Da Lemmy im nächsten Update auch die Möglichkeit haben wird, seinen Account mit einem TOTP zu sichern, wollte ich einfach mal fragen, was ihr dafür benutzt.

Nachdem ich eine Zeit lang Authy benutzt habe, benutze ich jetzt Aegis. Es ist Open Source und erlaubt Backups über Google, aber auch über Nextcloud. Sieht schick aus und man kann sogar ein Icon pack in die App laden.

  • teacherman
    link
    fedilink
    Deutsch
    242 years ago

    Nachdem ich diverse Apps ausprobiert habe, bin ich auch bei Aegis gelandet. Kann alles, was ich brauche – und kommt wie viele andere Apps, die ich nutze, aus dem F-Droid-Store und nicht von Google.

    • @[email protected]
      link
      fedilink
      Deutsch
      22 years ago

      Was ich auch sehr an der App mag ist, dass man einfach die Daten von anderen Apps wie Steam (mit Root) importieren kann

  • @[email protected]
    link
    fedilink
    Deutsch
    212 years ago

    Bin letztes Jahr zu Aegis gewechselt, weil andOTP eingestellt wurde. Bin auch sehr zufrieden.

      • AGuyAcrossTheInternet
        link
        fedilink
        52 years ago

        Ich geh da über Synchting vor und habe eine Kopie der Datenbank auf dem Rechner und eine auf dem NAS. Nicht sonderlich katastrophensicher aber als Endnutzer ausreichend.

        Sicher geht das aber auch mit Clouds.

        • @[email protected]
          link
          fedilink
          22 years ago

          So mache ich es auch. Da man ja nicht So oft neue Accounts hinzufügt lade ich die Backup Datei nach jedem Editieren auch noch in meinen Cryptomator Cloud Tresor

      • @[email protected]
        link
        fedilink
        Deutsch
        32 years ago

        Ja, das Repo ist archiviert und unmaintained. Gibt nicht viel zu entwickeln, aber neue Android-Versionen werden nicht mehr unterstützt und Sicherheitslücken nicht gefixt.

    • AGuyAcrossTheInternet
      link
      fedilink
      42 years ago

      “Dieses postmoderne Aldi-Symbol” oder auch “Aëgis.” Habe nie drüber nachgedacht, ehrlich gesagt.

    • @[email protected]
      link
      fedilink
      Deutsch
      1
      edit-2
      2 years ago

      Ägis, so wie bei allen (pseudo)lateinischen æ-Wörtern,wenn ich es deutsch ausspreche.

      Aëgis (also mit klar abgegrenztem a zu e, aber ohne Glottalverschluss) wenn ichs mal englisch ausspreche.

  • @[email protected]
    link
    fedilink
    Deutsch
    13
    edit-2
    2 years ago

    Ich nutze ein selbst gehostetes Vaultwarden und bin sehr froh darüber, für Passwort und TOTP nicht zwei Apps nutzen zu müssen.

    • @[email protected]
      link
      fedilink
      Deutsch
      22 years ago

      Wie und wo hostest du das? Habe das auch schon überlegt aber habe da arge Sicherheitsbedenken bei meinen kaum vorhandenen Network Security skills

      • @[email protected]
        link
        fedilink
        Deutsch
        22 years ago

        Weißt du, wie du SSH mit einer authorized_keys Datei absicherst? Wenn ja dann solltest du auf der sicheren Seite sein und kannst dir auf jedem beliebigen V-Server einen Docker Container hochfahren. Bitwarden und Vaultwarden bringen schon alles notwendige an Sicherheit mit, nur der Host muss natürlich noch abgesichert sein

        • @[email protected]
          link
          fedilink
          Deutsch
          22 years ago

          Jeder hat andere Anforderungen, aber mir wurde das nicht reichen. ssh mit Schlüssel ist sehr sicher, aber reden hier voll einem PW-Manager. Wer den hat, hat Dein ganzes digitales Leben…

        • @[email protected]
          link
          fedilink
          Deutsch
          32 years ago

          Nicht vergessen, Kinder: Wenn Euch jemand Schokolade anbietet, nicht ins Auto einsteigen. Und nie Scripte ausführen, von denen Ihr nicht den Quellcode angeschaut habt.

          Vor allem nicht bei sowas wie PW-Managern.

