85
submitted 1 year ago by Senf@feddit.de to c/de_edv@feddit.de

Da Lemmy im nächsten Update auch die Möglichkeit haben wird, seinen Account mit einem TOTP zu sichern, wollte ich einfach mal fragen, was ihr dafür benutzt.

Nachdem ich eine Zeit lang Authy benutzt habe, benutze ich jetzt Aegis. Es ist Open Source und erlaubt Backups über Google, aber auch über Nextcloud. Sieht schick aus und man kann sogar ein Icon pack in die App laden.

top 50 comments
sorted by: hot top controversial new old
[-] onjen@feddit.de 32 points 1 year ago
[-] emhl@feddit.de 11 points 1 year ago

Sekundiere Aegis. Bester Open Source TOTP Authenticator auf Android

load more comments (3 replies)
[-] utopia_dig@lemmy.ml 5 points 1 year ago

Ich nutze auch Aegis. Vor etlichen Jahren war ich mal bei Authy.

load more comments (1 replies)
[-] techerman@feddit.de 24 points 1 year ago

Nachdem ich diverse Apps ausprobiert habe, bin ich auch bei Aegis gelandet. Kann alles, was ich brauche – und kommt wie viele andere Apps, die ich nutze, aus dem F-Droid-Store und nicht von Google.

[-] luckystarr@feddit.de 5 points 1 year ago

Und man kann die Keys exportieren. Hilfreich wenn man das Gerät wechselt.

load more comments (1 replies)

Bin letztes Jahr zu Aegis gewechselt, weil andOTP eingestellt wurde. Bin auch sehr zufrieden.

[-] PlexSheep@feddit.de 5 points 1 year ago

Eben so. Hat jemand Tips für ne Backup solution?

Ich geh da über Synchting vor und habe eine Kopie der Datenbank auf dem Rechner und eine auf dem NAS. Nicht sonderlich katastrophensicher aber als Endnutzer ausreichend.

Sicher geht das aber auch mit Clouds.

load more comments (1 replies)
[-] Danci@feddit.de 5 points 1 year ago

Verwende ich auch und bin sehr zufrieden damit

[-] cron@feddit.de 4 points 1 year ago

Was, andOTP ist eingestellt?

load more comments (1 replies)
[-] hyazinthe@feddit.de 16 points 1 year ago

Auch Aegis. Wie sprecht ihr den Namen eigentlich aus?

"Dieses postmoderne Aldi-Symbol" oder auch "Aëgis." Habe nie drüber nachgedacht, ehrlich gesagt.

load more comments (4 replies)
[-] steep@feddit.de 13 points 1 year ago* (last edited 1 year ago)

Ich nutze ein selbst gehostetes Vaultwarden und bin sehr froh darüber, für Passwort und TOTP nicht zwei Apps nutzen zu müssen.

load more comments (5 replies)
[-] MSugarhill@feddit.de 13 points 1 year ago* (last edited 1 year ago)

Bitwarden, sowohl für credentials, als auch für TOTP.

[-] kniescherz@feddit.de 12 points 1 year ago

Same. Sehr komfortabel. BW packt einem den Code in die Zwischenablage so dass man ihn nur noch einfügen muss.

Man muss sich jedoch bewusst sein, dass man seine Security ein wenig verwässert. Wenn das BW Konto übernommen wird sind alle Accounts quasi offen.

Daher für Bitwarden und E-Mail 2FA per Yubikey.

[-] MSugarhill@feddit.de 3 points 1 year ago

Hier Solokey, ansonsten das gleiche.

load more comments (4 replies)
[-] Atemu@lemmy.ml 8 points 1 year ago

Hab das immer als kontraproduktiv erachtet. Der ganze Punkt von 2FA ist, dass man Wissen+Haben hat und nicht nur Wissen.

Wenn man durch Wissen (Master-PW) direkt beides hat, gewinnt man durch 2FA doch nichts mehr.

[-] chrismit3s@feddit.de 4 points 1 year ago

Stimmt, hab da auch mal eine Weile mit ein paar Kollegen diskutiert. Aber wenn der Bitwarden Account durch ein 30+ Zeichen PW abgesichert ist und dazu auf nicht authentifizierten Geräten man noch mein YubiKey benötigt wird, mach ich mir da weniger Sorgen.

[-] MSugarhill@feddit.de 3 points 1 year ago

Wenn jemand meinen Bitwarden Account hat, hast du völlig recht, für jeden einzelnen Dienst unabhängig von bitwarden gibt es aber dennoch eine zusätzliche Hürde. Das ust für mich der realistischste Angriffsvektor.

[-] Atemu@lemmy.ml 3 points 1 year ago* (last edited 1 year ago)

Wenn jemand meinen Bitwarden Account hat, hast du völlig recht

Aber das ist doch genau das, wogegen 2FA schützen soll. Neben dem Wissen musst du auch noch etwas besitzen.
Wenn jemand irgendwie das Wissen erlangt (z.B. dich in der Öffentlichkeit beim PW-eintippen gefilmt), braucht er dann bei 2FA immernoch dein Smartphone, Yubikey, o.Ä., um an deine Accounts ranzukommen.

für jeden einzelnen Dienst unabhängig von bitwarden gibt es aber dennoch eine zusätzliche Hürde

Wenn deine Passwörter halbwegs sicher sind, sehe ich keinen wirklichen Benefit.

Mit meinem Schema (6 Wörter, ein random special char irgendwo) krieg ich ca. 88bits an Entropie.

Ein TOTP secret ist meines Wissens nach 128bit lang. Wenn 88bit schon mehr als sicher genug sind, bringen die 128bit extra (216bit) keine wirkliche weitere Sicherheit.

