Backup Codes - Lagerort

[Bannister0946]

Guten Abend,

ich habe den Passwortmanager Bitwarden als Docker Instanz (Vaultwarden) auf meiner Synology NAS
Nun habe ich mir die Frage gestellt, wo ich grundsätzlich Backup Codes ablegen sollte.

Die Backup Codes, wenn man 2FA aktiviert hat, oder wenn man einen Ordner verschlüsselt hat.

Macht es Sinn, diese Backup Codes ebenfalls in Bitwarden einzutragen?

 

[wirelessy]

Nein. Dein Backup sollte an einem anderen Ort, auf einem anderem Medium liegen.
Papier in eine kleine Schatulle, an einem möglichst weit entfernten Ort von deinem NAS.
Du kannst sie durchaus auch in deinen Vaultwarden legen, aber nicht nur.

Die Frage ist, gegen welches Szenario du dich schützen willst. Abrauchen des Vaults, oder Diebstahl des Vaults.

Diebstahl? Dann besser nicht in den Vault. So gar nicht.

 

[Nilson]

Ich hab dafür einen kleinen VeraCrypt-Container.
Dazu habe ich die MFA über Authy. Den Account habe ich mit mehreren Geräten synchronisiert. Ist eins defekt oder kommt abhanden, habe ich über die anderen immer noch Zugriff.

 

[Mickey Mouse]

ich "lagere" solche Backup (i.d.R. redet man wohl eher von "recovery") Codes in (m)einem Keepass(XC) Container, den ich natürlich regelmäßig sichere.

edit: ich verstehe die Frage anders als @wirelessy, für mich sind solche Codes nichts anderes als "normale" Passworte

 

[CoMo]

Es macht mehr Sinn, sich gleich die 2FA Secrets wegzusichern. Dann brauchst du auch keine Backup-Codes, weil du damit die 2FA immer wieder einrichten kannst.

 

[Yuuri]

Macht es Sinn, diese Backup Codes ebenfalls in Bitwarden einzutragen?

Ja.

Es macht mehr Sinn, sich gleich die 2FA Secrets wegzusichern.

TOTP (Secrets) kann man unabhängig genauso hinterlegen.

 

[wirelessy]

ich "lagere" solche Backup (i.d.R. redet man wohl eher von "recovery") Codes in (m)einem Keepass(XC) Container, den ich natürlich regelmäßig sichere.

edit: ich verstehe die Frage anders als @wirelessy, für mich sind solche Codes nichts anderes als "normale" Passworte

Kann man so sehen. Fair.
Realistisch braucht man die nur, wenn der 2FA-Carrier abgeraucht ist. Hardwaredefekt - joh, halb so wild.
Wenn mein 2FA-Carrier geklaut wurde, dann brauch ich die schon, um mir wieder einen Zugang zu verschaffen. Je nach Implementierung.
Wenn mein 2FA-Carrier Zugang zum Vault hat, dann hab ich a) etwas falsch gemacht und b) sollte dann aber auch besser nichts in dem Vault liegen, mit dem ich mir wieder Zugang verschaffen kann.

Wie gesagt, ist eine Frage, wogegen man sich schützen will und wie der Rest der Umgebung aussieht.

Wird der Vault mit den Recovery-Codes und dem ersten Faktor geklaut - dann hab ich kein 2FA mehr.
Dann reicht mir ein Faktor, nämlich Vault-Zugang.

 

[Mickey Mouse]

nee, ich glaube wir reden immer noch aneinander vorbei

ich meine "ganz allgemein" RecoveryCodes, das kann für 2FA sein, muss aber nicht.
ein ganz einfaches Beispiel: die Bitlocker Recovery Codes meiner Windows PCs. Ja, die liegen auch im MS Account, aber ich traue denen nicht zu 100%
oder die Recovery Codes für meinen GitLab Account

aber auch für "ganz normale" 2FA/(T)OTP Zugänge (RFC6238), wie sie heute eigentlich überall üblich sind, speichere ich mir das Secret i.d.R. mit ein meinem Keepass Container (mit) ab, wie @CoMo ja auch schon geschrieben hat. Und ja, ich gehöre zu den Leuten, die den Link dazu unter dem QR Code suchen, wenn das Secret nicht gleich angezeigt wird

 

[wirelessy]

BitLocker Recovery Codes sind 2FA-Recovery.
Zumindest bei TPM (Faktor 1)+PIN (Faktor 2) oder vergleichbarem.