    • @[email protected]
      link
      fedilink
      Deutsch
      122 years ago

      Same. Sehr komfortabel. BW packt einem den Code in die Zwischenablage so dass man ihn nur noch einfügen muss.

      Man muss sich jedoch bewusst sein, dass man seine Security ein wenig verwässert. Wenn das BW Konto übernommen wird sind alle Accounts quasi offen.

      Daher für Bitwarden und E-Mail 2FA per Yubikey.

        • @[email protected]
          link
          fedilink
          Deutsch
          42 years ago

          Ja. So mach ich das z.B. D.h. alle PWs und 2FA keys sind in Bitwarden. Bitwarden selbst hat ein langes Master Password + yubikey.

          Für ein zwei kritische Sachen (Google Account etc.) hab ich allerdings als 2FA einen yubikey.

      • @[email protected]
        link
        fedilink
        Deutsch
        02 years ago

        Ja, es ist dann alles nur noch so sicher wie das Bitwarden-Masterpasswort.

        Es hat aber auch einen gewissen Vorteil, wenn man die Notfallzugriff-Funktion von Bitwarden nutzt, hat der andere auch wirklich Zugriff auf alles.

    • Atemu
      link
      fedilink
      Deutsch
      82 years ago

      Hab das immer als kontraproduktiv erachtet. Der ganze Punkt von 2FA ist, dass man Wissen+Haben hat und nicht nur Wissen.

      Wenn man durch Wissen (Master-PW) direkt beides hat, gewinnt man durch 2FA doch nichts mehr.

      • @[email protected]
        link
        fedilink
        Deutsch
        42 years ago

        Stimmt, hab da auch mal eine Weile mit ein paar Kollegen diskutiert. Aber wenn der Bitwarden Account durch ein 30+ Zeichen PW abgesichert ist und dazu auf nicht authentifizierten Geräten man noch mein YubiKey benötigt wird, mach ich mir da weniger Sorgen.

      • @[email protected]
        link
        fedilink
        Deutsch
        32 years ago

        Wenn jemand meinen Bitwarden Account hat, hast du völlig recht, für jeden einzelnen Dienst unabhängig von bitwarden gibt es aber dennoch eine zusätzliche Hürde. Das ust für mich der realistischste Angriffsvektor.

        • Atemu
          link
          fedilink
          Deutsch
          3
          edit-2
          2 years ago

          Wenn jemand meinen Bitwarden Account hat, hast du völlig recht

          Aber das ist doch genau das, wogegen 2FA schützen soll. Neben dem Wissen musst du auch noch etwas besitzen.
          Wenn jemand irgendwie das Wissen erlangt (z.B. dich in der Öffentlichkeit beim PW-eintippen gefilmt), braucht er dann bei 2FA immernoch dein Smartphone, Yubikey, o.Ä., um an deine Accounts ranzukommen.

          für jeden einzelnen Dienst unabhängig von bitwarden gibt es aber dennoch eine zusätzliche Hürde

          Wenn deine Passwörter halbwegs sicher sind, sehe ich keinen wirklichen Benefit.

          Mit meinem Schema (6 Wörter, ein random special char irgendwo) krieg ich ca. 88bits an Entropie.

          Ein TOTP secret ist meines Wissens nach 128bit lang. Wenn 88bit schon mehr als sicher genug sind, bringen die 128bit extra (216bit) keine wirkliche weitere Sicherheit.

          • j4yt33
            link
            fedilink
            Deutsch
            32 years ago

            OT, aber wie setzt sich denn die Formel für die entropie-berechnung zusammen?

            • Atemu
              link
              fedilink
              Deutsch
              3
              edit-2
              2 years ago

              Find ich on-topic und eine gute Frage ;)

              In meiner Word-List gibt es 7776 Wörter und ich habe 6 davon, also 7776^6 Möglichkeiten. Entropie in bits ist der log2 der Möglichkeiten: 77.5 bits.

              Ein Englisches Wort ist im Schnitt 7 Buchstaben lang; 6 Wörter also im Schnitt ca. 42. Es gibt also im Schnitt 42 Positionen, an denen das Zeichen durch ein Sonderzeichen ersetzt werden könnte und daher eine weitere Entropie von log2(42) = 5.39 bits.

              An dieser Position wird eins von 32 Sonderzeichen eingesetzt, also nochmal 5 bits an Entropie.

          • @[email protected]
            link
            fedilink
            Deutsch
            22 years ago

            Mein bitwarden ist sowieso mit Hardware key abgesichert.