[-] j4yt33@feddit.de 3 points 1 year ago

OT, aber wie setzt sich denn die Formel für die entropie-berechnung zusammen?

[-] Atemu@lemmy.ml 3 points 1 year ago* (last edited 1 year ago)

Find ich on-topic und eine gute Frage ;)

In meiner Word-List gibt es 7776 Wörter und ich habe 6 davon, also 7776^6 Möglichkeiten. Entropie in bits ist der log2 der Möglichkeiten: 77.5 bits.

Ein Englisches Wort ist im Schnitt 7 Buchstaben lang; 6 Wörter also im Schnitt ca. 42. Es gibt also im Schnitt 42 Positionen, an denen das Zeichen durch ein Sonderzeichen ersetzt werden könnte und daher eine weitere Entropie von log2(42) = 5.39 bits.

An dieser Position wird eins von 32 Sonderzeichen eingesetzt, also nochmal 5 bits an Entropie.

load more comments (1 replies)
load more comments (1 replies)
load more comments (2 replies)
[-] joba2ca@feddit.de 12 points 1 year ago* (last edited 1 year ago)

KeePass. Hab viele der hier genannten Apps durch und finde es mit Abstand am besten. Gibt verschiedene Mobile Apps und mit KeepassXC auch einen top Desktop Client für alle Plattformen.

Sync funktioniert mit ungefähr allen Cloudanbietern reibungslos.

Trenne dabei zwischen meiner Passwortdatenbank und meiner TOTP Datenbank und habe zwei verschiedene Apps dafür, weil mir die eine für OTPs besser gefällt.

Edit: Finde besonders Toll, dass die Passwörter einfach in Form einer Datei gespeichert werden. So kann man das eigentliche Passwort-Management, aka KeePass Datei, vom Cloud Anbieter zum Synchronisieren trennen. Wechsel der KeePass App bzw. des Cloudanbieters wird dadurch trivial. Fast kein Lock-In.

[-] Lolors17@feddit.de 10 points 1 year ago

andOTP für Android, von F-Droid.

load more comments (6 replies)
[-] EidorianSan@feddit.de 10 points 1 year ago

Aegis auf meinen Android-Geräten und Raivo OTP auf dem iPhone.

[-] BanthaFood@feddit.de 9 points 1 year ago

Die integrierte TOTP Funktion von Bitwarden. Ich weiß, das ist dann nicht mehr 2FA nach der Definition, aber nunmal praktisch

load more comments (1 replies)
[-] Mori@lemmy.world 9 points 1 year ago

Privat aegis auf Handy und raivo auf ipad, Microsoft authenticator für alles auf arbeir

[-] rickgr@feddit.de 9 points 1 year ago
load more comments (2 replies)
[-] Undertaker@feddit.de 8 points 1 year ago
load more comments (1 replies)
[-] theDuesentrieb@feddit.de 8 points 1 year ago

Aegis auf Android, Open Source, Biometriesperre dabei und automatische Backups problemlos möglich

[-] TiphaineRupa@feddit.de 7 points 1 year ago

ebenfalls Aegis aufm Handy. Und am Laptop GNU pass (fzf + pass + pass-tomb = beste !!)

[-] aussiematt@kbin.social 7 points 1 year ago

Ich benutze BitWarden für das TOPT.

load more comments (1 replies)
[-] Girtablulu@feddit.de 6 points 1 year ago* (last edited 1 year ago)

ich benutze Bitwarden mit TOPT, seit Google auth synchronisiert über den Google Account und soweit zufrieden

load more comments (4 replies)
[-] j4yt33@feddit.de 5 points 1 year ago

Ich muss für die Arbeit den Microsoft Authenticator benutzen und nehme den jetzt auch einfach für alles andere. Zumindest solange, bis mir irgendein internet-nerd sagt, dass das ganz schlimm ist und alle meine Kontodaten irgendwo im darknet hochlädt

load more comments (1 replies)
[-] lemonkey@feddit.de 5 points 1 year ago

Authy privat, Microsoft Authenticator auf der Arbeit

[-] redxef@feddit.de 5 points 1 year ago

Yubico Authenticator, mit zugehörigen Hardware-Tokens. Dazu ein zweites Token als Backup an einer anderen Location.

load more comments (1 replies)
[-] Palmendieb@feddit.de 4 points 1 year ago* (last edited 1 year ago)

Ich nutze Authy, muss aber warnen: Wenn "Multi-Device" aktiviert ist, genügt einem Fremden der Zugriff auf die Rufnummer (z.B. indem er sich bei der Telekom für euch ausgibt und um eine Ersatz-SIM bittet) um ein fremdes Smartphone mit dem Account zu synchronisieren, und so die 2FA Codes zu stehlen.

Schreibt Authy auch so im Kleingedruckten:

To prevent any additional (and unauthorized) devices from being added, make sure you go back and disable “Allow Multi-device” on both devices.

[-] Tealk@lemmy.rollenspiel.monster 4 points 1 year ago
load more comments (1 replies)
[-] n0x0n@feddit.de 3 points 1 year ago* (last edited 1 year ago)

Ravio auf dem iPhone. Open Source. Sichert verschlüsselt in die iCloud, wenn ich es richtig verstanden habe.

load more comments
view more: next ›
this post was submitted on 23 Jun 2023
85 points (97.8% liked)

de_EDV

3805 readers
1 users here now

Ableger von r/de_EDV auf Lemmy.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Weitere IT Communitys:

!informationstechnik@feddit.de

!informatik@feddit.de

!edv_sicherheit@feddit.de

!computerhilfe@feddit.de

founded 1 year ago
MODERATORS