2FA Möglichkeiten

TossExecutor

Ensign
Registriert
Juli 2021
Beiträge
182
Hallo zusammen,

welche 2-Faktor-Authentifizierung nutzt hier und könnt ihr empfehlen? Ich nutze gerade entweder eine App mit Code oder E-Mail Bestätigung. Beide finde ich oft eher nervig. Habe gesehen es gibt auch physische Sachen die man drücken muss? Kenne mich damit nicht so aus, für Empfehlungen wäre ich sehr dankbar! Fänds cool wenn wenn ich am Ende ein Gegenstand nur wo dranhalten muss z.B.
 
So oder so wird es nervig und Arbeit für dich wenn du 2FA nutzen willst.
Den physischen Gegenstand muss man ja z.b immer mit haben.
 
Sicherheit und Komfort gehen selten Hand in Hand. Entweder, oder.
 
  • Gefällt mir
Reaktionen: dafReak, SuperHeinz, acidarchangel und eine weitere Person
Du kannst zum Beispiel einen YubiKey nutzen.
Ansonsten hab ich alles im Google Authenticator und für die Arbeit alles im Microsoft Authenticator.
 
TossExecutor schrieb:
Fänds cool wenn wenn ich am Ende ein Gegenstand nur wo dranhalten muss z.B.
Dann YubiKey. Wird aber auch nicht von allen Diensten unterstützt (aber von den meisten).
 
Wie sieht es aus mit Passkey? ja kein klassisches 2FA ...
 
frazzlerunning schrieb:
Dann YubiKey. Wird aber auch nicht von allen Diensten unterstützt (aber von den meisten).
wie funktioniert das mit den Keys? muss man die an eine Handy halten? oder drauf drücken? oder in ein Anschluss stecken?
 
Yubikey ist ein Micro USB Stick mit Fingerprint-Sensor und /oder NFC .
Den musst Du dann bei den verbundenen Account immer physisch dabei haben und nach Aufforderung in einen USB Port einstecken oder per NFC mit dem Gerät verbinden.

Zum Nachlesen
 
@TossExecutor kommt auf den Key an. Es gibt welche mit USB-A oder USB-C (früher auch Lightning), viele haben auch NFC.
Ich hab zwei (ist immer besser zumindest zwei zu haben, falls einer mal kaputt geht):
  • einen mit NFC und USB-A (hängt an meinem Schlüsselbund), den kann ich für Laptops oder PCs unterwegs verwenden und mit NFC auch am iPhone.
  • der zweite mit NFC und USB-C (liegt in der Schreibtisch-Schublade zuhause), der dann meist für Gamingrechner, Laptop/SteamDeck und iPad verwendet wird (kommt eh selten genug vor)
Im USB-Port gesteckt muss man dann noch draufdrücken, bei NFC reicht hinhalten.
 
Zuletzt bearbeitet:
Ich benutze AEGIS für TOTPs auf nem Smartphone. AEGIS bietet eine eingebaute Sicherungsfunktion für die Token. Ich hab dafür z.B. mein Nextcloud-Konto hinterlegt. Sprich, ist irgendwas mit dem Smartphone (verloren, verbrannt, vom Hund gefressen...), kann ich auf nem neuen Smartphone wieder AEGIS installieren und die Tokensicherung zurückspielen. So muss ich mir bei den so abgesicherten Onlinekonten keine Gedanken um ein Backup-2FA machen (um ein unbeabsichtigtes Aussperren zu vermeiden), weil das wie gesagt in AEGIS schon eingebaut ist. Einzige Ausnahme: Bankkonto. Das ist per Foto-/QR-TAN-Gerät und verknüpfter EC-Karte abgesichert.
 
  • Gefällt mir
Reaktionen: H_D_Case und PiraniaXL
es gibt mMn nichts simpleres wie den Google oder Microsoft Authenticator.

Dazu UNBEDINGT die Backupcodes sichern die man bei jeder 2FA-Einrichtung bekommt.

Zusätzlich kann man die Authenticator-Apps auch backupen um im Handy-Defekt/Verlustfall nicht alles neu einrichten zu müssen.

es gibt dedizierte Hardware wie den oben bereits genannten YubiKey oder den Rainer STC (schaut aus wie ein altes Handy).

