Benutzt ihr 2-Faktor-Authentzifizierung?
Ich meine nicht das interne Zeug von Apple oder Google, bei dem man über ein Gerät bestätigt, wo der Account schon drauf ist. Ich meine 2FA mit einer separaten App mittels TOTP. Ich habe mal im Freundeskreis rumgefragt und nur einer der Befragten (Mit 5 Befragten ist die Anzahl auch nicht zu groß, aber naja) verwendet es, auch bei den Leuten, die technisch versiert sind ist es größtenteils unbekannt. Ist das so nieschig oder reicht den meisten einfach die Verifikation über die Interne Methode bzw. SMS?
Ich wollte mal wissen, was feddit dazu denkt.
Absolut. Als ITler bin ich natürlich auch vorbelastet. Benutze aber wo immer es geht 2FA. Dazu zufallsgenerierte Passwörter die im Bitwarden gespeichert werden. Überall das selbe Passwort ist eben auch nutzlos. Für 2FA am besten per security key (sowas wie YubiKey), ansonsten TOTP. SMS ist vergleichsweise unsicher aber besser als nix.
Für 2FA verwende ich Aegis.
Ich nutze exakt das gleiche Setup.
Nur da, wo es erzwungen wird (beim Bankkonto würde ich das aber durchaus auch freiwillig machen). Ich bin vor allem davon genervt, dass in den meisten Fällen das Handy (über SMS oder irgendwelche Apps) der zweite Faktor ist, obwohl ich den meisten Plattformen nicht einmal freiwillig meine Handynummer gebe.
Also ich nutze es wo es geht und auch was es so gibt. TOTP, Hardwaretoken oder auch gerne Passkey.
Aktuell bin ich bei 52 TOTP’s
Bin bei 31 TOTPs
Die Nutella-Frage ist glaub ich, welchen Passwortmanager man nutzt, wobei Bitwarden hier in der Kommentarsektion zu überwiegen scheint.
Bitwarden ist irgendwie kagge. Ist nicht leicht weil ich Keepass[DX/XC] und Syncthing (Syncthing-Fork, Syncthingy) benutze. Aber eine andere Person verwendet Bitwarden für Einfachheit, und deren Server waren down und mehr.
Ja, aber nur in geringem Maß. Ich sollte das in mehr meiner Accounts aktivieren. Ich hätter gerne WebAuthn.
Am schlimmsten sind aber die Dienste die im Hintergrund TOTP machen, das ganze aber nur über die eigene App geht. Weil wieso sollte man seine 2fa Tokens auch vom Handy backupen wollen. So ein Smartphone geht ja nie kaputt oder verloren.
Ich hoffe auch dass webauthn sich möglichst weit verbreitet. Leider funktioniert webauthn bei mir nicht aufm Handy weshalb ich trotzdem überall TOTP hinterlegt habe
Hättest du ein eli5 für WebAuthn für mich?
WebAuthn, Abkürzung für “Web Authentication” ist ein relativ neuer Standard für das Internet, der von Browser-Entwicklern und Technologieunternehmen geschaffen wurde um den Schutz von Online-Konten zu verbessern. Statt nur auf Passwörter zu setzen, erlaubt es Websites, Benutzer mittels sicherer Methoden zu überprüfen. Zum Beispiel dem Fingerabdruck und auf dem Gerät eingebauten Sicherheits-Chips, oder Chipkarten oder separaten kleinen Geräten die man wie einen Schlüssel in die USB-Buchse stecken kann oder kontaktlos an den Computer oder das Telefon hält.
Man kann damit unterschiedliche Sicherheitskonzepte umsetzen. Je nach Anforderungen kann der Besitz des Schlüssels ausreichen, oder zusätzlich zu einem Passwort verlangt werden. Es kann auch Schlüssel plus eine kurze PIN oder Fingerabdruck verlangt werden.
Der Trick dabei ist (wie bei anderen Methoden) ist der Hardware-Schlüssel. Passwörter können einfacher gestohlen oder geknackt werden und dann für Cyber-Angriffe genutzt werden. Selbst bei einigen anderen gängigen 2-Faktor-Methoden können beide Faktoren abgezapft werden. Beispielsweise indem sich Zugriff auf das verknüpfte E-Mail-Konto verschafft wird, SMS abgeleitet werden oder einfach beide Geheimnisse aus der Eingabemaske gestohlen werden. WebAuthn verdindert dies indem der Online-Dienst mittels kryptografischer Methoden direkt mit dem jeweiligen Benutzergerät spricht und nur genau den Browser auf diesem Gerät freischaltet.
Die Idee von WebAuthn ist hierbei, eine standardisierte technische Schnittstelle zu schaffen, die dann von möglichst vielen Online-Diensten unterstützt wird.
