this post was submitted on 06 Feb 2024
25 points (93.1% liked)
Frag Feddit
3704 readers
1 users here now
Wolltest du Der Leere™ schon immer einmal Fragen stellen? Tue dies hier.
founded 3 years ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Ja. Ich bin aber auch technisch versiert. Ich nutze, wie ich es gerne nenne, 1,5FA. Lass es mich erklären:
Ich verwende Bitwarden als Passwortmanager. BW ist in der Cloud gehostet, daher habe ich auf all meinen Geräten immer Zugang zu meinen Passwörtern. Bitwarden kann aber auch als 2FA Token Generator benutzt werden. Statt den Google Authenticator oder ähnliches scannt man mit Bitwarden den QR Code und lässt sich anschließend von Bitwarden die Tokens generieren. Vorteil: Alle meine Geräte haben neben den Passwörtern auch die Tokens zur Hand.
Ich bin mir dabei bewusst, dass dies sicherheitstechnisch nicht ideal ist. Wenn beide Faktoren aus einer Quelle kommen hat man irgendwie nur noch einen wirklichen Faktor. D.h. ich bin nicht dagegen geschützt gegen Angriffe auf meinen Passwortvault bzw Bitwardenaccount als wenn ich kein 2FA nutzen würde.
Dafür habe ich aber erhöhte Sicherheit gegenüber Passwortleaks oder Phishing. Und ich denke hier liegt bei weitem das größere Risiko.
Zudem ist es so komfortabel von Bitwarden sich Username/Passwort automatisch ausfüllen zu lassen und anschließend den TOTP Token gleich in der Zwischenablage zu haben, dass man sich überall sehr schnell anmelden kann ohne erstmal den E-Mailaccount zu öffnen oder sein Handy rauszukramen und zu entsperren. Da dies so komfortabel geht habe ich überall wo es geht TOTP aktiviert, mittlerweile bei 65 Websites.
Der Bitwarden Vault nutzt übrigens einen Yubikey als 2FA.
Auch wenn ich denke, dass jeder 2FA nutzen sollte, wäre ich erstmal dankbar wenn mehr Leute einen Passwortsafe verwenden. Ich kenne zu viele Leute die entweder ein Passwort für alles verwenden oder eine furchtbare Zettelwirtschaft pflegen und dann oft nicht in der Lage sind sich einzuloggen (Zettel nicht dabei, Handschrift kann nicht mehr gelesen werden). Ich habe meiner Schwester Bitwarden eingerichtet und sie ist mir unendlich dankbar dafür. In ihrer non-tech Bubble wird sie auch regelmäßig bewundert was sie da tolles hat, aber diese Leute setzen sich irgendwie trotzdem nicht mal hin und richten es sich selber ein.
Vielleicht sollte ich mich damit selbstständig machen.
Nein, solltest du nicht. Der Bedarf ist da, ja. Aber es gibt einen Grund, dass immer mehr IT Dienstleister Klein- und Privatkunden ablehnen.
Wenn du den ganzen Overhead der "Brauche ich das? Was kostet das?" Gespräche nicht mit abrechnest ist es nicht rentabel zu machen, und wenn du es mit abrechnest, zahlt niemand für seine Privatgeräte das was du abrufst.
Die Leute, die die Dienstleistung am nötigsten hätten, sind leider auch genau die die dann nicht verstehen, warum die Absicherung ihrer Accounts 400€ kosten soll.
Ich mache das ähnlich mit Enpass. Ich gewinne Sicherheit durch die Verwendung von TOTP, aber verliere einen Teil davon wieder, indem Enpass beides (PW+TOTP) aus einer Hand serviert.
SMS versuche ich zu vermeiden, nicht weil die unsicher sind sondern weil ich meine Nummer nicht rausgeben will.
TOTP hilft auch nicht unbedingt bei passwortleaks da der token ja auch im Klartext (zumindest zum Zeitpunkt der Verifikation) beim Server vorliegen muss. Also wahrscheinlich in der gleichen Datenbank wie die Passwort hashes. Webauthn (passkey in bitwarden genannt) hat dat Problem nicht, da public-private Key Kryptographie genutzt wird. Wogegen TOTP aber helfen sind diverse Arten von replay attacks.
Guter Punkt. Werde dann mal nach und nach auf Passkeys umstellen.
Bin ich leider mit keepass oft auch nicht, weil ich mich bisher nicht durchringen konnte, meine Passwortdatenbank außerhalb meines PCs abzulegen. Cloud ist noch immer ein Euphemismus für "der Rechner von jemand anderem", und Smartphones vertraue ich auch nur so halb.
Auf einer Skala von 1 bis 10, wie bescheuert bin ich?
Würd ich nicht als bescheuert werten. Ist halt eine Entscheidung.
Wie wärs mit nem Raspi der Owncloud/nextcloud hosted und wireguard auf dem raspi oder fritzbox. Dann könntest du im notfall immer noch drauf zugreifen.
Muss ich mich mal einlesen, danke für den Vorschlag.
Alternative wäre Syncthing. Damit kannst du auf jedem Gerät Ordner einrichten die dann synchron gehalten werden. Braucht dabei keine Cloud (nextcloud, Google, Dropbox, ...), funktioniert dafür aber halt nur wenn mal mehrere Geräte gleichzeitig online sind.
Ich nutze Microsoft Authenticator, da bekomme ich Cloud Backups und ich bin noch zu faul alles zu Aegis umzuziehen. Diese Unbequemlichkeit (Handy raus, entsperren, App auf, wieder entsperren, Eintrag suchen, kurz warten, weil die Schlüssel in 3 Sek. erneuert werden) verhindert auch, dass ich das pauschal überall nutze. Muss vielleicht endlich mal die $10 im Jahr für Bitwarden Premium zahlen.
Find die 10$ echt fair für das was man damit alles machen kann. Ich packe da zum Beispiel auch meine Keys für Software Lizenzen rein, SSH und PGP Keys, diverse Zusatzinfos in custom Feldern wie: 2FA Backup Tokens, Kundennummern, Services Hotline Nummern, Hotline Passwörter, Geheimfragen Antworten (die ich nie wirklich beantworte sondern mir 4 random Wörter generieren lasse), Personalausweisfoto und und und. Bin mitlerweile bei 850 Einträgen.
Zahle jetzt seit kurzem auch noch für Firefoy Relay und habe es mit Bitwarden verbunden. Wenn ich mich irgendwo anmelde muss ich somit nicht mehr meine echte Email rausrücken sondern erstelle mir für jede Website eine neue E-Mail. Bin soweit auch mit sehr zufriefen.
Wenn man das vergleicht mit anderen Apps die für die ich sehr viel weniger Nutzen habe, die aber gleich 5-8$ pro Monat wollen ist das echt ein Schnapp.
Du Glückspilz! Ich habe schon einigen Leuten Safes eingerichtet, und die sind fast alle bei den Zetteln geblieben bzw. nach wenigen Wochen wieder dahin zurückgekehrt.
Zettel ist halt unschlagbar was intuitive Handhabung betrifft. Neue Software muss man erst noch kennen- und nutzen lernen.