            Die Diskussion ist glaube ich so alt wie es TOTP gibt, hab mir beide Diskussionsstränge zur Genüge zu Gemüte geführt. Für mein Verständnis ist es das beste aus allen Welten mit umsetzbarem Komfort. Aber ich würde es auch nicht per se als Rat geben, jedes muss sein eigenes Assessment machen.

      • @[email protected]
        link
        fedilink
        Deutsch
        12 years ago

        Naja, im besten Fall ist Bitwarden ja ebenfalls durch TOTP abgesichert. Sprich man kommt nur an BW ran, wenn auch die TOTP-App/Gerät kompromittiert ist, auf dem die Bitwarden TOTPs laufen. Und in diesem Fall wären dann sowieso alle TOTPs in den Händen des Angreifers.

  • @[email protected]
    link
    fedilink
    Deutsch
    11
    edit-2
    2 years ago

    KeePass. Hab viele der hier genannten Apps durch und finde es mit Abstand am besten. Gibt verschiedene Mobile Apps und mit KeepassXC auch einen top Desktop Client für alle Plattformen.

    Sync funktioniert mit ungefähr allen Cloudanbietern reibungslos.

    Trenne dabei zwischen meiner Passwortdatenbank und meiner TOTP Datenbank und habe zwei verschiedene Apps dafür, weil mir die eine für OTPs besser gefällt.

    Edit: Finde besonders Toll, dass die Passwörter einfach in Form einer Datei gespeichert werden. So kann man das eigentliche Passwort-Management, aka KeePass Datei, vom Cloud Anbieter zum Synchronisieren trennen. Wechsel der KeePass App bzw. des Cloudanbieters wird dadurch trivial. Fast kein Lock-In.

    • @[email protected]
      link
      fedilink
      Deutsch
      22 years ago

      Heute auf lemmy gelesen, dass es momentan wohl nicht weiterentwickelt wird. Viele nehmen jetzt wohl stattdessen Aegis.

      Aegis sieht gut aus, aber momentan bin ich noch nicht bereit auf etwas neues zu wechseln. Wer sagt denn, dass andOTP überhaupt Probleme hat? Oder dass Aegis automatisch sicherer ist? Manche Software ist irgendwann auch einfach "fertig"🤷

      • @[email protected]
        link
        fedilink
        Deutsch
        22 years ago

        Nachdem ich hier mitbekommen habe, dass die Entwicklung stoppte, übertrug ich meinen Daten nun auch auf aegis.

      • @[email protected]
        link
        fedilink
        Deutsch
        12 years ago

        Andotp hat keine export funktion und du musst über Umwege dein vault exportieren. Aegis hat dann aber mit dem Import keine Probleme. Backup und Export geht da auch dann ganz easy.

        • @[email protected]
          link
          fedilink
          Deutsch
          32 years ago

          Also ich hab bei andOTP eine Backup funktion. Die davon ersteltten Dateien hab ich auch schon mit anderen Apps ausgelesen, als ich andere 2FA Apss ausprobieren wollte.

          • @[email protected]
            link
            fedilink
            Deutsch
            12 years ago

            Gab es bei mir damals nicht und da hieß es auch schon die App wird nicht weiter entwickelt.

    • @[email protected]
      link
      fedilink
      Deutsch
      22 years ago

      Bin von andotp zu aegis, nachdem ersteres abgekündigt war. export der keys, import drüben, klappte. Beide haben den Vorteil das sie sich die DB mit otpclient auf dem Desktop teilen können.

  • Bantha
    link
    fedilink
    Deutsch
    92 years ago

    Die integrierte TOTP Funktion von Bitwarden. Ich weiß, das ist dann nicht mehr 2FA nach der Definition, aber nunmal praktisch

    • @[email protected]
      link
      fedilink
      Deutsch
      22 years ago

      Müsste immer noch 2FA sein, da das Gerät ja Zugang zu deinem BW account haben muss, der dann hoffentlich auch mit 2FA geschützt ist

  • @Mori
    link
    Deutsch
    92 years ago

    Privat aegis auf Handy und raivo auf ipad, Microsoft authenticator für alles auf arbeir

  • @[email protected]
    link
    fedilink
    Deutsch
    82 years ago

    Aegis auf Android, Open Source, Biometriesperre dabei und automatische Backups problemlos möglich