Welche App für 2FA ist empfehlenswert

[Nick Simkop]

Wie macht ihr das mit dem 2. Faktor? Welche App ist unter Berücksichtigung von Datenschutz, Sicherheit, Benutzerfreundlichkeit zu empfehlen?

Ich selber benutze "2FA Authenticator" (https://play.google.com/store/apps/details?id=com.twofasapp&hl=en_IN)

[wwurst]

Ich nehme (sind alle Open Source):

• Andoid FreeOTP+
• Windows WinAuth
• Linux oath-toolkit

[..::. o.Z.o.n.e .::..]

Android: andOTP

[rheingold]

F-Droid andOTP

[skunk]

Ich nehme die Hardware Variante Yubikey. Das wäre nochmal eine Nummer sicherer als die Apps. Vorher aber prüfen ob eure gewünschten Seiten das auch supporten. Bitcoinde macht es was ich sehr löblich finde.

[Anevay]

vor 3 Stunden schrieb Nick Simkop:

Wie macht ihr das mit dem 2. Faktor? Welche App ist unter Berücksichtigung von Datenschutz, Sicherheit, Benutzerfreundlichkeit zu empfehlen?

Ich selber benutze "2FA Authenticator" (https://play.google.com/store/apps/details?id=com.twofasapp&hl=en_IN)

2FA Authenticator von Google:

- Datenschutz: Das Tool speichert keine persönlichen Daten weil es keine persönlichen Daten abfragt

- Datenschutz: Das Tool tauscht keine Daten mit Servern aus. Die App benötigt keine Internetverbindung.

- Benutzerfreundlichkeit: QR-Code scannen oder Code eintippen. Danach Code ablesen oder durch antippen in die Zwischenablage kopieren.

 

Diese 2FA-Methode ist sehr einfach konzeptioniert.

Anhand eines Keys (in der Regel 16 Zeichen) und der aktuellen Uhrzeit (auf eine halbe Minute genau) wird eine 6stellige Ziffernfolge errechnet. 

Mehr nicht. Das geht komplett offline. Nur die Uhrzeit muss stimmen.

[Nick Simkop]

vor 3 Stunden schrieb wwurst:

Ich nehme (sind alle Open Source):

• Andoid FreeOTP+

Hört sich interessant an, werde ich ausprobieren.

[Nick Simkop]

vor 1 Minute schrieb Nick Simkop:

Hört sich interessant an, werde ich ausprobieren.

edit: hab gerade gesehen, dass es FreeOTP+ ebenso wie andOTP bei f-droid gibt. Mein Traum von einem googlefreiem Handy rückt immer näher 

[fox912]

vor 3 Stunden schrieb Nick Simkop:

edit: hab gerade gesehen, dass es FreeOTP+ ebenso wie andOTP bei f-droid gibt. Mein Traum von einem googlefreiem Handy rückt immer näher 

Auch ich kann dir FreeOTP+ empfehlen. Verfügbar über FDroid war das mitunter auch ein Auswahlkriterium für mich, verwende fast ausschließlich APPs von FDroid (G Playstore -> was ist das? ;-). Wenn FDroid mal was nicht eingepackt hat, gibts noch die Möglichkeit von Aurora Store (anonymer Account).

Leider ist ein Android ohne Google Account / Play Store nur die halbe Miete zu nem "google freien" Handy -> da Android nun mal von Google ist (wenn auch opensource), stecken doch sehr viele Dienste tief im Betriebssystem, die heim schnüffeln zb. NTP.

Was dem einen guten Schritt näher kommt, wird mit /e/ versucht -> ein Android, bei dem eben solche genannten Google Dienste entfernt, und durch Alternativen ersetzt wurden.

Steht schon ne Weile auf meiner ToDo Liste, aber noch keine Zeit gefunden es mal zu flashen (kommt aber noch). Siehe https://e.foundation/

ps.: es gibt auch noch eine Reihe von Android Alternativen (privacy, security, ...) aber die meisten schränken Komfort, verfügbare APPs, ... dann doch erheblich ein.

[Nick Simkop]

vor 51 Minuten schrieb fox912:

aber die meisten schränken Komfort, verfügbare APPs, ... dann doch erheblich ein.

hatte mal lineage aufm Handy, damals hieß das noch cyanogenmod. Ganz ohne Gapps funktionieren aber die Messenger nicht, zumindest war das damals so, und ein Handy ohne Signal oder Threema, Whatsapp benutze ich sowie nicht, macht für mich nicht wirklich Sinn. Mittlerweile funktionieren die glaube ich aber auch ohne Gapps.

Wenn mein neues Handy dann mal keine Sicherheitsupdates mehr bekommt werde ich den Schritt wieder wagen und mir Lineage installieren und bis dahin möglichst nur noch apps aus f-droit benutzen, damit der Umstieg nicht so hart wird. Früher, als ich jünger war fand ich es total geil neue Software/Programme auszuprobieren, mittlerweile macht mir das zuviel Mühe und ich greife lieber auf Bewährtes zurück.

