Welche App nutzt ihr für die zwei Faktor Authentifizierung?
Da Lemmy im nächsten Update auch die Möglichkeit haben wird, seinen Account mit einem TOTP zu sichern, wollte ich einfach mal fragen, was ihr dafür benutzt.
Nachdem ich eine Zeit lang Authy benutzt habe, benutze ich jetzt Aegis. Es ist Open Source und erlaubt Backups über Google, aber auch über Nextcloud. Sieht schick aus und man kann sogar ein Icon pack in die App laden.
Aegis
Sekundiere Aegis. Bester Open Source TOTP Authenticator auf Android
Kann der auch die Push Benachrichtigungen von Microsoft? Hab den von Microsoft weil ich Microsoft mit Abstand am meisten brauche und das echt praktisch finde.
Keine Ahnung, ich benutze meinen Microsoft account nur jedes Schaltjahr einmal
Nein. Nur Microsoft Authenticator erhält Push-Benachrichtigungen von Microsoft. Alle anderen Clients können nur 6-stellige TOTP-Codes erzeugen.
Ich nutze auch Aegis. Vor etlichen Jahren war ich mal bei Authy.
Wer viele Einträge hat, dem empfehle ich Icon-Packs zur Verbesserung der Übersichtlichkeit:
Nachdem ich diverse Apps ausprobiert habe, bin ich auch bei Aegis gelandet. Kann alles, was ich brauche – und kommt wie viele andere Apps, die ich nutze, aus dem F-Droid-Store und nicht von Google.
Und man kann die Keys exportieren. Hilfreich wenn man das Gerät wechselt.
Was ich auch sehr an der App mag ist, dass man einfach die Daten von anderen Apps wie Steam (mit Root) importieren kann
Bin letztes Jahr zu Aegis gewechselt, weil andOTP eingestellt wurde. Bin auch sehr zufrieden.
Verwende ich auch und bin sehr zufrieden damit
Eben so. Hat jemand Tips für ne Backup solution?
Ich geh da über Synchting vor und habe eine Kopie der Datenbank auf dem Rechner und eine auf dem NAS. Nicht sonderlich katastrophensicher aber als Endnutzer ausreichend.
Sicher geht das aber auch mit Clouds.
So mache ich es auch. Da man ja nicht So oft neue Accounts hinzufügt lade ich die Backup Datei nach jedem Editieren auch noch in meinen Cryptomator Cloud Tresor
Was, andOTP ist eingestellt?
Ja, das Repo ist archiviert und unmaintained. Gibt nicht viel zu entwickeln, aber neue Android-Versionen werden nicht mehr unterstützt und Sicherheitslücken nicht gefixt.
Auch Aegis. Wie sprecht ihr den Namen eigentlich aus?
"Dieses postmoderne Aldi-Symbol" oder auch "Aëgis." Habe nie drüber nachgedacht, ehrlich gesagt.
Das ist aber die englische Aussprache ("ihdschiß"). Ich präferiere die deutsche ("ähgis" oder "ahehgis").
Ägis, so wie bei allen (pseudo)lateinischen æ-Wörtern,wenn ich es deutsch ausspreche.
Aëgis (also mit klar abgegrenztem a zu e, aber ohne Glottalverschluss) wenn ichs mal englisch ausspreche.
Ich nutze ein selbst gehostetes Vaultwarden und bin sehr froh darüber, für Passwort und TOTP nicht zwei Apps nutzen zu müssen.
Wie und wo hostest du das? Habe das auch schon überlegt aber habe da arge Sicherheitsbedenken bei meinen kaum vorhandenen Network Security skills
Weißt du, wie du SSH mit einer authorized_keys Datei absicherst? Wenn ja dann solltest du auf der sicheren Seite sein und kannst dir auf jedem beliebigen V-Server einen Docker Container hochfahren. Bitwarden und Vaultwarden bringen schon alles notwendige an Sicherheit mit, nur der Host muss natürlich noch abgesichert sein
Jeder hat andere Anforderungen, aber mir wurde das nicht reichen. ssh mit Schlüssel ist sehr sicher, aber reden hier voll einem PW-Manager. Wer den hat, hat Dein ganzes digitales Leben…
Ich habe hier zu Hause einen Server mit Proxmox stehen und mit Hilfe des Helper Scripts von tteck Vaultwarden installiert: https://tteck.github.io/Proxmox/
Das läuft seit 2 Jahren 1A.
