2FA und PWManager wirklich der beste Schutz? Und da ist noch die Cloud-Frage...

[Meta.Morph]

Servus,

seit Monaten treibt mich der Gedanke um, ich müsse endlich meine Internetsicherheit neu überdenken. Sozusagen von Berufswegen (Umschulung reusper)... neben den entsprechenden Themen im Unterricht, erreicht mich auch diverser Content auf YouTube. Oft wird BitWarden und 2FA empfohlen.

Zuletzt widmete auch Heise eine ganze Folge - im der es um Internetsicherheit und Passwörter ging...

Bislang wähnte ich mich, mit meinem streng geheimen Passwort, in völliger Sicherheit. Aber, ... ich hab mich dann doch breitschlagen lassen.

Und wenn schon, denn richtig. Ich liebäugelte mit einem eigenen Server. Aber die Kosten (Anschaffung und Betrieb - Kosten/Nutzen) lassen mich zögern.

Immer wieder drängt sich Microsoft 365 in den Vordergrund. Deren Office Produkte ich sowieso nutze. 4,50 €/Monat für ein aktuelles Office und 1 TB Cloud-Speicher ist doch sehr verlockend.
Doch mein Open-Source- und Datenschutz-Herz wehrt sich immer noch.

Nun der Kompromiss:
Ich hab ein BitWarden Account Angelegt.
Als 2FA hab ich mir Aegis-Authenticator herausgesucht.

Doch nun fühl ich mich sehr Unwohl - all meine Daten, meine Wertvollen Accounts (Steam und Co. / Amazon) diesen beiden Diensten anzuvertrauen. Auch weil mir, zugegebenermaßen, immer noch unbekannt ist, wie das ganze funktionieren soll bzw. wo die abgespeichert sind. Was passiert bei Verlust?

Ein Backup kann man wohl bei beiden Apps machen. Kann man diese Dateien dann mithilfe des Masterpassworts entschlüsseln?
Funktioniert das importieren tatsächlich reibungslos? Was ist, wenn die Entwickler von App XY keine Lust mehr haben - ich aber meine komplette Sicherheitsstrategie über diesen Anbieter laufen hab?

Ist mein Steam / Amazon Account weg, nur weil BitWarden oder Aegis ausgefallen ist?

Für mich ist dieses Sicherheitsthema noch sehr neu. Auch Daten-Verschlüsselung ist für mich Neuland...

 

[Nilson]

Für den "Ausfall" der 2FA-App bieten die meisten Dienste Recovery-Codes, die man getrennt speichern sollte (z.B. lokal in einem VeraCrypt-Container). Damit lässt sich dann auch auf die Seite zugreifen und den 2FA umstellen, auch wenn die App nicht mehr gehens sollte. Ansonsten bieten viele Dienste auch 2FA per SMS als zweite Methode an.

Wenn du Bitwarden nicht traust, kannst du das auch selbst hosten. Oder eben KeePass nutzen und den Datenbank selbst verteilen (z.B. über Onedrive, wenn du eh Office 356 hast)

Als Backup kannst du den Export der Passwort-DB auch anders nochmal anders speichern. Z.B. auch in einem Veracrypt-Container. Bitwarden bietet z.B. den Export als .csv oder .jason mit den Daten im Klartext.

 

[Fortatus]

Aegis Authenticator (und z.B. auch die Alternative andOTP) sind Opensource: Wenn der Entwickler keine Lust mehr hat, kannst du immer noch eine alte APK-Datei nutzen, um die Codes zumindest noch nutzen zu können. Im Worstcase musst du dir eine neue App suchen.

Bitwarden kenne ich nicht, ich nutze KeePass. Da kann man (genauso wie bei Aegis oder andOTP) die Daten exportieren und dann sichern. Die exportieren Daten werden in den Apps normalerweise nur verschlüsselt ausgegeben. Vernünftige Apps lassen unverschlüsselten Export nicht zu.

Dann gehört sowieso immer dazu: Backups, Backups, Backups!!

Am besten die Backups (zusammen mit den ausgedruckten Wiederherstellungscodes) im feuersicheren Safe lagern, zusammen mit anderen wichtigen Dokumenten.

 

[kamanu]

+1 für KeePass mit Synchronisierung über einen Cloud-Dienst deiner Wahl. Nutze ich seit Jahren. 99% meiner Passwörter sind mir völlig unbekannt. Dafür hat allerdings auch quasi jeder Dienst ein eigenes 20-stelliges-autogeneriertes PW.