Dies. Webauthn (Nitrokey für zu haus am Rechner, solokey2 für unterwegs am Telefon über nfc) gehört verpflichtend… totp als backup meinetwegen…
Wer als „technisch versierter“ kein 2FA benutzt hat die Kontrolle über sein digitales Leben verloren. Bei den normalen Menschen muss man ja schon froh sein wenn sie nicht auf allen Diensten das gleiche Passwort benutzen. Also ja - vom Email-Account bis zur Anmeldung auf meinem NAS - was irgendwie möglich ist wird mit 2FA TOTP zusätzlich abgesichert.
Dito - es ist eine Sache bei einem altem Account kein 2FA zu haben, weil man das damals nicht konnte und die Möglichkeit zur 2FA später nicht mitbekommen hat. Es aber generell nicht zu machen?! Wenn ich die Option habe oder durch Zufall später finde, dann wird die angeschaltet.
Viele Passwortmanager u.ä. bieten ja sogar einen Scan ob man Accounts hat, deren Anbieter 2FA unterstützen, aber deren 2FA-secrets nicht im Passwortsafe stehen. Die Listen sind zwar auch nicht 100% vollständig, aber auch immer ein interessanter “Scan” der eigenen Accounts. Und selbst wenn man die secrets nicht im Passwortsafe speichert, dann kann man die Liste dort ja bequem mit den eigenen Accounts abgleichen…
Auf jeden fall. Würde gerne zu Keepass wechseln aber keine Ahnung wie das da geht, nutze momentan Aegis
SMS ist auch ein zweiter Faktor. Ich verwende es (also allgemein 2FA) bei den meisten Diensten, wann immer möglich. Es gibt aber Dienste mit App-Zwang. Das fällt für gewöhnlich raus. Leider gibt es auch viele, die alles auf demselben Gerät machen, also bspw. Banking-App + Banking-TAN-App. Oder ein Kollege speichert Passwort und OTP zusammen in Bitwarden. Das ist dann natürlich auch lost
sms ist aber kein sicherer 2faktor
Ja - überall wo es geht. Ich bevorzuge einen Yubikey als zweiten Faktor, anderenfalls benutze ich TOTP-Codes mit einer App, die sich optional auch im Browser integrieren lässt (2FAS). Mit Apple und Microsoft benutze ich deren Methode, bei Google benutze ich Yubikey + TOTP.
Alles was geht mit yubikey abgesichert (pw manager, google accounts, PC), sonst authy für totp
Jain.
Bei wichtigen Accounts (z.B. Email und Bitwarden) verwende ich 2FA (mit der App Aegis), für unwichtiges (Forenaccounts, etc.) bleibe ich nur bei einem (zufallsgenerierten) Kennwort.
Yes, nach Möglichkeit benutze ich das bei den meisten Services, gerade bei „kritischer Infrastruktur“ meines Alltags.
Ich benutze überall wo möglich 2FA und generiere mittels Aegis (Android 2FA App) die Einmalpasswörter. Passwortmanager war erst KeepassXC, aber bin dann aufgrund des Cloud-Vorteils zu BitWarden gewechselt.
Um 2FA komm ich auch gar nicht rum, da die Uni das für die Verwendung der VPN zwangsläufig benötigt. Insgesamt bin ich bei 18 Websites bei denen ich 2FA verwende (+ Steam mittels eigener App).
Ich bin noch bei KeepassXC und lasse es über Cloud Storage synchronisieren. Momentan noch via iCloud, da Apple Infrastruktur, ich werde aber wechseln, da bald wieder ein Linux-Rechner ins Haus kommt. Klappt super mit dem nativen Client auf OS X (via Homebrew) und Linux und auf iOS via KeePassium.
Ich bin auch mit KeePassXC sehr zufrieden gewesen, jedoch bin ich nach mehreren Jahren dann zu BitWarden gegangen, da das Hosting direkt dabei ist. Ich selber bin mittlerweile seit fast 5 Jahren auf Linux unterwegs.
Einzige Ausnahme ist leider eine Win10 Partition fürs gelegentliche Zocken, aber das wird in Zukunft auch mehr und mehr meinerseits Richtung Linux umgelagert und halt auf meinem Surface Laptop 3, weil ich für die Uni zwangsläufig Programme brauch, die nur unter Win10 laufen. Origin und ChemDraw hatte ich beide nicht zufriedenstellend mit Wine zum Laufen bekommen und VM ist jetzt auch nicht das Wahre
Für wichtige Accounts hab ich richtige 2fa mit yubikey und TOTP aufm Handy und für alles andere wo es geht hinterlege ich den TOTP (oder passkey) in bitwarden direkt. Damit ist der xusätzliche Schutz zwar geringer aber der comfort mit automatischem ausfüllen bleibt gleich
Edit: Insgesamt haben 121 Accounts 2fa mittels TOTP aktiviert. Bei wie vielen yubikey und/oder passkeys hinterlegt sind kann ich nicht genau sagen