Nicht vergessen, Kinder: Wenn Euch jemand Schokolade anbietet, nicht ins Auto einsteigen. Und nie Scripte ausführen, von denen Ihr nicht den Quellcode angeschaut habt.
Vor allem nicht bei sowas wie PW-Managern.
Bitwarden, sowohl für credentials, als auch für TOTP.
Same. Sehr komfortabel. BW packt einem den Code in die Zwischenablage so dass man ihn nur noch einfügen muss.
Man muss sich jedoch bewusst sein, dass man seine Security ein wenig verwässert. Wenn das BW Konto übernommen wird sind alle Accounts quasi offen.
Daher für Bitwarden und E-Mail 2FA per Yubikey.
Hier Solokey, ansonsten das gleiche.
Ja. So mach ich das z.B. D.h. alle PWs und 2FA keys sind in Bitwarden. Bitwarden selbst hat ein langes Master Password + yubikey.
Für ein zwei kritische Sachen (Google Account etc.) hab ich allerdings als 2FA einen yubikey.
Ja, es ist dann alles nur noch so sicher wie das Bitwarden-Masterpasswort.
Es hat aber auch einen gewissen Vorteil, wenn man die Notfallzugriff-Funktion von Bitwarden nutzt, hat der andere auch wirklich Zugriff auf alles.
So sicher wie bitwarden Passwort PLUS yubikey...
Hab das immer als kontraproduktiv erachtet. Der ganze Punkt von 2FA ist, dass man Wissen+Haben hat und nicht nur Wissen.
Wenn man durch Wissen (Master-PW) direkt beides hat, gewinnt man durch 2FA doch nichts mehr.
Stimmt, hab da auch mal eine Weile mit ein paar Kollegen diskutiert. Aber wenn der Bitwarden Account durch ein 30+ Zeichen PW abgesichert ist und dazu auf nicht authentifizierten Geräten man noch mein YubiKey benötigt wird, mach ich mir da weniger Sorgen.
Wenn jemand meinen Bitwarden Account hat, hast du völlig recht, für jeden einzelnen Dienst unabhängig von bitwarden gibt es aber dennoch eine zusätzliche Hürde. Das ust für mich der realistischste Angriffsvektor.
Aber das ist doch genau das, wogegen 2FA schützen soll. Neben dem Wissen musst du auch noch etwas besitzen.
Wenn jemand irgendwie das Wissen erlangt (z.B. dich in der Öffentlichkeit beim PW-eintippen gefilmt), braucht er dann bei 2FA immernoch dein Smartphone, Yubikey, o.Ä., um an deine Accounts ranzukommen.
Wenn deine Passwörter halbwegs sicher sind, sehe ich keinen wirklichen Benefit.
Mit meinem Schema (6 Wörter, ein random special char irgendwo) krieg ich ca. 88bits an Entropie.
Ein TOTP secret ist meines Wissens nach 128bit lang. Wenn 88bit schon mehr als sicher genug sind, bringen die 128bit extra (216bit) keine wirkliche weitere Sicherheit.
OT, aber wie setzt sich denn die Formel für die entropie-berechnung zusammen?
Find ich on-topic und eine gute Frage ;)
In meiner Word-List gibt es 7776 Wörter und ich habe 6 davon, also 7776^6 Möglichkeiten. Entropie in bits ist der log2 der Möglichkeiten: 77.5 bits.
Ein Englisches Wort ist im Schnitt 7 Buchstaben lang; 6 Wörter also im Schnitt ca. 42. Es gibt also im Schnitt 42 Positionen, an denen das Zeichen durch ein Sonderzeichen ersetzt werden könnte und daher eine weitere Entropie von log2(42) = 5.39 bits.
An dieser Position wird eins von 32 Sonderzeichen eingesetzt, also nochmal 5 bits an Entropie.
Mein bitwarden ist sowieso mit Hardware key abgesichert.
Die Diskussion ist glaube ich so alt wie es TOTP gibt, hab mir beide Diskussionsstränge zur Genüge zu Gemüte geführt. Für mein Verständnis ist es das beste aus allen Welten mit umsetzbarem Komfort. Aber ich würde es auch nicht per se als Rat geben, jedes muss sein eigenes Assessment machen.
