2FA und Passwörter an einem Ort sicher?

[J3m2EHoW]

Hallo zusammen,

durch meine Recherche zu dem Thema habe ich leider keine passenden Ansätze finden können.

Ich möchte für meine Online-Accounts 2FA aktivieren und frage mich, ob es eine eher schlechte Idee wäre, die TOTP's im selben Passwortmanager zu speichern, in dem die Passwörter selbst gespeichert sind. Oder sollte ich hier lieber eine App auf dem Smartphone nutzen wie Aegis?

Da der Passwortmanager ein, meiner Meinung nach starkes Passwort hat, dürfte es eigentlich kein Sicherheitsrisiko sein, da die Datenbankdatei nur lokal verfügbar ist, und ich sie auch nicht in die Cloud laden werde. Hier müsste jemand also auf mein System Zugriff bekommen und zusätzlich noch das Passwort von dem Passwordmanager knacken.

Die App auf dem Handy allerdings hat bestimmt auch seine Berechtigung bzw. seinen Sinn als zweiten Faktor. Meine Überlegung war einfach, beides kompakt an einem Ort zu haben und unabhängig von meinem Handy zu sein, falls dieses mal nicht verfügbar sein sollte (z. B. kaputt).

Zudem würde es mich interessieren, ob ihr eure PayPal 2FA über SMS oder App erhaltet. Ich hane damals TOTP aktiviert, konnte mich damit aber nicht mehr anmelden. Der Support selbst hat gesagt, dass SMS bei denen zuverlässiger funktioniert als TOTP.

Oder habt ihr ein ganz anderes Schma, wie ihr eure Accounts absichert?

 

[Nilson]

ie TOTP's im selben Passwortmanager zu speichern

Meinst du die Backup-Codes? Denn die TOTPs werden ja Zeitbasiert ad hock generiert. Oder nutzt du ein Passwortmanager mit eingebauter TOTP Funktion?

 

[xxMuahdibxx]

Was interessiert das Passwort wenn man es live mitschneiden kann durch nen Trojaner...

Passwort-Manager geknackt alles geknackt.

Es live bei 2 getrennten Geräten mitzuschneiden ist schwerer.

 

[kieleich]

der zweite Faktor ist nur ein zweiter Faktor wenn du es nicht alles in einer Hand hast, für den Fall Handy Kaputt solltest du (ggf. verschlüsstel) Backups haben!

es kann natürlich auch sein das dir das nicht wichtig ist sondern es dir nur darum geht das dir keiner einfach nur das Passwort "über die Schulter" abschauen braucht

der 2FA ist so gesehen auch einfach nur zu sätzliche Passwort Zufalls Entropie die Nutzern aufgezwungen wird die mit Null Entropie arbeiten weil sie über all das gleiche Passwort verwenden

also es ist deine Entscheidung, wie du es machen möchtest

bei Pay Pal hatte ich noch nie Probleme mit dem TOTP da muss irgend was anderes schief gelaufen sein

 

[spcqike]

ich denke er nutzt einen Passwordmanager mit eingebauter TOTP Funktion, wie Bitwarden.

Dies ist angenehm, da der 6stellige Code nach dem automatischen Eintragen der Benutzerdaten direkt in den Zwischenspeicher kopiert werden. einfach einfügen und mit Enter bestätigen.

Ich bin der Meinung: Kann man machen. solange der Passwortmanger ebenfalls per 2FA gesichert ist. bei Bitwarden ist das für die Weboberfläche der Fall, die Browsererweiterung und auch die App am Smartphone wollten den TOTP Code bisher noch nicht. da reicht die Adresse vom Server (im Falle des selbstgehosteten VaultWarden) und der Benutzer samt Passwort.

 

[Drewkev]

Ich möchte für meine Online-Accounts 2FA aktivieren und frage mich, ob es eine eher schlechte Idee wäre, die TOTP's im selben Passwortmanager zu speichern, in dem die Passwörter selbst gespeichert sind.