Aber das ist alles mindestens genau so umständlich bzw simpel (wie man es eben sieht) wie die App.

Die Apps funktionieren btw auch völlig OFFLINE.
 
Bruzla schrieb:
Die Apps funktionieren btw auch völlig OFFLINE.
Beim MS Authenticator gilt das aber nicht für MS365 abgesicherte Konten, die benutzen nen Push-Mechanismus, der ohne Internet natürlich nicht funktionieren kann.
 
qiller schrieb:
Ich benutze AEGIS für TOTPs auf nem Smartphone. AEGIS bietet eine eingebaute Sicherungsfunktion für die Token. Ich hab dafür z.B. mein Nextcloud-Konto hinterlegt. Sprich, ist irgendwas mit dem Smartphone (verloren, verbrannt, vom Hund gefressen...), kann ich auf nem neuen Smartphone wieder AEGIS installieren und die Tokensicherung zurückspielen. So muss ich mir bei den so abgesicherten Onlinekonten keine Gedanken um ein Backup-2FA machen (um ein unbeabsichtigtes Aussperren zu vermeiden), weil das wie gesagt in AEGIS schon eingebaut ist. Einzige Ausnahme: Bankkonto. Das ist per Foto-/QR-TAN-Gerät und verknüpfter EC-Karte abgesichert.
Hab ich auch, funktioniert auch offline würde ich sagen.

Wichtig, ein Backup machen, bietet die App auch an. Die Datei ist mit einem Passwort versehen also auch verschlüsselt.

Aegis ist Opensouce.
Wenn ich hier, Googleautentifikator, oder Microsoft lese, Oo......
 
  • Gefällt mir
Reaktionen: H_D_Case, Deinorius und qiller
TossExecutor schrieb:
welche 2-Faktor-Authentifizierung nutzt hier und könnt ihr empfehlen? Ich nutze gerade entweder eine App mit Code oder E-Mail Bestätigung.

Anmeldung
  • Passkey

    Passkey statt Passwort wo dies möglich ist. Ein Passkey funktioniert nur auf der Website, für die er erstellt wurde.

    https://passkeys.directory/, https://passkeys.2fa.directory/de/, https://fidoalliance.org/passkeys-directory/
  • Zwei-Faktor-Authentisierung (Two-factor authentication)

    Aus Gründen der Sicherheit und Zuverlässigkeit wird allgemein Time based One Time Passwords (TOTP) empfohlen, da SMS angreifbar ist - SIM-swapping.
    • Time based One Time Passwords (TOTP)
      Muss/Sollte auf einen anderen Gerät erzeugt werden, damit es sicher ist.
      Authenticator App oder Geräte wie REINER SCT Authenticator.
    • SMS
Wichtig: Daran denken die Wiederherstellungsschlüssel und Back-up Codes zu sichern.



derchris schrieb:
Wie sieht es aus mit Passkey?

AGB-Leser schrieb:
Passkey war doch ein ganzes Gerät, oder?

Beim Passkey handelt es sich um ein kryptografisches Verfahren, das die Identität mit einer Website oder App verknüpft. Der öffentliche Schlüssel liegt beim Anbieter, der private Schlüssel bleibt auf dem Gerät, wo der Passkey eingerichtet wurde.

Statt dem Passwort einzugeben, erfolgt die Anmeldung über Biometrie (Gesichtserkennung, Fingerabdruck) oder der einer PIN.

Siehe auch: Wie funktioniert Passkey?