Naja, im besten Fall ist Bitwarden ja ebenfalls durch TOTP abgesichert. Sprich man kommt nur an BW ran, wenn auch die TOTP-App/Gerät kompromittiert ist, auf dem die Bitwarden TOTPs laufen. Und in diesem Fall wären dann sowieso alle TOTPs in den Händen des Angreifers.
Und wo die TOTP für Bitwarden?
Ist deaktiviert, da verwende ich einen SoloKey NFC, der auch am Handy funktioniert.
KeePass. Hab viele der hier genannten Apps durch und finde es mit Abstand am besten. Gibt verschiedene Mobile Apps und mit KeepassXC auch einen top Desktop Client für alle Plattformen.
Sync funktioniert mit ungefähr allen Cloudanbietern reibungslos.
Trenne dabei zwischen meiner Passwortdatenbank und meiner TOTP Datenbank und habe zwei verschiedene Apps dafür, weil mir die eine für OTPs besser gefällt.
Edit: Finde besonders Toll, dass die Passwörter einfach in Form einer Datei gespeichert werden. So kann man das eigentliche Passwort-Management, aka KeePass Datei, vom Cloud Anbieter zum Synchronisieren trennen. Wechsel der KeePass App bzw. des Cloudanbieters wird dadurch trivial. Fast kein Lock-In.
andOTP für Android, von F-Droid.
Heute auf lemmy gelesen, dass es momentan wohl nicht weiterentwickelt wird. Viele nehmen jetzt wohl stattdessen Aegis.
Aegis sieht gut aus, aber momentan bin ich noch nicht bereit auf etwas neues zu wechseln. Wer sagt denn, dass andOTP überhaupt Probleme hat? Oder dass Aegis automatisch sicherer ist? Manche Software ist irgendwann auch einfach "fertig"🤷
Nachdem ich hier mitbekommen habe, dass die Entwicklung stoppte, übertrug ich meinen Daten nun auch auf aegis.
Andotp hat keine export funktion und du musst über Umwege dein vault exportieren. Aegis hat dann aber mit dem Import keine Probleme. Backup und Export geht da auch dann ganz easy.
Also ich hab bei andOTP eine Backup funktion. Die davon ersteltten Dateien hab ich auch schon mit anderen Apps ausgelesen, als ich andere 2FA Apss ausprobieren wollte.
Gab es bei mir damals nicht und da hieß es auch schon die App wird nicht weiter entwickelt.
Bin von andotp zu aegis, nachdem ersteres abgekündigt war. export der keys, import drüben, klappte. Beide haben den Vorteil das sie sich die DB mit otpclient auf dem Desktop teilen können.
Aegis auf meinen Android-Geräten und Raivo OTP auf dem iPhone.
Yubico Authenticator
+1
Auch
Die integrierte TOTP Funktion von Bitwarden. Ich weiß, das ist dann nicht mehr 2FA nach der Definition, aber nunmal praktisch
Müsste immer noch 2FA sein, da das Gerät ja Zugang zu deinem BW account haben muss, der dann hoffentlich auch mit 2FA geschützt ist
Privat aegis auf Handy und raivo auf ipad, Microsoft authenticator für alles auf arbeir
FreeOTP+
Ich benutze auch freeOTP, macht was es soll. Kein Firlefanz
Aegis auf Android, Open Source, Biometriesperre dabei und automatische Backups problemlos möglich
ebenfalls Aegis aufm Handy. Und am Laptop GNU pass (fzf + pass + pass-tomb = beste !!)
Ich benutze BitWarden für das TOPT.
Nutzt du bitwarden auch als Passwort Manager, oder nur für TOTP?
ich benutze Bitwarden mit TOPT, seit Google auth synchronisiert über den Google Account und soweit zufrieden
yap einer meiner Gründe wieso ich yubikey nicht habe, ich weiss das es sicherer wäre bin aber doch zu faul und dann genervt das ich das ding erstmal finden muss. Muss noch was gescheites finden wie ich bitwarden auf dem Handy handle, momentan hat meine Faulheit gewonnen 😅
Den Schlüsselbund in der Tasche der aktuellen Standardhose zu haben löst das Problem. Löst auch das Problem, dass man ohne Schlüssel aus dem Haus geht.