Naja wenn der Passwortmanager selbst (aus welchen Gründen auch immer) nicht mehr funktioniert/zugänglich ist, dürfte es schwer werden.

TOTP wurde bereits angesprochen.

 

[foo_1337]

die Browsererweiterung und auch die App am Smartphone wollten den TOTP Code bisher noch nicht. da reicht die Adresse vom Server (im Falle des selbstgehosteten VaultWarden) und der Benutzer samt Passwort.

Initial schon, wenn man jedoch "remember me" auswählt, wird der 2. Faktor nie(vermutlich) wieder abgefragt.

 

[J3m2EHoW]

Meinst du die Backup-Codes? Denn die TOTPs werden ja Zeitbasiert ad hock generiert. Oder nutzt du ein Passwortmanager mit eingebauter TOTP Funktion?

@Nilson Ich benutze KeePass2, seit dem neusten Update kann man in dem Manager TOTP's generieren lassen.

---

Was interessiert das Passwort wenn man es live mitschneiden kann durch nen Trojaner...

Passwort-Manager geknackt alles geknackt.

Es live bei 2 getrennten Geräten mitzuschneiden ist schwerer.

@xxMuahdibxx Aber um einen Trojaner untergeschoben zu bekommen, muss man Software einsetzen, die nicht up-to-date oder nicht vertrauenswürdig ist. Oder wenn man auf irgendwelche Phishing-Maschen reinfällt. Als IT-ler ist man sich der Gefahr bewusster bzw. viel unwahrscheinlicher, dass so etwas passiert (natürlich nicht unmöglich).

---

Ich bin der Meinung: Kann man machen. solange der Passwortmanger ebenfalls per 2FA gesichert ist. bei Bitwarden ist das für die Weboberfläche der Fall, die Browsererweiterung und auch die App am Smartphone wollten den TOTP Code bisher noch nicht. da reicht die Adresse vom Server (im Falle des selbstgehosteten VaultWarden) und der Benutzer samt Passwort.

@spcqike Zumindest die Geheimnisse hätte ich in der Datenbank gesichert. Aktuell habe ich die Datei auch auf mehreren unterschiedlichen Sticks, falls mal eine kaputt gehen sollte. Sollte ich sicherheitshalber eine Kopie der Datei machen und auf jedem Stick zwei Dateien haben?

---

Prinzipiell hätte ich nichts gegen eine App auf dem Handy, aber wenn ich doch die Geheimnisse bzw. Backup von Aegis in der Datenbank sichere, kann ich es doch gleich richtig in der Datenbank einrichten oder nicht? Oder wäre eine Datenbank für Passwörter gut und eine andere Datenbank für die OTP's? Hier müsste ich mir aber dann zwei sichere Passwörter merken, weil das Passwort für die OTP-Datenbank in der Passwort-Datenbank zu speichern, wäre bestimmt nicht so eine gute Idee.

 

[xxMuahdibxx]

Als IT-ler

stellt man die Frage da oben nicht ... da sollte einem die Alarmglocken so oder so läuten ... außer man ist ein gefahrensüchtiger IT ler.. oder ein fahrlässiger ...

Denn ob eine Software verseucht ist kann auch ein ITler schwer beurteilen ... und auch ein Online Virenscan vorher hilft nicht unbedingt.

 

[Cat Toaster]

Weil IT´ler ja immer alle über ausreichend Ressourcen verfügen, grundsätzlich immer Zeit für noch ein Thema "mal eben" haben, dadurch nie Drucksituationen ausgesetzt und auch sonst auch keine Menschen sind. Grundsätzlich kennen sie sich auch mit allen System für die sie selbst über privilegierte Zugänge verwalten selbst lückenlos aus :-)

 

[DJMadMax]

Wie so oft gilt hier: man kann es treiben und übertreiben.

Der größte Sicherheitsfaktor, der zugleich auch die größte Sicherheitslücke ist, sitzt immer 50 Zentimeter vor'm Bildschirm - der klassische Layer 8.

Ich handhabe das auch über Keepass, allerdings ohne TOTP und lediglich mit normalem Master-Passwort.

