Passwort Manager für 2FA nutzen - ratsam?

obama

Cadet 3rd Year
Registriert
Feb. 2021
Beiträge
48
Ich nutze momentan 1Passwort und dieser bietet auch die Möglichkeit, es für Zwei-Faktor-Authentisierung (2FA) zu nutzen. Ist eigentlich echt super und funktioniert auch ohne Probleme. Man hat auch den Vorteil, es auf jeden Gerät parat zu haben und beim Verlust eines Geräts, sind diese trotzdem abrufbar und auch exportierbar.

ABER: Wie seiht es hierbei sicherheitsmäßig aus? Spricht etwas dagegen?

Klar, sollte man immer mehre Geräte getrennt nutzen, was aber heutzutage eher an der Realität der meisten Nutzer vorbeigeht (siehe 2FA beim Online Banking). Deshalb dürfte sich doch die 2FA im Passwort Manager etwa auf dem selben Niveau ansiedeln; so meine Vermutung. Klar, wenn jemand auf meinen Passwort Manager zugriff hat, ist sowieso quasi der GAU. Denn, wenn jemand zugriff auf meinen Passwort Manager hat, dann doch auch auf andere Dinge wie bspw. Authy; nach meiner Vermutung. Um es sicherer zu handhaben, müsste man dann ja ein extra Smartphone betreiben oder einen Key wie bspw. den YubiKey.

Wie sieht also die Kosten-Nutzen-Rechnung - im Bezug auf Sicherheit und Bequemlichkeit - aus?
 
Ich selbst nutze die 2FA Funktion in KeePass genau dafür. Ich sehe das auch nicht generell als kritisch an, man sollte sich nur darüber bewusst sein, dass es theoretisch passieren könnte, dass jemand beide "Faktoren" entwendet, wenn er irgendwie dazu kommt.
Einen Mehrwert hat es dann trotzdem noch, weil jemand der eventuell das Passwort kennt sich trotzdem nicht einloggen kann. Aber wenn man zufällige Passwörter aus einem Passwortsafe verwendet, sollte das Risiko wohl sowieso ziemlich gering sein...

Also: Es nimmt einen Teil der Sicherheit weg, nämlich die der "Gerätetrennung" beim Login, aber es bleibt trotzdem sicherer als ohne 2FA. Ist letztlich eine Abwägung aus Bequemlichkeit und Sicherheit, wie das so oft ist bei diesen beiden Themen.
 
Besser als nur ein Passwort. Schlechter als zwei echt getrennte Wege.

Es kommt einfach auf dein benötigtes Schutzlevel an, ob es gut ist oder schlecht.

Die Frage die du dir stellen solltest, würdest du 2fa mit einem getrennten Gerät für die Accounts nutzen? Wenn nein, dann ist es sicher besser das zu nutzen als nur ein Passwort.

Sind es kritische Accounts und du möchtest dich gegen Trojaner schützen, dann würde ich es nicht eher nicht tun.

Man muss aber bei 2fa immer auch an das 2fa Backup bedenken. Damit kann man sich zum Teil auch selbst ausschließen.

Es gibt leider keine einfach Antwort auf die Frage
 
  • Gefällt mir
Reaktionen: kieleich
Keys sind ansich super. Aber je nachdem was man nutzt (nur OTP als zweiten Faktor oder FIDO), muss man für genügend Backup-Keys sorgen. Man braucht im Prinzip gleich 3. Und man muss ihn immer dabei haben, wenn man mobil ist - was auch stören kann. Eine OTP App auf dem Handy ist da schon wieder deutlich praktischer.

Als zusätzlichen OTP provider finde ich einen Key sehr ganz interessant, da man so (fast) ohne Risiko OTP direkt am PC erzeugen kann. Als Backup oder Unterwegs mit dem Laptop habe ich noch mein Handy.
Ich überlege das selbst gerade das so zu machen. Als Master-Key mit FIDO ist es mir aber aufgrund des Risikos mich selbst abzuschießen (3 Keys kosten gleich mal 150€) Privat ein zu großer Aufwand.
 
Bin der Meinung das Passwort und 2FA getrennt gehören.

Nur weil jemand Zugriff zu deinem Passwortmanager hat muss das noch lange nicht heißen das er Zugriff auf alles hat. Wenn das aus irgendnem 1Passwort-Hack kommt (unwahrscheinlich, aber wer weiss) haben die nicht direkt Zugriff auf Authy.
Authy fragt in der Regel ja nochmal unabhängig nach einem zweitem Faktor per SMS wenn du dich einloggst, nicht unknackbar aber nochmal ne extra Hürde.

Bei mir sind alle 2FA Tokens auf dem Handy lokal in Aegis.
Aegis selbst ist mit einem Pin geschützt und macht nach Änderungen direkt verschlüsselte Backups zu Nextcloud. Die Pins für Aegis und Aegis-Backups sind nicht im Passwortmanager.
Wenn jemand in mein Bitwarden kommt sind so immerhin noch die 2FA Accounts sicher weil die woanders liegen. Sollte ich mein Handy verlieren komm ich immernoch an die 2FA Backups.