Allerdings ... Windows 11 zwang mich, meinen Yubikey mit einer PIN zu versehen. Android unterstützt wiederum keine PINs bei FIDO-Sticks (jedenfalls ist das bei Android mit MicroG so). Effektiv kann ich den Yubikey also nur noch auf dem Laptop nutzen.
Yubico Authenticator, mit zugehörigen Hardware-Tokens. Dazu ein zweites Token als Backup an einer anderen Location.
Das habe ich nicht weiter verfolgt weil nur eine begrenzte Anzahl gespeichert werden kann. Ich weiß nicht mehr genau wie viele, 45 oder so. Hab jetzt schon mehr.
Authy privat, Microsoft Authenticator auf der Arbeit
Ich muss für die Arbeit den Microsoft Authenticator benutzen und nehme den jetzt auch einfach für alles andere. Zumindest solange, bis mir irgendein internet-nerd sagt, dass das ganz schlimm ist und alle meine Kontodaten irgendwo im darknet hochlädt
Microsoft Authenticator ist echt etwas seltsam. Nutzen wir auch auf der Arbeit, aber wenn ich Backup machen will, brauche ich einen privaten Microsoft Account.
Ich benutz einfach Biometrics; muss man in den Einstellungen Aktivieren.
Damit hat man dann sogar einen dritten Faktor ;)
Der Faktor Wissen ist ja meist schon über das Login selbst abgedeckt. Da würdest du ja nicht mal zum TOTP kommen (ich kenne keinen Service, der 1FA über TOTP ermöglicht).
Microsoft ermöglicht das. Email angeben, mit MS Authenticator verifizieren und man ist drin, ohne Passwort.
Nennt sich Passkeys und ist angeblich der neue Standard für alles: https://www.heise.de/-9048722.html
Angeblich trifft es ziemlich gut. Gefühlt kann man Passkeys nur im GoogleAccount oder Programmen wie Azure nutzen (Enterprise Lösung von Microsoft).
Microsoft Authenticator, der ist sehr hochwertig
3x Yubico (1x Mobil, 1x Desktop, 1x Backup) + Selfhosted Vaultwarden -> irgendwie werde ich garantiert an den key kommen, außer das haus brennt mit mir drin ab
Könntest noch was verschlüsselt in irgendeine Cloud synchronisieren. Gut zu merkenden Satz als Passwort und fertig.
Ich nutze Authy, muss aber warnen: Wenn "Multi-Device" aktiviert ist, genügt einem Fremden der Zugriff auf die Rufnummer (z.B. indem er sich bei der Telekom für euch ausgibt und um eine Ersatz-SIM bittet) um ein fremdes Smartphone mit dem Account zu synchronisieren, und so die 2FA Codes zu stehlen.
Schreibt Authy auch so im Kleingedruckten:
Das Ding von Microsoft. Bin mal vom Google Authenticator weg, weil da keine Backups möglich waren. Microsoft regel das über ihre Server. Ich hab auch einige wenige bei Aegis, bin aber einfach zu faul den Rest umzuziehen.
Der Google Authenticator kann inzwischen (seit ein paar Wochen) auch Backups in die Cloud machen.
Klartext Backup im Jahr 2023. Das hätte der Praktikant auch grad noch hinbekommen.
Ja, aber das ist kein vor Google selbst geschütztes Backup. Das sollte man ggf. lieber vermeiden, wenn man nicht massives Vertrauen in Google hat.
Ravio auf dem iPhone. Open Source. Sichert verschlüsselt in die iCloud, wenn ich es richtig verstanden habe.
https://apt.izzysoft.de/fdroid/index/apk/me.jmh.authenticatorpro
Die benutze ich auch seit ein paar Monaten. Davor Aegis.
Authenticator unter iOS. Ich kann die App über iCloud Sync auf meinen anderen Apfel Gerätem verwenden.
Da meine neue Passwortverwaltung auch so ein Authenticator Feature besitzt werde ich das ggf. auch da mit umziehen.
Wie heißt der genau? Ich hab letztens versucht 2FA für jemand mit einem iPhone einzurichten und mich gefragt, ob es eine Apple App gibt oder man da auch den Google Authenticator nutzt.