Sicher ist nur eins im Leben, so viel sollte jedem von vorn herein klar sein.

Ich ändere meine Passwörter etwa einmal alle 1-2 Jahre und habe eben - wie gesagt - alle im Keepass hinterlegt, zeitgleich gibt es ein paar (aber nicht viele) Dinge, die ich zusätzlich per 2FA über's Handy regle.

Und hier kommt ein weiterer, sehr wichtiger Punkt in's Spiel, den man oft vergisst und dem ich aktuell in meinem engsten privaten Umfeld unterliege:

Was geschieht nach einem Todesfall? Wie kommt man an die Daten des Verstorbenen heran, wie kann man diese den Hinterbliebenen zugänglich machen?

Meine Empfehlung ist daher:
Masterpasswort sowie die gesamte Datenbank des Keepass an einen oder zwei auserkorene Verwandte/Freunde weitergeben. Evtl. sogar ausdrucken und in einem Schließfach hinterlegen - jedenfalls so, dass man im Todesfall problemlos als Angehöriger an die Daten kommt.

Das wird bei all der Sicherheit leider immer wieder vergessen.

 

[spcqike]

@DJMadMax dafür gibt es bei dem ein oder anderen Passwortmanager auch die Notfallfunktion. Einer Person der Wahl die Möglichkeit einräumen, Zugriff auf die Datenbank zu erhalten, sofern man nicht binnen eines eingestellten Zeitraums widerspricht.

Zusätzlich kann man Zugangsdaten in Organisationen teilen. Damit haben alle Mitgleider Zugriff auf die gleichen Daten.

Das erhöht natürlich das Risiko eines Lecks, da ja nun mehrere Personen kompromitiert werden könnten und auf die Daten zugegriffen werden kann. Daher sollte man sich überlegen welche Daten man auf diesem Weg bspw. in der Familie teilen will. Dennoch ist es sicherer, als die Daten in Firefox, womöglich sogar auf mehreren Geräten und mehreren Benutzerkonten abzulegen

 

[DJMadMax]

@spcqike
Dein Vorgang setzt aber voraus, dass befugte Personen dennoch Zugriff auf die Daten, in der Regel ja auf dem PC der verstorbenen Person bzw. auf deren Handy besitzt.

Jetzt gehen wir mal weg vom Sterbefall und hin zu, Brandfall... du verstehst, worauf ich hinauswill?

Ich würde die Daten - auch sicherheitsrelevantes wie Passworte - daher immer mindestens ein weiteres Mal dezentral lagern.

So blöd das auch klingt, aber mir gefällt hier die Version mit ausgedrucktem Papier z.B. im Safe oder Schließfach bei Verwandten und / oder Freunden einfach gut.

 

[spcqike]

@DJMadMax wenn es brennt starte ich die VM, auf der der selbst gehostet VaultWarden läuft, aus dem externen Backup auf einem neuen Server neu.

Aber ja, ich weiß worauf du hinaus willst. Meine Frau alleine würde das wohl nicht schaffen und bräuchte Hilfe.

 

[BeBur]

Aber um einen Trojaner untergeschoben zu bekommen, muss man Software einsetzen, die nicht up-to-date oder nicht vertrauenswürdig ist. Oder wenn man auf irgendwelche Phishing-Maschen reinfällt. Als IT-ler ist man sich der Gefahr bewusster bzw. viel unwahrscheinlicher, dass so etwas passiert (natürlich nicht unmöglich).

Wieso willst du dann 2FA überhaupt einsetzen?

Die Frage ist nicht 'gute Idee, schlechte Idee', sondern welche Angriffsszenarien jeweils abgedeckt sind. In welchem Fall bringt dir 2FA was, auch wenn beide Faktoren zusammen im Safe liegen?
Mir fällt da z.B. spontan ein: Aus versehen das Passwort ins falsche Fenster eingefügt, z.B. Chat anstelle von Paypal.