 

[sklaes]

Ich nutze auch KeePass in einer Nextcloud, wo ich nichts anderes gespeichert habe als die KeePass Datei. Es gibt da diverse Anbieter die einem einen kleinen Speicher (1-5gb) kostenfrei zur Verfügung stellen. Für den Fall dass der Anbieter nicht mehr zur Verfügung steht erstellte ich mit einem KeePass Plugin bei jedem speichern eine lokale Kopie. Die ich bei Bedarf bei einem anderen Anbieter hochladen kann.
Auf dem Smartphone nutze ich KeePass2Android (mir den Tastatur Plugin zur einfachen Eingabe von Passwörtern)
Die Passwort sind alle automatisch generiert. 2FA nutze ich nur selten

 

[Meta.Morph]

Gegenüber der 2FA bin ich noch sehr Skeptisch.

Hab mich jetzt mal getraut, mit einem Konto eine solche 2FA einzurichten. Eigentlich eine nette Sache. Aegis erlaubt mir, ein Backup dieser Schlüssel zu machen. Entweder im Klartext - was nicht wirklich cool ist (gut, ich muss die Datei schnellstmöglich verschlüsseln.) oder in einer Verschlüsselten .json Datei, welche nur diese App wieder entschlüsseln kann (was sich jetzt auch nicht so wahnsinnig cool anhört).

Korrigiert mich:
Wenn der 2FA irgendwie abhanden kommt, ist der - damit verbundene Account - auch futsch? Passwort hin oder her?!

Ich weiß ja nicht...
Für Foren, Dienst/Shop XY etc. mögen Passwort-Manager sinnvoll sein aber bei den wenigen aber dafür um so wichtigeren Konten, kann man sich doch auch Passwörter merken?
Oder sogar nur eines...

Wenn ich zusammenzähle, wie viele Passwörter ich mir merken soll (man sagt ja: für jeden Dienst ein eigenes Passwort haben. Am besten 28 Zeichen lang...) nur um meine Passwörter zu schützen...
PwManager, 2FA, VeraCrypt, PC-Konto, Smartphone

BitWarden werd ich weiter nutzen. Sobald ich mir einen Server angeschafft hab, kann hier BitWarden installieren...

 

[Nilson]

Wenn der 2FA irgendwie abhanden kommt, ist der - damit verbundene Account - auch futsch? Passwort hin oder her?!

Ja, dann kommst du nicht mehr ohne weiteres in dein Konto. Wäre ja auch blöd wenn man den 2FA so einfach umgehen könnte.
Deshalb die Beackup- bzw- Recovery-Codes, die dir beim Einrichten angezeigt werden, sicher aufbewahren.

kann man sich doch auch Passwörter merken?

Wenn dein Gedächtnis so gut ist, meins ist es nicht.

Oder sogar nur eines...

Dann hast du aber wieder das Problem: Wird eine Seite kompromittiert und ds Passwort wird geleakt, sind auch die anderen Seiten, bei denen du das Passwort verwendet hast gefärded. In dem Fall würde aber das 2FA eine zweite Ebene an Schutz bieten.

 

[Mickey Mouse]

hier geht wieder einiges durcheinander...
erstmal sollte man versuchen, die Dinge zu verstehen, gerade wenn es sich um eine Umschulung handelt.
2FA ist einfach nur ein zweiter Faktor, sagt ja auch schon der Name.
das kann alles mögliche sein. Üblich ist neben dem eigentlichen Password noch ein TOTP (Temporary/Timed One Time Password. Da gibt es Standard Verfahren für und die werden i.d.R. einmal mit einem Code initialisiert. Das heißt "einmal" ist eigentlich falsch, "anfangs" oder "erstmalig" passt besser. Man kann sich aber für TOTP z.B. den Google UND den Microsoft Authenticator "anlernen" und beide alternativ nutzen. Damit ist man gegen den Verlust von einem geschützt.
genauso gibt es bei vielen Tools auch die Möglichkeit mehrere Methoden als zweiten Faktor zu hinterlegen.

als Anregung: ich nutze Keepass(XC), da kann man sich zur Passphrase noch eine Zertifikat-Datei anlegen. Ich persönlich halte das dann für sicher genug, um meinen so geschützten Safe auch auf dem Onedrive abzulegen.
man könnte (vielleicht?) auch die Passwort Datei noch im 2FA geschützten Persönlichen-Tresor von Onedrive ablegen, das dürfte dann "doppelt und dreifach gemoppelt sicher" sein.
nebenbei kann KeepassXC auch als TOTP Authentificator dienen, das führt natürlich den Sinn von 2FA etwas ad absurdum, weil man mit EINEM Tool BEIDE Faktoren verwaltet. Da ist es halt die Frage, wie sehr man dem Tool und der Methode an sich vertraut (siehe oben).