Das hebelt halt 2FA an der Stelle aus. Der Vault wird ja idR mit Faktor 1 gefüllt, und dann auch Faktor 2, oder auch "break-the-glass superpassword", wie auch immer man das nennen will.
Kann ich aufgrund dessen nicht empfehlen, wenn einem sein 2FA irgendwas wert ist.

Das ist wiederum eine andere Diskussion.

Dass der Vault für Passwörter (Faktor 1) da ist, das liegt in der Natur der Sache.
Die gehören da durchaus hin. 2FA ist da etwas gesondert zu betrachten, imo.

 

[Mickey Mouse]

ok, ich traue "meinem Vault", wenn nicht, dann könnte ich ihm ja auch nicht meine "Single-Factor" Passworte anvertrauen, oder?

mir(!) geht es nicht darum, dass meine beiden Faktoren nicht in einem "Vault" (alleine der Name "Tresor" sagt ja eigentlich alles aus) liegen dürfen, also das Problem "auf meiner" Seite liegt, sondern ich sehe die Gefahr auf der anderen Seite bzw. der Übertragung dahin!

ich nutze 2FA wo immer es geht, weil EIN Faktor vielleicht doch mal "abgehört", "abgefangen" oder schlicht "geklaut" werden kann, nicht aus meinem Vault sondern beim Online Höker.

tatsächlich nutze ich sogar die TOTP Funktion von KeepassXC, was (nichtmal ganz so) streng genommen das 2FA Verfahren etwas ad absurdum führt.
aber wie gesagt, ich kann nur für mich und meine(!) Ansprüche an die Sicherheit sprechen und da ist das nach meiner Einschätzung ein akzeptabler Kompromiss aus Sicherheit und Komfort.

das muss aber jeder selber für sich bzw. seinen Anspruch auf Sicherheit bewerten!

 

[MortyMcFly]

Ich habe fürs 2FA meinen Yubikey, da wird per Yubi-Authenticator mit NFC/USB dann auch die Nutzung auf allen Geräten von mir möglich.
Die Recovery-Codes habe ich ausgedruckt und in einem Umschlag im Bankschliessfach liegen, im Zweifel kann dann zum Beispiel auch jemand in meiner Familie da dran, falls mir was passiert.
Direkt im Vault mit aufbewahren würde ich die nicht.

 

[wirelessy]

Na sag ich ja, da muss man sich überlegen wogegen man sich schützt.

Ich seh das so:
Den Vault habe ich, um Passwortkomplexität zu managen.
2FA habe ich, um die Kompromittierung von Passwörtern zu managen.
Wenn mein 2FA mich davor aber nicht mehr schützen kann, weil mein 2FA auf dem selben Weg kompromittiert werden kann, dann brauch ich kein 2FA.

Wo können Passwörter weg kommen:

• Beim Zielsystem. Da hilft mir dann auch kein 2FA, weil kommt auch weg. Hier gibts zwar Abstufungen, aber noja.
• Beim Transfer. In aller Regel erfolgt der Transfer verschlüsselt, und über den selben Kanal wie der andere Faktor. Da mach ich mir also entweder keine Sorgen, oder es ist eh egal.
• Bei mir. Oder, dem Quellsystem. Ich habe ein System, bei dem gebe ich meine Zugänge für einen Login ein.

In aller Regel hat dieses System auch Zugriff auf meinen Vault. Vielleicht nur temporär, aber ich will ja Passwortkomplexität managen, also tippe ich nicht mein 64-Character Passwort von einem Offline-Vault ab. Hier passieren so ziemlich alle Kompromittierungen!​

• Beim Vault. Jut, sollte nicht passieren, da stimme ich dir zu @Mickey Mouse. Kann es aber, ist auch schon passiert, wird auch wieder passieren.

Ja, es gibt auch die Fälle, in denen ich an nicht vertrauenswürdigen Maschinen arbeite, die auch dann nicht unbedingt am Vault hängen.
Aber der große Risikofaktor bin ich und die von mir bedienten Systeme.
An denen kann ich ansetzen, und genau das ist die Kern-Idee von 2FA.


Ein "Vault" schützt Passwörter nicht. Ein Vault (>Passwordmanager) verwaltet Passwörter.
2FA schützt Passwörter.