TimmyDuese
Ensign
- Registriert
- Apr. 2022
- Beiträge
- 159
Hallo zusammen,
ich richte seit ein paar Tagen meine Konten-Sicherheit grundlegend neu auf und stecke in einem Dilemma zwischen "maximaler Sicherheit" und "praktischem Alltag". Würde gerne ehrliche Erfahrungen / Meinungen hören.
Zu mir:
Bisher habe ich folgendes:;
In diesen Stufen denke ich derzeit:
1. Sehr kritisch + FIDO2 möglich → YubiKey-FIDO2 (Webhoster, Mail, Cloud Dienste)
2. Sehr kritisch + nur TOTP → Yubico Authenticator (wie 1 aber nur da wo FIDO nciht möglich ist)
3. Mittelkritisch (z.B. YouTube Premium, Foren mit Bezahl-Daten) hier weis ich nicht, Passkey oder OTP App
4. Unkritisch (Shops, Foren , unwichtige Dinge) → Apple-Schlüsselbund reicht denke ich mal Regelfall mit OTP APP
Nun zu den Fragen:
1. Push-2FA bei Google nervt mich gerade total. Selbst wenn ich YubiKey aktiviere, kann jeder, der mein iPhone in die Hand bekommt + mein Passwort kennt, per Push bestätigen und ist drin. Macht den YubiKey-Schutz doch teilweise zunichte. Ignoriert ihr das einfach? Apps ausloggen ist ja keine Lösung im Alltag.
2. Was mich auch wundert: nach einem YubiKey-Login merkt sich der Browser das ~30 Tage. Wenn jemand in der Zeit an meinen Mac kommt und mein Passwort kennt, braucht er gar keinen YubiKey mehr. Wie geht ihr damit um? Cookies regelmäßig löschen ist für mich auch wieder zu nervig.
3. Backup-Codes: Hab gelesen, Google verlangt teils trotzdem SMS-Code zusätzlich, wenn man "ungewöhnlich" einloggt. Telefonnummer ist offiziell schon raus aus meinem Konto, aber Google nutzt sie wohl intern noch. Wenn ich die Nummer in 5 Jahren mal nicht mehr habe — was dann? Kommt man wirklich nur mit Backup-Codes rein oder bin ich ausgesperrt?
4. Bei YouTube/Premium-Accounts überlege ich noch — lohnt sich da YubiKey, oder reicht ne normale TOTP-App? Bei YouTube ist's ja "nur" das Abo, kein Identitätsdiebstahl-Drama. Stick rausholen udn wie beim normalen Google Konto oder einfach nur auf TOTP vertrauen
5. Wie sichert ihr eure TOTP-App ab? Bei mir ist's OTP Auth, da gibt's iCloud-Sync. Aber dann liegen die Codes ja in iCloud — wenn Apple-ID weg, sind sie potentiell offen.
6. Letzte Frage: Lohnt sich für jemanden wie mich (Privatperson, kein Aktivist/Journalist) überhaupt der ganze Aufwand mit 3 YubiKeys + KeePass + Notfall-Mappe? Oder bin ich da overengineered und ne TOTP-App + starke Passwörter im Apple-Schlüsselbund würde völlig reichen?
Bei Diensten die ich selbst hoste und auf einem VPS am laufen habe da natürlich weiterhin volle Absicherung mit Key usw.
Über Eure Meinungen und Erfahrung bzw wie ihr es macht wär eich euch dankbar.
Danke!
ich richte seit ein paar Tagen meine Konten-Sicherheit grundlegend neu auf und stecke in einem Dilemma zwischen "maximaler Sicherheit" und "praktischem Alltag". Würde gerne ehrliche Erfahrungen / Meinungen hören.
Zu mir:
- Privatperson, Solo-Dev, Arbeite als System-Admin im Beruf.