 

[J3m2EHoW]

stellt man die Frage da oben nicht ... da sollte einem die Alarmglocken so oder so läuten ... außer man ist ein gefahrensüchtiger IT ler.. oder ein fahrlässiger ...

Denn ob eine Software verseucht ist kann auch ein ITler schwer beurteilen ... und auch ein Online Virenscan vorher hilft nicht unbedingt.

@xxMuahdibxx Ich stimme @Cat Toaster zu.

---

Ich ändere meine Passwörter etwa einmal alle 1-2 Jahre und habe eben - wie gesagt - alle im Keepass hinterlegt, zeitgleich gibt es ein paar (aber nicht viele) Dinge, die ich zusätzlich per 2FA über's Handy regle.

@DJMadMax Ich plane, meine Passwörter jedes Jahr einmal zu ändern. Sollte es mal zu einem Datenleak kommen, dann natürlich öfter.

---

Wieso willst du dann 2FA überhaupt einsetzen?

Die Frage ist nicht 'gute Idee, schlechte Idee', sondern welche Angriffsszenarien jeweils abgedeckt sind. In welchem Fall bringt dir 2FA was, auch wenn beide Faktoren zusammen im Safe liegen?
Mir fällt da z.B. spontan ein: Aus versehen das Passwort ins falsche Fenster eingefügt, z.B. Chat anstelle von Paypal.

@BeBur Ich möchte 2FA einsetzen, da es immer mal passieren kann, dass ein Unternehmen gehackt wird und daraufhin verschiedene Daten gehandelt oder einfach so veröffentlich werden. Durch 2FA kann ich hier zumindest verhindern, dass jemand mit dem Passwort etwas anfangen kann.

Deswegen erkundige ich mich hier ja auch zuerst. Klar ist es ziemlich bequem, die OTP's im Passwortmanager zu generieren. Aber eine extra App auf dem Smartphone zu haben ist natürlich sicherer. Ich wäre eben nicht so gern vom Handy abhängig, wenn ich mich mal unbedingt wo einloggen müsste und auf einmal mein Handy nicht geht oder kaputt ist oder sonst was. Wären die OTP's im Passwortmanager, wäre ich flexibel, muss dann natürlich auch für ausreichend Backups und eine sichere Verwahrung sorgen.

Wegen der Sicherheit der Datenbank mache ich mir auch keine Gedanken, da diese nur lokal vorliegt und nur mir zugänglich ist. In dem Passwort gibt es keine Muster oder sonst etwas. Es sind alle möglichen Zeichen vorhanden und länger als wahrscheinlich nötig.

Dennoch interessiert es mich, weil ich eben neu in diesem Thema bin, wie ich die Datenbank-Datei "am besten" Backupe. Hier soll vor allem der Möglichkeit vorausgegangen werden, dass die Datei durch Schreibfehler zerstört wird oder sich sonst wie nicht mehr öffnen lässt. Ich glaube aber auch, dass Keepass da eine eigene Funktion hat.

---

Wie sinnvoll hört es sich eigentlich an, eine Authenticator App zu verwenden und entweder 1.) ein verschlüsseltes Backup der gesamt OTP'S am selben Ort, an dem die Datenbank-Datei liegt zu speichern. Das Passwort um das Backup zu öffnen, befindet sich dann in der Passwortdatenbank - oder 2.) die Geheimnisse werden in der Datenbank gespeichert, aber ohne die OTP-Funktion zu verwenden.

 

[Cat Toaster]

Der 2. Faktor ist nur dann so richtig gut, wenn er nicht da liegt wo Du den 1. ersten eingibst. Außer Du bist Bankkunde und machst Banking auf dem Handy, da ist Sicherheit nicht so wichtig (Ironie und Wahrheit!).

Im Prinzip kannst Du - wenn Du für alle Konten MFA aktiviert - auch als Passwort "Password" verwenden, solang Du Deinen 2. Faktor nie verlierst. Nur deswegen kann man ja auch unsichere Verfahren wie Biometrie verwenden. Es ist ja der Sinn von MFA, dass Nutzername und Kennwort allein nicht reichen.

