TOTP und Passwort in der selben Datenbank "ok"?

[Dermitlinux]

Hallo,
ich habe neulich wieder in meinem Firefox-Konto gesehen, dass dort die Zwei-Faktor-Authentifizierung (2FA) angeboten wird.
Als mögliche Authentifizierungs-App wird auch KeePassXC angeboten. Da ich dieses für Passwörter ohnehin nutze, würde ich auch die Zwei-Schritt-Anmeldung dort einrichten mit dem TOTP.
Nun frage ich mich, ob es "sicher" ist, in der gleichen Datenbank das Passwort für bspw. Firefox-Konto und TOTP zu haben? Es würde lokal auf meinem Rechner liegen.
Selbst wenn ein Passwort durch ein Leck bei einem Dienst herausgefischt wird, könnte der "Dieb" damit dann ja nichts anfangen, weil er über meine passwortgeschützte Datenbank das TOTP haben muss.
Bisher tue ich mit diesem Thema schwer, möchte es aber gerne besser verstehen. Es gibt auch Smartphone-Apps, aber ich würde gerne das Telefon dafür nicht verwenden wollen.
Was sagt ihr dazu? Besser als gar nicht 2FA zu aktivieren?

 

[frazzlerunning]

Ich seh es so: besser ist TOTP im Passwort-Manager als nur ein Passwort ohne 2FA.

Wenn sonst alles gleich ist, bist du gegen geleakte Passwörter besser geschützt, wenn 2FA aktiv ist.

 

[cvzone]

Der Passwortmanager ist ja sicher auch selbst mit TOTP abgesichert, welches du dann nicht in der App hast.

 

[thealex]

Also ich trenne TOTP und Passwortdatenbank. Ansonsten führt es das ganze irgendwie ad absurdum, wenn jemals jemand Zugriff auf deine Passwörter bekommt, du auch direkt die MFA mitlieferst.

 

[NJay]

Nun frage ich mich, ob es "sicher" ist, in der gleichen Datenbank das Passwort für bspw. Firefox-Konto und TOTP zu haben? Es würde lokal auf meinem Rechner liegen.
Selbst wenn ein Passwort durch ein Leck bei einem Dienst herausgefischt wird, könnte der "Dieb" damit dann ja nichts anfangen, weil er über meine passwortgeschützte Datenbank das TOTP haben muss.

Genau so ist es. Denn es bleiben weiterhin zwei Faktoren: Dein Passwort und dein Keepass file.

Natürlich wäre idr. es besser ein seperates Gerät zu verwenden, welches selbst wiederum das Passwort nicht kennt.

Aber der wichtigste Punkt bleibt bestehen: Wenn dein Passwort geleaked wird kann sich ein angreifer nicht einloggen.

Ergänzung (15. Februar 2024)

Also ich trenne TOTP und Passwortdatenbank. Ansonsten führt es das ganze irgendwie ad absurdum, wenn jemals jemand Zugriff auf deine Passwörter bekommt, du auch direkt die MFA mitlieferst.

Jemand bekommt aber idr nicht über deinen Safe an die Passwörter, sondern weil sie anderweitig geleaked werden.

 

[Dermitlinux]

Der Passwortmanager ist ja sicher auch selbst mit TOTP abgesichert, welches du dann nicht in der App hast.

Mit einem Passwort. Diese passwortgeschützte Datei liegt ja auch auf einem Rechner, an den man auch nur mit Passwort rankommt.

Also ich trenne TOTP und Passwortdatenbank.

Eine zweite Datenbank nur für TOTP wäre ja auch möglich, oder?

Genau so ist es. Denn es bleiben weiterhin zwei Faktoren: Dein Passwort und dein Keepass file.

Ja, irgendwie schon. Und wenn jemand auf meinen Rechner kommt (mit Passwort), muss er auch an mein KeePass kommen (ebenfalls passwortgeschützt).

 

[NJay]

Ja, irgendwie schon.

Nicht nur irgendwie, sondern es sind zwei Faktoren.

 

[Dermitlinux]

Ich habe gerade etwas interessantes gefunden:
https://keepassxc.org/docs/#faq-security-totp

Da wird auch eine zweite Datenbank genannt. Auch schreiben sie, dass beides in einer Datenbank besser sei, als gar keine 2FA.

 

[Dermitlinux]

Habe es jetzt so gemacht, wie die Autoren von KeePassXC es empfehlen.
Ich danke euch für die Anregungen 👍
Vielen Dank an alle!