Mein Sicherheitsmodell

1. Identität & Konten

Die E-Mail-Adresse hat hier eine Schlüsselrolle und die Hauptkonten werden nach dem Zweck getrennt:
  • maximale Sicherheit - rechtlich/finanziell kritisch:
    Banken, Depot/Broker, Behörden (Finanzamt, Rentenversicherung), Verträge mit Identitätsbezug, usw.
  • sehr hohe Sicherheit - weniger kritisch, aber noch finanziell relevant
    PayPal, Klarna, Revolut / Wise, Trading-Apps, Apple/Google Payments, usw.
  • hohe Sicherheit - weniger kritisch, aber wegen der Datensicherheit relevant
    Online-Dienste, wie Apple, Google, Microsoft, E-Mail, usw.
  • weniger kritisch
    Foren, Newsletter, usw.
Schutzmechanismen:
  • Passkey oder getrenntes und starkes Passwort (Passwortmanagement)
  • 2FA: TOTP (Authenticator-App) - wo dies nicht möglich ist SMS
Schützt gegen:
  • Passwortdiebstahl
  • einfache Phishing-Angriffe
  • Credential Stuffing
Rest-Risiko:
  • Phishing in Echtzeit (Push-/Login-Missbrauch)
  • kompromittierte E-Mail-Session

2. 2FA Authentifizierung (TOTP alternativ SMS)
  • Authenticator-App: aktuell AEGIS
  • KeePassXC: Datensicherung des Code für die Authentifizierungs-App, des Wiederherstellungsschlüssel, des Sicherungs-Authentifizierungscodes und Back-up Codes
Ziel
  • Passwörter ≠ TOTP: Passwortmanagent und TOTP in der Authenticator-App und KeePassXC (Backup)
Schützt gegen:
  • gestohlene Passwörter
  • Datenleaks
  • automatische Login-Versuche
Rest-Risiko:
  • PC wird kompromittiert

3. Passwort-Management

Komponenten
  • Passwortmanager: KeePass
  • AEGIS als Authenticator-App und KeePassXC als Backup - KeePassXC und die Datenbank befinden sich auf einen eigenen Dantenträger.
Stärken
  • lokal gespeichert
  • offline nutzbar
  • keine Cloud-Abhängigkeit
Schützt gegen
  • Passwort-Leaks
  • Wiederverwendung von Passwörtern
  • Online-Datenbank-Hacks
Rest-Risiko
  • Zugriff bei laufendem System (Memory/Clipboard)

4. Gerät & Betriebssystem

Komponenten
  • Windows + Defender aktiv
  • Offline-Scans unter Linux
  • Firefox mit minimalen Add-ons
  • Browsen: privater Modus + Cookie-Löschung
Schützt gegen
  • klassische Malware
  • persistente Infektionen
  • Tracking / Session-Leaks (teilweise)
Rest-Risiko
  • sehr gezielte Stealer (selten)
  • Browser-Sessions während aktiver Nutzung

5. Administrator-Modell
  • getrenntes Benutzer- und Administrationskonto
  • Administrationskonto nur gezielt verweden
Schützt gegen
  • ungewollte Systemänderungen
  • persistente Malware-Installation
6. Backup & Recovery

Komponenten
  • Regelmäßige tägliche, wöchentliche und monatliche Backups
  • Backup-Medium Rotation
Stärke
  • sehr hohe Datenverfügbarkeit
  • schnelle Wiederherstellung möglich
 
Zuletzt bearbeitet: (Ergänzung zu Passkey)
JumpingCat schrieb:
Den Beitrag hast du selbst in diesem Stil verfasst?

Ja, das Sicherheitsmodell habe erstellt, nachdem PayPal mir das Konto gesperrt hat, da sich jemand angemeldet haben soll - wie ist bis heute ungeklärt. An dem Sicherheitsmodell habe ich danach Tage gearbeitet und ja auch mit Unterstützung von KI ob es tragfähig ist.

PS:
Der Kern war vor dem Zwischenfall da.

Ich habe PayPal auch zusammen mit KI nachgewiesen, dass die E-Mail von einem ihrer Server stammt. Den Link in der E-Mail habe ich kopiert, überprüft und dann in die Adresszeile des Browsers eingefügt, nachdem ich bei PayPal angemeldet war. Einzige Erklärung ist die Session-Übernahme.

Daher jetzt dieses Sicherheitsmodell, um die Angriffsmöglichkeiten auf ein Minimum zu reduzieren.

Die Angriffsfläche die bleibt ist eine Session-Übernahme (Session-Hijacking). Der Angreifer kann so die Identität annehmen und gesicherte Bereiche ohne Anmeldung verwenden.
 
Zuletzt bearbeitet: (Ergänzung)
Zurück
Oben