 

[katzenhai2]

Eigentlich eine nette Sache. Aegis erlaubt mir, ein Backup dieser Schlüssel zu machen. Entweder im Klartext - was nicht wirklich cool ist (gut, ich muss die Datei schnellstmöglich verschlüsseln.) oder in einer Verschlüsselten .json Datei, welche nur diese App wieder entschlüsseln kann (was sich jetzt auch nicht so wahnsinnig cool anhört).

Ausdrucken ist der sicherste Weg für die Codes für das 2FA: Der Code ist entweder 8 oder 16 Zeichen lang. Ich rede jetzt von dem 2FA-Code, den die meisten Dienste auch im Klartext anzeigen, wenn man 2FA einrichtet. Ansonsten befindet der sich in dem angezeigten QR-Code. Ich rede nicht von den Recovery-Codes, die einige Dienste zusätzlich zur Verfügung stellen. Obwohl man sich die auch mal ausdrucken kann.

Wenn Du ein digitales Backup auf dem PC/Smartphone (z.B. im VeraCrypt-Container) ablegst und die Codes zusätzlich noch ausdruckst, kann im Grunde nichts mehr passieren. Außer WorstCase wie Überschwemmung, Brand, Krieg... usw.

 

[Meta.Morph]

So langsam zeichnet sich ein Konzept ab...

Ein Teil davon, ist mir dennoch unheimlich: das kopieren von (Master-)Passwörtern in irgendwelchen Zwischenspeichern ist mir völlig fremd. Jeder, der zugriff auf meine Geräte hat (die Fantasie, wie so etwas passieren kann, ist ja wahnsinnig groß), hat doch auch zugriff auf diese Passwörter?! Das ausdrucken von Passwörter ist auch sehr ungewohnt für mich.

Dann hast du aber wieder das Problem: Wird eine Seite kompromittiert und ds Passwort wird geleakt, sind auch die anderen Seiten, bei denen du das Passwort verwendet hast gefärded.

Stimmt. Das Problem hab ich dann doch noch gestern Abend ignoriert. Ansonsten, wie oft passieren bei Google oder Microsoft solche Datenpannen?
Auch bin ich davon ausgegangen, das nur schwache Passwörter geleakt werden können. Aber wenn da ganze Datenbanken verloren gehen?! Sind diese Datenbanken dann unverschlüsselt?

Ich hab jetzt mal bei Microsoft nachgeschaut: Hier kann man etliche verfahren einstellen, um das Konto wiederherzustellen?
Klar, Passwort sollte man wissen. Könnte man immer noch über ein Verfahren das Konto wiederherstellen - auch wenn bspw. die 2FA ausfällt? Konnte man also, über eine weitere E-Mail, sein Konto noch retten?

 

[Nilson]

Jeder, der zugriff auf meine Geräte hat (die Fantasie, wie so etwas passieren kann, ist ja wahnsinnig groß), hat doch auch zugriff auf diese Passwörter?!

Wenn jemand (unberechtig) zugriff auf deine Geräte hat, hast du eine ganze Reihe an weiteren Problemen. Und auch ohne Passwortmanager könnte ein Key-Logger deine Passwörter mitschreiben.
KeePass löscht z.B. automatisch nach 30 Sekunden das Passwort aus der Zwischenablage. Manche Browser-Plugins umgehen die Zwischenablage auch komplett.

Ansonsten, wie oft passieren bei Google oder Microsoft solche Datenpannen?

Hier eine Liste der Datenpannen mit mehr als 10.000 Datensätzen. Darunter auch Microsoft, Facebook und Google:
https://de.wikipedia.org/wiki/Liste_von_Datendiebstählen

Aber wenn da ganze Datenbanken verloren gehen?! Sind diese Datenbanken dann unverschlüsselt?

Öfters als das einem lieb wäre ja, oder die Hacker erbeuten auch das Passwort.

auch wenn bspw. die 2FA ausfällt?

Probiere es doch aus. Erstell dir ein neues Konto, richte 2FA per TOTP/App ein und versuche dann ohne TOTP/App wieder zugriff zu bekommen. Wenn dir das gelingt, ohne das dir die Umgehung zu unsicher vorkommt, mach es.

 

[Dr. McCoy]

aber bei den wenigen aber dafür um so wichtigeren Konten, kann man sich doch auch Passwörter merken?
Oder sogar nur eines...

