2FA Open Source empfehlungen
- Ersteller BitBamBam
- Erstellt am
HominiLupus
Banned
- Registriert
- Okt. 2013
- Beiträge
- 33.550
2FA für welchen Dienst? Für welchen Service? Bei 2FA muss du schon immer angeben wo du dich authentifizieren willst.
1 Faktor ist fast immer ein Passwort ("was du weißt")
2. Faktor ist dann entweder ein "was du hast" (irgend ein physisches Gadget) oder "was du bist" (ein biometrisches Merkmal). Beides ist Hardware. Wie kann das OS sein? Welche "source" meinst du da?
1 Faktor ist fast immer ein Passwort ("was du weißt")
2. Faktor ist dann entweder ein "was du hast" (irgend ein physisches Gadget) oder "was du bist" (ein biometrisches Merkmal). Beides ist Hardware. Wie kann das OS sein? Welche "source" meinst du da?
- Registriert
- März 2007
- Beiträge
- 135
Ok ist wohl doch bisschen komplizierter als ich dachte.
Also für Seiten wie
Facebook
Amazon.de
Google
Also Hauptsächlich Webseiten wo ich erst mein Benutzername und Kennwort eingebe und dann nach dem 2FA Code abgefragt werde.
Ich benutze momentan den Google Authenticator auf meinem Android Smartphone welches zwar super funktioniert aber mir gehts nur darum bisschen unabhängiger von Google zu werden.
Mit Open Source meine ich ein Quelloffene App für Android.
Also für Seiten wie
Amazon.de
Also Hauptsächlich Webseiten wo ich erst mein Benutzername und Kennwort eingebe und dann nach dem 2FA Code abgefragt werde.
Ich benutze momentan den Google Authenticator auf meinem Android Smartphone welches zwar super funktioniert aber mir gehts nur darum bisschen unabhängiger von Google zu werden.
Mit Open Source meine ich ein Quelloffene App für Android.
HominiLupus
Banned
- Registriert
- Okt. 2013
- Beiträge
- 33.550
Wenn du dich mit deinem Smartphone auf Facebook einloggst und dann nochmal eine Smartphone App einen extra Code abfragt ist das kein Sicherheitsgewinn. Das ist schlicht gar nix. Sicherheitstheater und nutzloser Mehraufwand.
Wenn du dich via PC einloggst und das Smartphone das "RSA Token" spielt, ist das auch grade mal so 1.5FA wenn man sehr großzügig ist. Das Smartphone ist voll programmierbar und damit kompromittierbar.
Genauso ist eine weitere/andere App kein wirklicher Sicherheitsgewinn, selbst wenn es sowas geben würde.
Wenn du dich via PC einloggst und das Smartphone das "RSA Token" spielt, ist das auch grade mal so 1.5FA wenn man sehr großzügig ist. Das Smartphone ist voll programmierbar und damit kompromittierbar.
Genauso ist eine weitere/andere App kein wirklicher Sicherheitsgewinn, selbst wenn es sowas geben würde.
BlubbsDE
Fleet Admiral
- Registriert
- Juni 2011
- Beiträge
- 51.953
Das solltest Du dann genauer erklären. Sicher bietet eine solche 2 Wege Autorisierung einen merklichen Gewinn in Sachen Kontosicherheit. Ohne dem wird man nicht eingeloggt, wenn man ein fremdes Geräte zum einloggen nutzt.
Und es gibt zig OS Varianten. Sogar der von Google ist als OS veröffentlich worden bei Github.
https://en.wikipedia.org/wiki/Google_Authenticator#Open_Source_status_on_Android
Und es gibt zig OS Varianten. Sogar der von Google ist als OS veröffentlich worden bei Github.
https://en.wikipedia.org/wiki/Google_Authenticator#Open_Source_status_on_Android
Doch, es kann durchaus ein Sicherheitsgewinn sein. Zum Beispiel wenn du fuer das 2FA App ein anderes Passwort benutzt oder den Secret Key auf einem externen Geraet hast (zb Yubikey, mehr dazu gleich).HominiLupus schrieb:
2FA ist eine gute Sache und schuetzt dich unter anderem in dem Fall das jemand an deine Login Daten kommt (zB Databank Leak, eventuell auch bei anderem Anbieter mit gleicher Login/Passwort Kombo).