Natürlich kannst Du eine Passwort-Datenbank anlegen, dort Deine ersten Faktoren ablegen als 300stellige Passwörter aus der Hölle, die wiederum verschlüsseln. Im Zweifelsfall wird das aber nur für Dich mal zum Problem.

Wenn ein Passwort mitgelesen wird (weil unverschlüsselt übertragen, Keylogger, ungesalzen im Internet gespeichert), rettet der 2. Faktor den Arsch, wenn der über ein anderes Gerät und ein anderes Verfahren abgefragt wird (und nicht per Email auf demselben Rechner). Und in diesen Fällen ist es total Wumpe, wie komplex Dein Passwort ist.

Im Prinzip kann ich Dir den ganzen Passwordsafe (und wenn das ne TXT-Datei auf Deinem Desktop ist!) klauen, wenn für die einzelnen Accounts ne Auth-App aktiv ist, kann ich damit nix machen. Nicht dass das jetzt als Handlungsempfehlung verstanden wird, aber einfach mal locker durch die Hose atmen und in sich gehen, welcher Grad an Paranoia und Selbstgeisselung das richtige Maß ist, sonst legst Du Deinen Passwort-Safe am besten auf einer "PAW" ab, ein Bitlocker verschlüsseltes Notebook was nie im Internet war und sein wird, mit Credentials die nie irgendwo benutzt werden und das lokale Admin-Passwort läuft alle 30 Tage ab.

 

[J3m2EHoW]

Im Prinzip kann ich Dir den ganzen Passwordsafe (und wenn das ne TXT-Datei auf Deinem Desktop ist!) klauen, wenn für die einzelnen Accounts ne Auth-App aktiv ist, kann ich damit nix machen. Nicht dass das jetzt als Handlungsempfehlung verstanden wird, aber einfach mal locker durch die Hose atmen und in sich gehen, welcher Grad an Paranoia und Selbstgeisselung das richtige Maß ist, sonst legst Du Deinen Passwort-Safe am besten auf einer "PAW" ab, ein Bitlocker verschlüsseltes Notebook was nie im Internet war und sein wird, mit Credentials die nie irgendwo benutzt werden und das lokale Admin-Passwort läuft alle 30 Tage ab.

@Cat Toaster Wohl war. Ich versuche gerade die gesunde Mitte zu finden und würde gern noch etwas komfort haben. Schließlich soll es ja nur um normale Sicherheit gehen und nicht darum, kritische Systeme abzusichern.

---

Also ist eine App am sinnvollsten und die verschlüsselten Backups davon zu denen der Datenbank packen?

 

[BeBur]

Ich möchte 2FA einsetzen, da es immer mal passieren kann, dass ein Unternehmen gehackt wird und daraufhin verschiedene Daten gehandelt oder einfach so veröffentlich werden. Durch 2FA kann ich hier zumindest verhindern, dass jemand mit dem Passwort etwas anfangen kann.

Gegen dieses Szenario bist du bereits dadurch geschützt, dass du KeePass einsetzt welches dir für jeden Dienst bzw. jede Webseite ein individuelels Passwort generiert. Dafür benötigst du kein 2FA.

 

[cyberpirate]

Ich ändere meine Passwörter etwa einmal alle 1-2 Jahre und habe eben - wie gesagt - alle im Keepass hinterlegt, zeitgleich gibt es ein paar (aber nicht viele) Dinge, die ich zusätzlich per 2FA über's Handy regle.

Das ist aber schon längst überholt. Heute empfiehlt man das Gegenteil. Siehe hier:

https://www.heise.de/security/meldu...om-praeventiven-Passwort-Wechsel-4652481.html

https://www.dr-datenschutz.de/warum-das-passwort-nicht-mehr-staendig-geaendert-werden-muss/

Selber habe Ich meine Passwörter auch in einem versteckten Container. Dann natürlich überall wo es möglich ist die 2FA aktiviert. Entweder mit SMS, MS Auth oder Alternativer Mail. Was halt möglich ist.

MfG