this post was submitted on 06 Feb 2024
0 points (NaN% liked)

Frag Feddit

3705 readers
1 users here now

Wolltest du Der Leere™ schon immer einmal Fragen stellen? Tue dies hier.

founded 3 years ago
MODERATORS
 

Benutzt ihr 2-Faktor-Authentzifizierung?

Ich meine nicht das interne Zeug von Apple oder Google, bei dem man über ein Gerät bestätigt, wo der Account schon drauf ist. Ich meine 2FA mit einer separaten App mittels TOTP. Ich habe mal im Freundeskreis rumgefragt und nur einer der Befragten (Mit 5 Befragten ist die Anzahl auch nicht zu groß, aber naja) verwendet es, auch bei den Leuten, die technisch versiert sind ist es größtenteils unbekannt. Ist das so nieschig oder reicht den meisten einfach die Verifikation über die Interne Methode bzw. SMS?

Ich wollte mal wissen, was feddit dazu denkt.

you are viewing a single comment's thread
view the rest of the comments
[–] kniescherz@feddit.de 0 points 9 months ago (9 children)

Ja. Ich bin aber auch technisch versiert. Ich nutze, wie ich es gerne nenne, 1,5FA. Lass es mich erklären:

Ich verwende Bitwarden als Passwortmanager. BW ist in der Cloud gehostet, daher habe ich auf all meinen Geräten immer Zugang zu meinen Passwörtern. Bitwarden kann aber auch als 2FA Token Generator benutzt werden. Statt den Google Authenticator oder ähnliches scannt man mit Bitwarden den QR Code und lässt sich anschließend von Bitwarden die Tokens generieren. Vorteil: Alle meine Geräte haben neben den Passwörtern auch die Tokens zur Hand.

Ich bin mir dabei bewusst, dass dies sicherheitstechnisch nicht ideal ist. Wenn beide Faktoren aus einer Quelle kommen hat man irgendwie nur noch einen wirklichen Faktor. D.h. ich bin nicht dagegen geschützt gegen Angriffe auf meinen Passwortvault bzw Bitwardenaccount als wenn ich kein 2FA nutzen würde.

Dafür habe ich aber erhöhte Sicherheit gegenüber Passwortleaks oder Phishing. Und ich denke hier liegt bei weitem das größere Risiko.

Zudem ist es so komfortabel von Bitwarden sich Username/Passwort automatisch ausfüllen zu lassen und anschließend den TOTP Token gleich in der Zwischenablage zu haben, dass man sich überall sehr schnell anmelden kann ohne erstmal den E-Mailaccount zu öffnen oder sein Handy rauszukramen und zu entsperren. Da dies so komfortabel geht habe ich überall wo es geht TOTP aktiviert, mittlerweile bei 65 Websites.

Der Bitwarden Vault nutzt übrigens einen Yubikey als 2FA.

Auch wenn ich denke, dass jeder 2FA nutzen sollte, wäre ich erstmal dankbar wenn mehr Leute einen Passwortsafe verwenden. Ich kenne zu viele Leute die entweder ein Passwort für alles verwenden oder eine furchtbare Zettelwirtschaft pflegen und dann oft nicht in der Lage sind sich einzuloggen (Zettel nicht dabei, Handschrift kann nicht mehr gelesen werden). Ich habe meiner Schwester Bitwarden eingerichtet und sie ist mir unendlich dankbar dafür. In ihrer non-tech Bubble wird sie auch regelmäßig bewundert was sie da tolles hat, aber diese Leute setzen sich irgendwie trotzdem nicht mal hin und richten es sich selber ein.

Vielleicht sollte ich mich damit selbstständig machen.

[–] emhl@feddit.de 0 points 9 months ago (1 children)

TOTP hilft auch nicht unbedingt bei passwortleaks da der token ja auch im Klartext (zumindest zum Zeitpunkt der Verifikation) beim Server vorliegen muss. Also wahrscheinlich in der gleichen Datenbank wie die Passwort hashes. Webauthn (passkey in bitwarden genannt) hat dat Problem nicht, da public-private Key Kryptographie genutzt wird. Wogegen TOTP aber helfen sind diverse Arten von replay attacks.

[–] kniescherz@feddit.de 0 points 9 months ago

Guter Punkt. Werde dann mal nach und nach auf Passkeys umstellen.

load more comments (7 replies)