Weiterhin solltest du, sofern nicht schon vorhanden, ueber einen Passwortmanager nachdenken, damit du nicht ueberall das gleiche Passwort verwendest.
Man kann Smartphone Sicherheit gerne kritisieren, aber als System sind diese immer noch sicherer Designed als der durchschnittliche Windows PC. Sandboxing von Apps, Remote Attestation (e.g. Googles SafetyNet) und AppStores sind relativ effiziente Massnahmen die Windows nicht bietet. Selbstverstaendlich ist bei einem Smartphone natuerlich die Gefahr eines Physikalischen Diebstahls/Verlust bedeutend hoeher.
Ich persoenlich habe einen Yubikey den sowohl einen PGP Subkey (fuer Email und Passwort Manager, Android) als auch meine 2FA Secrets enthalt.
In Kombination mit dem Yubico Authenticator (eine Art Fork von Googles OS Authenticator) kann ich meinen Yubikey per NFC ans Smartphone halten und komme so an meine 2FA Tokens. Vorteil hier: Ich kann mit jedem Smartphone (oder sogar am PC) meine Tokens generieren und das 2FA Secret verlaesst nie den Yubikey (ist somit nicht auf dem Handy). Nachteil: das Ding ist an meinem Schluesselbund, wenn ich den also verliere verliere ich auch meine 2FA Tokens.
Der Yubikey unterstuetzt auch U2F, eine meiner Meinung nach ueberlegene Technologie zum manuellen eingeben des 2FA Tokens. Unterstuetzt wird das mittlerweile von zB Google, Dropbox, Facebook und Github. Details1, Details2.
Yubikey's Software ist in den groessten Teilen Open-Source wenn auch die neuste NFC-Lose Variante dies nicht mehr ist. Es gibt aber auch andere Anbieter von solchen USB Tokens. Voellige Sicherheit ist allerdings sowieso Illusion, nichtdestrotrotz bietet meiner Meinung nach der Yubikey ein guter Schritt in die richtige Richtung und ist relativ bequem zu benutzen.
Zuletzt bearbeitet:
HominiLupus
Banned
- Registriert
- Okt. 2013
- Beiträge
- 33.550
2FA ist ne gute Sache aber 2FA auf dem Smartphone ist es eben selten weil meist kein 2FA.
Ein Yubikey ist gut: weil der ist ein single use device. Da kann ich nicht so leicht aus Versehen Malware draufladen die mir die Yubikey GUI übernimmt und Falschinformationen anzeigen lässt. Oder gibts da auch pro Woche 10 App Updates aus dem Appstore, werden die bekannten Apps von irgendwelchen Typen aufgekauft und zu Malwareschleudern umgebaut? Oder kann ich mit dem Yubikey auch einen Browser/App fürs Onlinebanking aufmachen und gleichzeitig im anderen Task die 2FA Security App die das Banking absichern soll?
All die Dinge die du aufzählst bietet Windows übrigens auch, auch wenn der Appstore aus gutem Grund nicht so angenommen wird. Da ist dann höchstens die Sicherheitssoftware schlechter weil die Features der Plattform wie z.B. ASLR davon nicht genutzt wird.
Ein Yubikey ist gut: weil der ist ein single use device. Da kann ich nicht so leicht aus Versehen Malware draufladen die mir die Yubikey GUI übernimmt und Falschinformationen anzeigen lässt. Oder gibts da auch pro Woche 10 App Updates aus dem Appstore, werden die bekannten Apps von irgendwelchen Typen aufgekauft und zu Malwareschleudern umgebaut? Oder kann ich mit dem Yubikey auch einen Browser/App fürs Onlinebanking aufmachen und gleichzeitig im anderen Task die 2FA Security App die das Banking absichern soll?
All die Dinge die du aufzählst bietet Windows übrigens auch, auch wenn der Appstore aus gutem Grund nicht so angenommen wird. Da ist dann höchstens die Sicherheitssoftware schlechter weil die Features der Plattform wie z.B. ASLR davon nicht genutzt wird.
Ähnliche Themen