Danke für den Tip mit Aurora-Store, schaue ich mir mal an, kannte ich noch nicht.

[PeWi]

2 hours ago, fox912 said:

Leider ist ein Android ohne Google Account / Play Store nur die halbe Miete zu nem "google freien" Handy -> da Android nun mal von Google ist (wenn auch opensource), stecken doch sehr viele Dienste tief im Betriebssystem, die heim schnüffeln zb. NTP.

Was dem einen guten Schritt näher kommt, wird mit /e/ versucht -> ein Android, bei dem eben solche genannten Google Dienste entfernt, und durch Alternativen ersetzt wurden.

Ich habe mich bei meinem Handy für die MicroG-Variante von LineageOS entschieden. Da sind auch die Google-Service, die bei LineageOS üblicherweise per GApps nachinstalliert werden, durch nachprogrammierte, googlefreie Versionen ersetzt. Manches lässt sich schlecht googlefrei nachimplementieren, z.B. die Zahlungsinfrastruktur für Apps u.ä. - sowas fehlt halt dann. Muss man abwägen, ob man darauf verzichten kann oder nicht.

Wer sein Handy-Modell-Kürzel kennt, kann ja mal nachschauen, ob sein Modell out-of-the-box unterstützt wird:

https://download.lineage.microg.org/

Wer sein Modell-Kürzel nicht kennt, kann es bei TWRP nachschauen:

https://twrp.me/Devices/

 

Bearbeitet 3. Dezember 2020 von PeWi
Tippfehler

[fox912]

vor 17 Stunden schrieb Nick Simkop:

hatte mal lineage aufm Handy, damals hieß das noch cyanogenmod. Ganz ohne Gapps funktionieren aber die Messenger nicht, zumindest war das damals so, und ein Handy ohne Signal oder Threema, Whatsapp benutze ich sowie nicht, macht für mich nicht wirklich Sinn. Mittlerweile funktionieren die glaube ich aber auch ohne Gapps.

Cyanogen / Lineage ist immer fein, aber wie du schreibst - bei nem neuen will ich zumindest im ersten Jahr auch nicht herum basteln. Bin aber immer fein mit FDroid ausgekommen, als Ergänzung Aurora (gibts auch auf FDroid).

Von Aurora zieh ich mir zb. Signal, Riot bzw. nun Element gibts von FDroid.

vor 16 Stunden schrieb PeWi:

Wer sein Handy-Modell-Kürzel kennt, kann ja mal nachschauen, ob sein Modell out-of-the-box unterstützt wird:

https://www.xda-developers.com/ war da immer meine erste Anlaufstelle für Custom-ROMs (schon viele probiert) -> mit cyanogen/lineage hast aber im Allgemeinen am wenigsten Troubles.

[Coins]

Am 3.12.2020 um 14:50 schrieb skunk:

Ich nehme die Hardware Variante Yubikey. Das wäre nochmal eine Nummer sicherer als die Apps. Vorher aber prüfen ob eure gewünschten Seiten das auch supporten. Bitcoinde macht es was ich sehr löblich finde.

Hätte mal zwei Fragen:

1) Sollte man den im Shop von yubico.com kaufen oder kann man den auch bedenkenlos über eBay/Amazon bestellen? Wo habt ihr bestellt, wo gibt es die am preiswertesten?

2) Wenn man seinen Yubikey verliert oder er defekt ist, dann hat man ziemlich viel Ärger, oder? Man kann sich dann ja nicht mehr dort einloggen, wo man ihn aktiviert hat...

[micha169]

On 12/5/2020 at 8:55 AM, Coins said:

2) Wenn man seinen Yubikey verliert oder er defekt ist, dann hat man ziemlich viel Ärger, oder? Man kann sich dann ja nicht mehr dort einloggen, wo man ihn aktiviert hat...

Dann holt man sich einfach 2 und benutzt einen als Backup?

[kater]

Am 5.12.2020 um 08:55 schrieb Coins:

Hätte mal zwei Fragen:

1) Sollte man den im Shop von yubico.com kaufen oder kann man den auch bedenkenlos über eBay/Amazon bestellen? Wo habt ihr bestellt, wo gibt es die am preiswertesten?

2) Wenn man seinen Yubikey verliert oder er defekt ist, dann hat man ziemlich viel Ärger, oder? Man kann sich dann ja nicht mehr dort einloggen, wo man ihn aktiviert hat...

1) Ich denke du kannst den Key bei jedem Versanddienstleister deines Vertrauens bestellen. Wenn du noch kein direkter Kunde von Yubi bist (Achtung Ledgerparanoia!) und bereits einen Amazon Acc. hast, bestelle am Besten über Amazon. Ich habe den NFC5 und empfinde den als gute Wahl.

2) Du hast einen Secretkey für deine mit dem Yubikey verwaltetet Accounts. Solange du diese gut verwaltest, hast du kein Problem. Ein direktes Backup des Key ist nicht möglich.