Autsch. Gerade bei den wichtigen müssen es strikt unterschiedliche und komplexe Passwörter sein. Hingegen, nur ein identisches Passwort für alle Dienste gleichermaßen zu verwenden, ist ein Kardinalfehler, angesichts dessen Du Dir über die anderen Punkte, über die Du Dir Gedanken machst, gar keine mehr machen müsstest.

Ansonsten, wie oft passieren bei Google oder Microsoft solche Datenpannen?

Es ist problematisch, dass Du leichtfertig annimmst, da würden schon keine Daten flöten gehen. Schau Dich mal ein bisschen in der Historie um, wie oft und in welchem Umfang sowas bekanntermaßen vorkommt. Hier mal ein Beispiel mit deutlichen Auswirkungen auf Betroffene:

https://www.heise.de/newsticker/mel...online-Entschaedigung-beantragen-4654690.html

Auch bin ich davon ausgegangen, das nur schwache Passwörter geleakt werden können.

Das hat mit der Stärke / Komplexität der Passwörter nichts zu tun, sondern mit dem Umstand, wie gut Dein Zugangspasswort (und andere Daten) beim Anbieter X geschützt sind, ob es dort Sicherheitslücken gibt, externe Dienstleister, die ebenfalls Zugriff auf diese Daten haben, usw.

Konnte man also, über eine weitere E-Mail, sein Konto noch retten?

Wenn Du zusätzlich lokale Sicherungen mit einem schlüssigen Backupkonzept anlegst, wirst Du nichts "retten" müssen, sondern kannst stets ganz entspannt Zugriff auf Deine Accounts bekommen.

 

[Meta.Morph]

So. Erst einmal danke für eure Tipps!

Hab mich in den letzten Tagen viel mit dem Thema beschäftigt und meine Konten dem neuen Sicherheitsbedürfnis angepasst. Es war interessant aber vor allem stressig zu sehen, wie Unterschiedlich die Unternehmen mit diesem Thema umgehen. Steam hat sich beispielsweise nicht dazu überreden lassen, für die 2FA Codes, eine Drittanbietersoftware einzusetzen. Auch bin ich sehr überrascht, wie viele Onlinekonten ich habe! Und ich hab definitiv nicht alle erwischt. Manche davon bleiben wohl für immer im Datennirvana (Klar, sind Unwichtig. Jedoch wäre es schon irgendwie cool, meinen Namen/meine E-Mail aus den Datenbanken dieser Konten zu löschen...)

Jetzt geht es an das Verschlüsseln. Hier hab ich ein interessantes Tool gefunden: https://www.heise.de/download/product/cryptomator-97440
Das Ding hat eine hohe Wertung. Cryptomator ist Open-Source und sämtliche wichtigen Plattformen werden Unterstützt - z.B. Android.
Ein Kommentar auf heise lässt mich jedoch sehr beunruhigt zurück:

Aber innerhalb von 2 Tagen wurden drei mal je zehntausende Dateien gelöscht, die ich über Cryptomator auf Dropbox gesichert hatte. Außerhalb des Cryptomator-Tresors gab es keine Probleme. Gelöscht wurde, während ich gar nicht an den Dateien gearbeitet habe.

Es ließ sich zwar alles wieder mit Dropbox herstellen, aber insgesamt hat mich das über 8 Stunden Arbeit gekostet. Aufklärung hat das Cryptomator-Forum nicht geliefert. Insgesamt für mich eine gigantische Zeitverschwendung.

Wie ist bitte das passiert? Das liest sich so, als hätte Dropbox ein Problem damit gehabt, das Dateien verschlüsselt wurden. Cryptomator selbst kann sicher keine Dateien löschen?!
Natürlich ist das ein Argument (eines von fielen), seine Daten/Backup auch Offline verfügbar zu haben. Dennoch würde ich diesen Kommentar einordnen können...

 

[Art Vandelay]

Cryptomator habe ich auch mal benutzt, hat bei mir mit Dropbox auch ganz cool geklappt, als ich den Container in eine Nicht-USA Cloud verschieben wollte, in die Magentacloud, gab es auch massiv Probleme bei der Synchronisierung der verschlüsselten Dateien, da die Dateipfade zu lang wurden, so dass der Magentacloud Client damit klar kam und Fehlermeldungen ausspuckte.
Meine Lösung war dann auf Boxcryptor zu wechseln, seit dem kein Stress mehr mit Synchronisierung.

Wieso Cryptomator da eigenständig Dateien gelöscht haben will, erschließt sich mir nicht, aber an deiner Stelle würde ich auf Kommentare in egal welchem Forum nicht zu viel Gewicht geben und es einfach mal ausprobieren.