 ist es dank Sony und Microsoft schrottreif, da es keine Sicherheitsupdates mehr geben wird und dieses Sony-Notebook eh nicht für Windows 10 oder Linux geeignet ist. Aber die Hardware ist eh am Sterben und Reparatur lohnt auch wegen Kosten nicht mehr.

    Ciao
    IT-Hase

    Hallo IT-Hase,


    schade, ich hatte schon gehofft, dass OTP Auth die .kdbx-Tresore von KeePass verarbeiten kann, genau wie Strongbox. Ja, die Backup-Funktion von Strongbox kenne ich, allerdings will ich Strongbox nicht für die 2FA verwenden. Zuhause am Laptop habe ich kein Problem damit, normale Passwörter und 2FA mit einem Programm zu verwenden, solange es dafür getrennte Datenbanken gibt, aber auf Smartphone und Tablett möchte ich für die normalen Passwörter eine App verwenden und für die 2FA eine andere App. Zu Hause am PC nutze KeePass 2, allerdings noch nicht lange und dachte, wenn man es für die 2FA verwenden will, benötigt man ein extra Plugin.


    2FA ist für mich noch eine neue Sache, ich möchte jetzt meine wichtigen Accounts damit absichern, aber wenn, dann richtig. Für mich ist wichtig, dass ich die Datenbanken mittels Kabel (über den Umweg PC) oder WLAN zwischen Android und iOS austauschen und verwenden kann. Eine Cloud will ich nicht. Ich will auch mehrere Geräte gleichzeitig verwenden können, ohne erst immer die Datenbanken/Berechtigungen von einem Gerät aufs andere migirieren zu müssen. Leider gestalltet sich die Suche schwierig, ich bin noch auf keine Tools gestoßen, die meine doch eigentlich normalen Wünsche erfüllen.


    Viele Grüße

    Zitat von Blacky12

    Apps auf den verschiedenen Geräten synchron zu halten

    Ein ganz anderer Ansatz: YubiKey. Du erhältst (ab Version 5) einen FIDO2-kompatiblen Stick. Außerdem kannst Du (bis zu 32) OTP-Konten auf den Stick hinterlegen. Du lädst auf jedem Geräten nur noch den YubiKey Authenticator. Den Stick sperrst Du mit einem Kennwort (optional) und schaltest das nur per Touch frei (optional). Vielleicht was für Dich. Ich finde es Klasse.


    Übrigens: Backup bei OTP macht man anders: Du druckst den anfänglichen QR-Code aus und kopierst den manuell einzugebenden Code (eigentlich brauchst Du nur Letzteres). Diese Daten legst Du irgendwo sicher ab (Bank-Schließfach oder so). So kannst Du jederzeit ein weiteres Gerät anlernen. Wiederherstellungscodes sind Unfug von Diensten, die OTP nicht kapiert haben.


    Wenn Du nicht nur OTP sondern auch FIDO2 nutzen willst, brauchst Du mindestens zwei Sticks. Wobei der zweite stick kein teurer Yubico YubiKey sein muss, sondern ein Yubico Security Key reicht.


    Ansonsten viel Spaß mit 2FA. Ich mache das jetzt seit 12 Jahren und wundere mich doch noch immer wieder, dass selbst heute neu einige Web-Dienste das mit 2FA bzw. WebAuthn nicht richtig auf die Kette bekommen.

    2 Mal editiert, zuletzt von Abi99 ()

    Yubikey habe ich mir jetzt angesehen. Solange er heil bleibt, sicher eine gute Sache. Was aber passiert, wenn der Yubikey kaputt geht? Klonen kann man ihn wohl nicht, um ein Backup zu haben. Ich bin da ein gebranntes Kind. Ich hatte mal einen Hardwaretoken für den PC, für den Notfall gab es einen Benutzernamen und Passwort. Der Token ging kaputt und die Sache mit Benutzernamen und Passwort funktionierte nicht. Ich konnte meinen PC komplett neu aufsetzen. Daher ist mir eine reine Softwarelösung für 2FA noch am liebsten. Und Yubikeyhat seinen Sitz von Schweden in die USA verlegt ...


    Ich weiß, ich bin ein schwieriger Fall mit meinen Anforderungen

    Noch mal eine rein hypothetische Frage: Ich würde meine Anforderungen ändern und doch zu einem Onlinedienst wie Authy oder Last Pass gehen. Wenn es dort zu einem Datenleck kommen würde, wäre meine Daten dort Beifang. Wenn derjenige, die Daten meines Accounts entschlüsseln könnte, hätte er von mir eine E-Mail, Telefonnummer und könnte sehen, dass ich u. a. ein Amazonkonto habe. Mit diesen Daten könnte er doch aber nicht mein Amazonkonto hacken, schließlich fehlen ihm noch mein Passwort und die für Amazon verwendete Email. Ich selber aber könnte, sobald ich von dem Datenleck erfahre, mich mit der App von Authy oder Last Pass mittels 2FA in mein Amazonkonto einloggen und dort die 2FA zu deaktivieren.


    Wenn ich nicht ein "normaler" User, sondern Politiker, Geschäftsmann oder anderweitig interessant für Geheimdienste, Großkonzerne o. ä. wäre, würde es sicherich anders aussehen. Dann würde sicherlich nicht nur Authy oder Last Pass gezielt angegriffen sondern auch andere Dienste, bei denen ich Konten habe sowie meine elektronischen Geräte, aber so? Ist da das Risiko, dass meine Daten für die 2FA (nicht Passwörter und Zugangsdaten, die nicht online gehostet werden) durch ein Leck kompromitiert werden nicht viel geringer als wenn ich die Daten der verschiedenen 2FA-Dienste selber organisiere und dann durch einen Fehler alle Zugänge zu meinen Accounts verliere?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden