Follow

Das heißt aktueller Status ist: Ich will zwei-Faktor-Authentifizierung für alle Dienste haben, aber ich will meine Handynummer eigentlich keinem Dienst geben?

Sind Hardwaregeräte dafür zu empfehlen? Wenn ja: Welche? YubiKey? Oder Apps?

@monoxyd otp Apps gehen super. Weitverbreitet ist Google Authenticator.
Problem bei 2 factor ist, wenn 2nd factor Weg, wird Login problematisch. Es gibt für diesen Fall oft eine Liste mit einmalschlüsseln, die man sicher aufbewahrt.
Es gibt den Trick sich den String zum generieren des 2nd factor im PW manager wegzusichern, damit man bei Verlust oder neuem phone die Authenticator Keys wiederherstellen kann.
PW manager wir 1Password bieten das bereits als Feature an.

@esopriester Ja, so Handhabe ich das bis jetzt. Nächste Angriffswelle geht dann wahrscheinlich auf 1Password /o\

@monoxyd wenn dein 1Password keyphrase lang genug ist (z.b. 5+ diceware Wörter), würde ich mir keine Gedanken machen. Problematisch sind Angriffe aufs Gerät bei den Zwischenablage und Eingabe abgegriffen wird.

@esopriester @monoxyd KeePassXC (Desktop only) kann z.B. den TOTP selbst generieren, und per Tastenkombi in die Zwischenablage laden.

@monoxyd ich benutze dafür freeotp+ am Phone (funktioniert mit Mastodon und Twitter)

@dorifer @monoxyd Hast du bei Twitter deine Telefonnummer verifiziert? Ich frage mich, ob 2FA auch ohne die Verifizierung funktioniert.

@monoxyd YubiKey (oder etwas anderes, das U2F beherrscht) wäre technisch tatsächlich am besten, wird aber leider von den wenigsten Diensten unterstützt. Am weitesten kommst Du im Moment mit TOTP-Apps (iOS z.B. "OTP Auth" von Roland Moers).

@monoxyd Habe troyhunt.com/beyond-passwords- gelesen und meinen Google Account schon abgesichert. FastMail unterstützt es auch. Nutze YubiKey und Feitian (letzteres weil Diversität und der YubiKey 5 mit NFC war mir einfach zu teuer.) Microsoft Account schaue ich mir diese Woche an. Für alles andere nehme ich eine TOTP Software App.

@monoxyd Vergessen: Auf dem iPhone „Authy“ oder „OTP Auth“ app. Google Authenticator war bei mir raus weil es keinen Export kann (wenn das Telefon kaputt geht müsste ich alles von Hand neu einrichten).

@jbf Weißt du, was bei Authy das Geschäftsmodell ist?

@monoxyd nein, deswegen evaluiere ich gerade die erst kürzlich gefundene „OTP Auth“ App. Ich weiß nur die sind irgendwie mit Twilio verquickt. Habe aber gerade das hier gefunden: medium.com/@Authy/why-is-the-a

@monoxyd Ich finde TOTP dafür ganz interessant über "Authenticator" (Link zu f-droid: meaju.de/mwZ)

@devinius
Die Version von Authenticator ist schon 3 Jahre nicht mehr gepflegt worden.
@monoxyd
Mich würde das Ergebnis Deiner suche interessieren.

@monoxyd
Ich hatte lange den Google Authenticator, bin aber unlängst auf Yubikey umgestiegen und damit auch sehr zufrieden. Funktioniert unter Ubuntu und sogar Windows out of the box.
Gibt jetzt nur noch zwei Dienste, die über den Authenticator laufen.

Von 2FA über Handynummer ist grundsätzlich abzuraten, es ist immer noch relativ einfach, deine Telefonnummer auf ne neue SIM zu packen und damit böse Dinge zu tun.

@monoxyd ich benutze haußsächlich Authy (gehört zu Twillo, die verkaufen API-Lösungen twilio.com/pricing).
Ich hab auch einen YubiKey, mit dem ich aber nicht so richtig warm werde.

@monoxyd ich kann AndOTP nur empfehlen, im Gegensatz zu vielen anderen Authentikatoren bietet es auch eine Backup Möglichkeit - auf Wunsch sogar PGP-Verschlüsselt.
andOTP (Open-source two-factor authentication App) - https://f-droid.org/app/org.shadowice.flocke.andotp

@julian Welche Dienste unterstützen sowas eigentlich? :)

@monoxyd TOTP mit (oder auch ohne) QR-Code und dann diesen Zahlencodes die sich alle 30 Sekunden ändern. Machen leider nicht alle (Twitter zB nicht)

@monoxyd ah wurde schon hundertfach vorgeschlagen. Ich bin dann mal still :-)

@monoxyd
Yubikeys machen Spaß. Die Einsteigermodelle kriegt man für um di 20 Geld - dafür kann man die schon mal ausprobieren!

@monoxyd

Ich würde #nitrokey vor dem #yubikey bevorzugen. Die Macher kennt man, kommen aus Berlin und kann man auch mal treffen.

nitrokey.com/

@tunda Gibt es da was mit U2F, OTP und NFC? Werd aus dem Webshop nicht ganz schlau. Aber „Open“ ist natürlich toll.

@monoxyd
guck mal hier in der Vergleichstabelle, ganz unten, der letzte Key.

nitrokey.com/de#comparison

@tunda "Near Field Communication" -> Drahtlose Kommunikation, besonders praktisch, wenn man die Teile auch mit dem Smartphone nutzen will.

@monoxyd Vor Weihnachten hatte jemand hier statt Yubikey die OpenSource Variante Nitrokey empfohlen. Von Bluetooth bin ich ja momentan sehr ab, aber da bin ich grad vorbelastet.

nitrokey.com/

@monoxyd Zusätzlich zu NFC muss ja auf diesen Tokens immer noch ein Knopf gedrückt oder berührt werden. Die Absicherung ist also etwas besser als bei kontaktlosen Bezahlkarten.

*Ohne* NFC funktionieren die Dinger halt nur mit "richtigen" Rechnern. Ob diese Einschränkung für Dich Ok ist, musst Du selbst beantworten.

@dentaku Bei dem Feitian sah es für mich so aus, dass "in der Nähe sein" reicht.

@monoxyd @dentaku Ich habe es mit dem iPhone noch nicht probiert. Kann dann Bescheid sagen. Ohne NFC/BT ist das auf dem Mobiltelefon ja schwierig.

@jbf @dentaku Generell wäre erst einmal interessant: Geht eine Verbindung per NFC oder BT *ohne* das der Knopf gedrückt wird?

@monoxyd @dentaku Also, gerade mit dem iPhone und der Google App (bzw. Google Smart Lock App) getestet. Da musste ich den Knopf drücken damit er eine Verbindung aufbaut. Leider unterstützen weder Twitter noch Dropbox U2F in ihren Apps, daher suche ich gerade noch eine weitere App mit der ich es auf dem Telefon testen kann.

@monoxyd @dentaku Microsoft bietet nur "password-less login" auf Windows an, was ja nicht das ist was man eigentlich will, nämlich seinen Microsoft Account schützen: yubico.com/2018/11/passwordles. Ich habe bisher genau eine App die den Sign-In mit U2F per Mobile App unterstützt, und das ist Google. Gut das ich nicht den teuren Yubikey 5 NFC gekauft habe.

@monoxyd @dentaku Meine Meinung zu dem Thema nach einigem Testen: U2F ist toll, aber bisher wird es zu wenig unterstützt. Der Browser (FF Quantum, Chrome, Microsoft Edge) oder die App muss es unterstützen, auf Mobilgeräten (iPhone) wird es bei meinen Tests kaum unterstützt (nur die Google App kann es, Dropbox, Github, Microsoft, Twitter unterstützen es nicht, da muss man auf TOTP als Fallback zurückgreifen). YMMV, though.

@monoxyd @dentaku Nachtrag: Zumindest bei Google schränkt die Nutzung von U2F erheblich ein (kein POP3 Abruf, keine IFTTT Integration von Google Drive mehr möglich). Das ist echt sehr schade. Ich wünschte man könnte graduell für einige Zugangsmethoden immer noch ein 3rd party Password generieren. Sehr schade.

@jbf @monoxyd Für IMAP-Abruf lässt sich ein Applikationspasswort einrichten, das müsste für POP3 eigentlich auch gehen.

@dentaku @monoxyd hast du einen Link? Bisher hat es für mich nicht funktioniert und die FAQ sagt „No. Apps that use App passwords instead of 2-Step Verification are blocked for users with Advanced Protection.“ support.google.com/accounts/an

@jbf @monoxyd 🤔

(Ok, das ist eine noch paranoidere Stufe als ich bisher benutze. Mir war nicht klar, dass sich TOTP und U2F da nochmal unterscheiden.)

@dentaku @monoxyd Das ist der Endgegner mit 2 U2F keys, einer zum täglichen Gebrauch, einer als Backup am sicheren Ort 😃. Absicherung mit U2F ist bei Google echt extrem.

@monoxyd ich nutz Enpass und synchronisiere über eigenen WebDAV. Bei BitWarden kann man auch nen eigenen Sync-Server aufsetzen. Hardwareschlüssel sind zwar schön und gut, aber die find ich unpraktisch bis unbrauchbar bei Mobilgeräten...

@monoxyd
github.com/tejado/Authorizer

Cooles Projekt das aus einem alten Android Telefon einen Password Safe macht der sich als temporäre Tastatur an fast allen Geräten per Autotyp für dich anmelden kann.

Sign in to participate in the conversation
Mastodon

Server run by the main developers of the project 🐘 It is not focused on any particular niche interest - everyone is welcome as long as you follow our code of conduct!