Da Lemmy im nächsten Update auch die Möglichkeit haben wird, seinen Account mit einem TOTP zu sichern, wollte ich einfach mal fragen, was ihr dafür benutzt.

Nachdem ich eine Zeit lang Authy benutzt habe, benutze ich jetzt Aegis. Es ist Open Source und erlaubt Backups über Google, aber auch über Nextcloud. Sieht schick aus und man kann sogar ein Icon pack in die App laden.

    • kniescherz@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      11
      ·
      1 year ago

      Same. Sehr komfortabel. BW packt einem den Code in die Zwischenablage so dass man ihn nur noch einfügen muss.

      Man muss sich jedoch bewusst sein, dass man seine Security ein wenig verwässert. Wenn das BW Konto übernommen wird sind alle Accounts quasi offen.

      Daher für Bitwarden und E-Mail 2FA per Yubikey.

      • wouzilla@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        arrow-down
        2
        ·
        1 year ago

        Davon hat ein User auf dem Lases schonmal erzählt. Also man verwaltet alle TOTPs über Bitwarden außer natürlich den für Bitwarden, da man sich dort über den Yubikey authentifiziert? Richtig? Ich finde die Idee nämlich durchaus interessant.

        • brauni@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          4
          ·
          1 year ago

          Ja. So mach ich das z.B. D.h. alle PWs und 2FA keys sind in Bitwarden. Bitwarden selbst hat ein langes Master Password + yubikey.

          Für ein zwei kritische Sachen (Google Account etc.) hab ich allerdings als 2FA einen yubikey.

      • alphafalcon@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        1
        arrow-down
        1
        ·
        1 year ago

        Ja, es ist dann alles nur noch so sicher wie das Bitwarden-Masterpasswort.

        Es hat aber auch einen gewissen Vorteil, wenn man die Notfallzugriff-Funktion von Bitwarden nutzt, hat der andere auch wirklich Zugriff auf alles.

    • Atemu@lemmy.ml
      link
      fedilink
      Deutsch
      arrow-up
      8
      ·
      1 year ago

      Hab das immer als kontraproduktiv erachtet. Der ganze Punkt von 2FA ist, dass man Wissen+Haben hat und nicht nur Wissen.

      Wenn man durch Wissen (Master-PW) direkt beides hat, gewinnt man durch 2FA doch nichts mehr.

      • chrismit3s@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        4
        ·
        1 year ago

        Stimmt, hab da auch mal eine Weile mit ein paar Kollegen diskutiert. Aber wenn der Bitwarden Account durch ein 30+ Zeichen PW abgesichert ist und dazu auf nicht authentifizierten Geräten man noch mein YubiKey benötigt wird, mach ich mir da weniger Sorgen.

      • MSugarhill@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        ·
        1 year ago

        Wenn jemand meinen Bitwarden Account hat, hast du völlig recht, für jeden einzelnen Dienst unabhängig von bitwarden gibt es aber dennoch eine zusätzliche Hürde. Das ust für mich der realistischste Angriffsvektor.

        • Atemu@lemmy.ml
          link
          fedilink
          Deutsch
          arrow-up
          3
          ·
          edit-2
          1 year ago

          Wenn jemand meinen Bitwarden Account hat, hast du völlig recht

          Aber das ist doch genau das, wogegen 2FA schützen soll. Neben dem Wissen musst du auch noch etwas besitzen.
          Wenn jemand irgendwie das Wissen erlangt (z.B. dich in der Öffentlichkeit beim PW-eintippen gefilmt), braucht er dann bei 2FA immernoch dein Smartphone, Yubikey, o.Ä., um an deine Accounts ranzukommen.

          für jeden einzelnen Dienst unabhängig von bitwarden gibt es aber dennoch eine zusätzliche Hürde

          Wenn deine Passwörter halbwegs sicher sind, sehe ich keinen wirklichen Benefit.

          Mit meinem Schema (6 Wörter, ein random special char irgendwo) krieg ich ca. 88bits an Entropie.

          Ein TOTP secret ist meines Wissens nach 128bit lang. Wenn 88bit schon mehr als sicher genug sind, bringen die 128bit extra (216bit) keine wirkliche weitere Sicherheit.

          • j4yt33@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            2
            ·
            1 year ago

            OT, aber wie setzt sich denn die Formel für die entropie-berechnung zusammen?

            • Atemu@lemmy.ml
              link
              fedilink
              Deutsch
              arrow-up
              2
              ·
              edit-2
              1 year ago

              Find ich on-topic und eine gute Frage ;)

              In meiner Word-List gibt es 7776 Wörter und ich habe 6 davon, also 7776^6 Möglichkeiten. Entropie in bits ist der log2 der Möglichkeiten: 77.5 bits.

              Ein Englisches Wort ist im Schnitt 7 Buchstaben lang; 6 Wörter also im Schnitt ca. 42. Es gibt also im Schnitt 42 Positionen, an denen das Zeichen durch ein Sonderzeichen ersetzt werden könnte und daher eine weitere Entropie von log2(42) = 5.39 bits.

              An dieser Position wird eins von 32 Sonderzeichen eingesetzt, also nochmal 5 bits an Entropie.

          • MSugarhill@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            2
            ·
            1 year ago

            Mein bitwarden ist sowieso mit Hardware key abgesichert.

            Die Diskussion ist glaube ich so alt wie es TOTP gibt, hab mir beide Diskussionsstränge zur Genüge zu Gemüte geführt. Für mein Verständnis ist es das beste aus allen Welten mit umsetzbarem Komfort. Aber ich würde es auch nicht per se als Rat geben, jedes muss sein eigenes Assessment machen.

      • jojo@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        1
        ·
        1 year ago

        Naja, im besten Fall ist Bitwarden ja ebenfalls durch TOTP abgesichert. Sprich man kommt nur an BW ran, wenn auch die TOTP-App/Gerät kompromittiert ist, auf dem die Bitwarden TOTPs laufen. Und in diesem Fall wären dann sowieso alle TOTPs in den Händen des Angreifers.