[BitcoinKenner]

vor einer Stunde schrieb kater:

2) Du hast einen Secretkey für deine mit dem Yubikey verwaltetet Accounts. Solange du diese gut verwaltest, hast du kein Problem. Ein direktes Backup des Key ist nicht möglich.

Ist es nicht möglich zwei Yubikeys zu registrieren? Somit wäre dann ja ein Backup vorhanden oder nicht?

[kater]

vor 51 Minuten schrieb BitcoinKenner:

Ist es nicht möglich zwei Yubikeys zu registrieren? Somit wäre dann ja ein Backup vorhanden oder nicht?

Ja, das ist möglich! Ich verlinke dazu mal den Supportartikel von Yubico zu diesem Thema:

Can I Duplicate or Back Up a YubiKey?

 

[BitcoinKenner]

vor 12 Minuten schrieb kater:

Ja, das ist möglich! Ich verlinke dazu mal den Supportartikel von Yubico zu diesem Thema:

Can I Duplicate or Back Up a YubiKey?

 

Würdest du einen Yubikey einer App vorziehen wo es möglich ist?

[Anevay]

vor 6 Minuten schrieb BitcoinKenner:

Würdest du einen Yubikey einer App vorziehen wo es möglich ist?

Wozu?

Die App macht nichts weiter als einen Code mit einem Zeitstempel zu multiplizieren.

Den Key wirst du nicht immer dort haben wo du ihn brauchst. Die App schon.

Ein verlorener Key ist Mist. Eine verlorene App wird einfach wieder hergestellt.

[BitcoinKenner]

vor 2 Minuten schrieb Anevay:

Wozu?

Die App macht nichts weiter als einen Code mit einem Zeitstempel zu multiplizieren.

Den Key wirst du nicht immer dort haben wo du ihn brauchst. Die App schon.

Ein verlorener Key ist Mist. Eine verlorene App wird einfach wieder hergestellt.

Die App ist auf mein Handy und dort gibt es ja Attacken wie Sim Swapping oder ähnliches.Ich würde daher vermuten, dass so ein Hardware Key sicherer ist. Den Key kann ich verlieren, klar! Daher hätte ich auch minimum 2.

[Mr.Anderson]

vor 3 Minuten schrieb BitcoinKenner:

Die App ist auf mein Handy und dort gibt es ja Attacken wie Sim Swapping oder ähnliches.

Bei mir funktionieren die OTP Apps auch ohne SIM und Netzwerk. Keepass unterstützt auch OTP.

[skunk]

vor 41 Minuten schrieb Anevay:

Den Key wirst du nicht immer dort haben wo du ihn brauchst. Die App schon.

Meinen YubiKey habe ich am Schlüsselbund und den habe ich immer dabei. Die App auf meinem Handy lasse ich auch gern mal für eine Stunde unbeaufsichtigt im Büro liegen. Genau da liegt dann das Sicherheits Risiko. Ich installiere auf meinem Handy auch einige Apps bei denen ich nicht weiß ob sie nicht vielleicht sensible Daten wie den 2FA Code an einen Server senden. Beim YubiKey bin ich vor diesen Gefahren geschützt.

vor 42 Minuten schrieb Anevay:

Ein verlorener Key ist Mist. Eine verlorene App wird einfach wieder hergestellt.

Ein verlorener Key kann einfach ersetzt werden. Notfalls muss man den Support der Seite kontaktieren wenn man vergessen hat für genau diesen Fall vor zu sorgen. Passiert bei der App Variante auch häufig genug. Wäre zwar nervig aber wenn ich meinen Schlüsselbund verliere, habe ich ohnehin erstmal noch ganz andere Probleme.

[kater]

vor 1 Stunde schrieb BitcoinKenner:

Würdest du einen Yubikey einer App vorziehen wo es möglich ist?

Ja, schon weil der Key mehr Möglichkeiten (FIDO2, U2F, OTP) bietet als eine App. Die kann nur OTP. Beim Yubico 5 NFC ist aus meiner Sicht die NFC Funktion das Sahnehäubchen. Ich musste mich bei der Auswahl nur entscheiden welcher USB Port mir "wichtiger" ist A oder C. Da A noch weit verbreitet ist und auch eine NFC Funktion dabei ist, ist mir die Entscheidung leicht gefallen.

[Anevay]

vor 5 Stunden schrieb BitcoinKenner:

Die App ist auf mein Handy und dort gibt es ja Attacken wie Sim Swapping oder ähnliches.Ich würde daher vermuten, dass so ein Hardware Key sicherer ist. Den Key kann ich verlieren, klar! Daher hätte ich auch minimum 2.

Die Auth-App braucht keine SIM.

Man kann es auch beliebig kompliziert machen bis man selber durcheinander kommt.

Mein Handy kann auch ungesichert im Büro liegen. Dazu muss jemand auch erstmal die Zugangspasswörter zu den Accounts kennen.