Wenn Passwort und 2FA am selben Ort liegen ist es unsicherer aber bequemer.
"Passwortmanager ausfüllen lassen, Handy rausholen und 6 Ziffern tippen" find ich jetzt nicht so schlimm, aber lieber 2FA per Passwortmanager als gar kein 2FA.
 
  • Gefällt mir
Reaktionen: Eletron und madmax2010
obama schrieb:
Klar, sollte man immer mehre Geräte getrennt nutzen, was aber heutzutage eher an der Realität der meisten Nutzer vorbeigeht (siehe 2FA beim Online Banking).

Das ist für mich eh ein rotes Tuch was die meisten Banken machen. Über die Apps bieten sie kein echtes 2fa an. Können sie ja gerne anbieten, aber ich finde es frech dass ich mich nicht vernünftig absichern kann. Ich finde es absurd, gerade beim Banking. Dabei sind QR-Code Tan-Generatoren extrem einfach und schnell zu nutzen.

Führer gab es Push-Benachrichtigunen getrennt vom Banking, das habe ich gerne genutzt. Aber seit es All-In-One ist benutze ich die Apps nicht mehr, daher fehlten mir jetzt Push-Nachrichten. Für mich alles ein Rückschritt was da passiert.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010
Joshinator schrieb:
Bin der Meinung das Passwort und 2FA getrennt gehören.
jenes. Wenn erster und 2. Faktor auf dem selben geraet, aus der selben software kommen, ist der 2. Faktor irgendwie weg.


@prev Schon richtig, aber privat reicht dann ja auch 1 Key & Recovery Codes ausdrucken. Ich habe einen immer bei mir, einen im Safe im Buero, einen im Bankschliessfach.

Und es muss auch nicht immer Yubi sein :D https://shop.nitrokey.com/de_DE/shop/product/nk-fi2-nitrokey-fido2-55
Der ist super fuer FIDO2. Fuer OTP braucht es halt doch noch den Pro 2 :/
 
Hast du den am Schlüsselbund? Mir ist es irgendwie zu heikel den immer dabei zu haben (verlieren, defekt durch ständigen Transport). 🙄
Das Handy mit mehrfachen Passwortschutz und OTP App finde ich da angenehmer, auch wenn die Keys an sich natürlich noch mal besser sind.
 
Ich werfe mal noch diesen hier in den Raum:
https://www.amazon.com/dp/B06Y1CSRZX/

Kann OTP und Statische Passwörter, davon gleich mehrere (Bis zu 24, aber wenn man es einfach halten will eher 6) und PIN-Geschützt. Firmware ist Quelloffen, in den ersten Revisionen (Hab noch einen davon hier) musste man das noch selbst compilen und aufspielen, wenn man die Firmware updaten wollte. Gab es auch mal direkt von Amazon DE, aber aktuell wohl nur direkt USA. Wer zu viel Geld hat und mal probieren will...
 
  • Gefällt mir
Reaktionen: prev
prev schrieb:
ich habe den Chip-Tan Generator von reiner-sct, der fühlt sich sehr wertig an und sieht im Prinzip genauso aus.
Nichts schlägt ein single-purpose Gerät, das nicht mit dem Internet verbunden werden kann.

obama schrieb:
ABER: Wie seiht es hierbei sicherheitsmäßig aus? Spricht etwas dagegen?
Man muss sich schlicht überlegen, in welchen Szenarien das einen Mehrwert bietet vs. nur Passwort vs. echte 2FA. ImHo kommt das auch auf den zweiten Faktor an, ein statischer Schlüssel bietet keinen Mehrwert wenn beide Faktoren verloren gehen. Erhält ein Angreifer jedoch Zugriff auf ein TOTP Einmalkennwort + Passwort, dann bringt ihm das nichts, während bei nur PW hätte er dann Zugriff.

Wenn dein Passwortsafe kompromittiert wird, dann ist natürlich alles verloren vs. nichts ist verloren mit echtem zweiten Faktor.
 
Ich habe mir den reiner-sec OTP Generator noch mal genau angesehen. Man kann wohl auch einen Pin setzen und nach 5 falschen Eingaben wird alles auf Werkseinstellungen gesetzt bzw. die Token gelöscht.

Und er soll auch stromlos die Daten nicht verlieren. Es scheint mir es ist wirklich eine sehr nette Variante für OTP Backups, gerade wenn man es als räumlich getrenntes Backup in einem anderen Haushalt deponiert. Durch den Pin sogar deutlich besser als ein Ausdruck auf Papier.
 
ich weiß das payal eine 2fa abfrage verwendet, aber booking oder bahn tun dies nicht.
bei amazon wird 2fa verwendet nur bei bezahlungen mit kreditkarten, nicht aber mit debitkarten (auch als ec karten bekannt. es ist also nicht einheitlich, vielleicht liegt es auch daran das viele online shops kunden haben die noch kein online banking haben oder auch nicht wollen.
 
Zurück
Oben