Eine eigene App hat das iPhone dafür nicht. Das findest du alles in den Einstellungen unter der Rubrik Passwörter. Dort kannst du Zugänge speichern und auch 2FA direkt für jeden Zugang mit hinterlegen.
Edit: Bzw. Anders formuliert, bevor ich Verwirrung stifte… Natürlich gibt es fürs iPhone auch Google Authenticator und co, nur direkt von Apple selbst gibt’s keine gesonderte App, da die Passwortverwaltung inkl. 2FA Funktion direkt in den Einstellungen untergebracht ist.
Ich denke, dass hier der google Authenticator gemeint ist. Den habe ich auch genutzt. Mittlerweile nutze ich die integrierte Funktion von 1Password.
Ich nutze Authy, weil das synchronisiert die OTPs schön auf alle meine Geräte. Bin Apple Nutzer, kann gut sein, dass das nicht unter Android funktioniert.
Eine open source Lösung würde mir aber auch gut gefallen.
Für iOS finde ich raivo super - ist Open source und unterstützt auch sync ia icloud
Benutze den Microsoft Authenticator.
Hab mir den MA auch durch die Arbeit angewöhnt. Kompetentere Kollegen empfehlen aber eher FreeOTP. Habs schon mal installiert, bin nur zu faul um zu wechseln.
KeePass mit Plugin, weils am PC funktioniert.
Ich nutze Enpass. https://www.enpass.io
Keepass + WebDAV
Auf dem iPhone benutze ich Raivo OTP. Ist Opensource und funktioniert wunderbar.
Raivo (iOS)
Für TOTP Bitwarden und wo es geht nen Yubikey mit Webauthn
Ich nutze die PrivacyIDEA App. Die ist open-source und hat bisher mit allem funktioniert, was ich ausprobiert hab. https://www.privacyidea.org/
Ich persönlich verwende mein Passwortmanager 1password für 2fa :)
Sind es denn noch 2 Faktoren, wenn beide am gleichen Ort gespeichert sind?
Es sind vielleicht 1,5 Faktoren oder so.
Es ist...
... immer noch deutlich besser als nur ein Passwort, da es nicht reicht das Passwort von irgendeinem schlecht gesicherten nicht-gehashten Server zu klauen.
... meiner Meinung nach trotzdem schlechter als 2FA getrennt vom Passwort Manager zu verwalten. Denn dann reicht das Wissen des Masterpassworts, um Passwort und OTP eingeben zu können.
Finde, das 2FAS Auth auch nett ist. Wenn man eine App auf dem Laptop/Rechner mit WIndows braucht (was imho aber den Sinn von 2FA etwas kaputt macht), kann man noch 2fast empfehlen. Aegis ist eh mein Standard Tool.
Ich benutze Enpass als PW-Manager, der auch 2FA integriert
Auf iOS nutze ich OTP Auth.
Ich benutze den integrierten von vaultwarden. https://github.com/dani-garcia/vaultwarden
Für mein Microsoft-Konto: Mauth (FOSS-Alternative zu Microsoft Authenticator)
Geil🤣
Microsoft: You guys are getting srcure?
Kann ich sekundieren. Schöne und simple App Ü
Ich muss Betriebsbedingt Duo Mobile nutzen. Gibts da iwie ne alternative zu? - Steh ein bisschen aufm Schlauch was das Thema angeht
Alles, was Pushnachrichten benutzt, lässt sich nicht ersetzen, denn die Pushnachrichten müssen ja in der richtigen App ankommen. Wenn du sechsstellige Codes eintragen musst, ist es wahrscheinlich TOTP oder HOTP und es lässt sich ersetzen.
Google Authenticator, nachdem es inzwischen das Sync-Feature unterstützt und ich bei Authy von einem Tag auf den anderen nach einem App-Update alle Einträge verloren hatte und diese erst manuell wieder herstellen musste.
Achtung: der Sync passiert im Klartext, nicht verschlüsselt. Nur die Datenübertragung zum Server ist über TLS gesichert
Danke für den Hinweis, das hatte ich nicht auf dem Schirm.
I use authy on my phone, but also exported all 2fa codes to bitwarden. So on desktop I use that feature mostly.
MS Authenticator