- 3× YubiKey 5C NFC 1 x zu Hause, einer am Schlüsselbund und 1 x bei Eltern backup
- KeePass (Passphrase + YubiKey-HMAC, kein Key-File)
- Apple-Geräte (Mac, iPhone, iPad) mit Erweitertem Datenschutz
- Windows-Arbeits-PC (24/7 an, fürs Büro), läuft auch privat (hier werd eich noch einen Fingerabdruck Sensor anschaffen
- OTP Auth-App (für Arbeits-TOTP und andere TOTP-Pflicht-Dienste)
Bisher habe ich folgendes:;
- KeePass mit allen 3 YubiKeys gesichert
- Google-Hauptaccount: alle 3 YubiKeys als FIDO2-Sicherheitsschlüssel
- TOTP-App, SMS bei Google entfernt → nur YubiKey + Backup-Codes
- "Passwort überspringen" deaktiviert → 3-Faktor: Passwort + Stick + PIN
- Apple-ID mit Wiederherstellungsschlüssel + Recovery-Kontakt
In diesen Stufen denke ich derzeit:
1. Sehr kritisch + FIDO2 möglich → YubiKey-FIDO2 (Webhoster, Mail, Cloud Dienste)
2. Sehr kritisch + nur TOTP → Yubico Authenticator (wie 1 aber nur da wo FIDO nciht möglich ist)
3. Mittelkritisch (z.B. YouTube Premium, Foren mit Bezahl-Daten) hier weis ich nicht, Passkey oder OTP App
4. Unkritisch (Shops, Foren , unwichtige Dinge) → Apple-Schlüsselbund reicht denke ich mal Regelfall mit OTP APP
Nun zu den Fragen:
1. Push-2FA bei Google nervt mich gerade total. Selbst wenn ich YubiKey aktiviere, kann jeder, der mein iPhone in die Hand bekommt + mein Passwort kennt, per Push bestätigen und ist drin. Macht den YubiKey-Schutz doch teilweise zunichte. Ignoriert ihr das einfach? Apps ausloggen ist ja keine Lösung im Alltag.
2. Was mich auch wundert: nach einem YubiKey-Login merkt sich der Browser das ~30 Tage. Wenn jemand in der Zeit an meinen Mac kommt und mein Passwort kennt, braucht er gar keinen YubiKey mehr. Wie geht ihr damit um? Cookies regelmäßig löschen ist für mich auch wieder zu nervig.
3. Backup-Codes: Hab gelesen, Google verlangt teils trotzdem SMS-Code zusätzlich, wenn man "ungewöhnlich" einloggt. Telefonnummer ist offiziell schon raus aus meinem Konto, aber Google nutzt sie wohl intern noch. Wenn ich die Nummer in 5 Jahren mal nicht mehr habe — was dann? Kommt man wirklich nur mit Backup-Codes rein oder bin ich ausgesperrt?
4. Bei YouTube/Premium-Accounts überlege ich noch — lohnt sich da YubiKey, oder reicht ne normale TOTP-App? Bei YouTube ist's ja "nur" das Abo, kein Identitätsdiebstahl-Drama. Stick rausholen udn wie beim normalen Google Konto oder einfach nur auf TOTP vertrauen
5. Wie sichert ihr eure TOTP-App ab? Bei mir ist's OTP Auth, da gibt's iCloud-Sync. Aber dann liegen die Codes ja in iCloud — wenn Apple-ID weg, sind sie potentiell offen.
6. Letzte Frage: Lohnt sich für jemanden wie mich (Privatperson, kein Aktivist/Journalist) überhaupt der ganze Aufwand mit 3 YubiKeys + KeePass + Notfall-Mappe? Oder bin ich da overengineered und ne TOTP-App + starke Passwörter im Apple-Schlüsselbund würde völlig reichen?
Bei Diensten die ich selbst hoste und auf einem VPS am laufen habe da natürlich weiterhin volle Absicherung mit Key usw.
Über Eure Meinungen und Erfahrung bzw wie ihr es macht wär eich euch dankbar.
Danke!
