Mina

Ich habe mal eine ganz dumme Frage.

Wenn ihr eine App zur 2-Faktor-Authentifizierung benutzt, die laufende Nummern generiert, und euch mit dem Browser auf dem Fon bei einer Website anmelden müsst, die eben jene Nummer aus der App verlangt:

Gibt es da eine bessere Möglichkeit (auf Android Handys), als von der Browser-App zur 2FA-App und wieder zurück zur Browser-App zu wechseln?

Edit: Man hat mich auf KeePass aufmerksam gemacht. Das schaue ich mir an.

Andere Tipps, gerne!

#2FA #Android

Mar 19 at 10:22amWeb
Show threadJuergen M. BrucknerMar 19

@mina
Also grundsätzlich ist mir da mit "normalen" Apps keine bessere Methode bekannt.

Aber es gibt eine oder zwei Apps aus dem #KeePass - Universum, welche es unterstützen, dass man die Daten (User, Pass, TOTP) direkt importieren kann.
Wenn es Dir sicher genug ist, dass alle drei Angaben aus einem Speicherort kommen, wäre das evtl eine Lösung, die auch #OpenSource ist.

Show threadMinaMar 19

@juergen

OK, da muss ich mich mal schlau machen.

Show threadJuergen M. BrucknerMar 19
@mina
Plattformübergreifend funktioniert meines Wissens #KeePassXC
Schau es Dir mal an.
Show threadMinaMar 19

@juergen

Danke dir!

Show threadSchlaf ist überbewertetMar 19

@mina
Nein.
Das trennen ist Sinn und Zweck der Aufgabe.

Ich befürchte, dass Du eine ToTP-App nutzt und der Code abgelaufen ist?

Show threadMinaMar 19

@halbwach

Es klappt schon, wenn ich wirklich schnell bin, aber ich finde es mühsam.

Wenn ich unterwegs bin und meinen Laptop nicht dabei habe (vom Desktop gar nicht zu reden) habe ich halt nur ein Gerät.

Show threadSchlaf ist überbewertetMar 19

@mina
Was benutzt Du als APP?

Ich benutze Secur* als ToTP Generator.
Der hat eine "virtuelle" Uhr, mit der angezeigt wird, wie lange der code gültig ist und mit einem touch auf die Zahlenkombination kopiert es diese in die Zwischenablage und lässt sich dann komplett einfügen.

* https://apt.izzysoft.de/fdroid/index/apk/com.u2fa.secur?repo=main

„Secur: Cross-platform 2FA client“ – F-Droid Main Repository

A beautiful, cross-platform 2FA TOTP client written in Flutter

IzzyOnDroid Repo Browser
Show threadMinaMar 19

@halbwach

Ich habe 2 Apps, eine heißt einfach 2FAS, die andere heißt FreeOTP, beide haben eine Uhr.

Das mit Tippen und Kopieren in die Zwischenablage klappt tatsächlich. Ich habe mir die bisher immer gemerkt.

Danke für den Tipp!

Show threadSchlaf ist überbewertetMar 19
@mina
👍👏
Show threadMelvin GundlachMar 19
@halbwach @mina Das Trennen ist nicht der Sinn hinter 2FA. Es geht darum, einen zweiten Faktor abzufragen, nicht eine zweite App. Ein zweiter Faktor ist meist „etwas, was ich besitze“ zusätzlich zum ersten Faktor „etwas, was ich weiß“ (Passwort) oder „etwas, was ich bin“ (Biometrie). Das kann auch in einer App passieren. PassKeys z.B. kombinieren auch zwei Faktoren in einem.
Show threadMaxMar 19
@mina es mag paranoid klingen aber: ich verwende niemals dasselbe Gerät
Show threadMinaMar 19

@max_muehsal

Zuhause, klar.

Wenn ich aber unterwegs bin, habe ich nicht unbedingt einen Rechner dabei.

Show threadMaxMar 19
@mina ein guter Vorsatz!
Show threadDaarinMar 19
@mina Keepass2Android hat eine Funktion, wenn du dort einen Eintrag offen hast, kannst du in den Benachrichtigungen das OTP einfach so in den Zwischenspeicher befördern.
Show threadMinaMar 19

@daarin

OK. Da muss ich mich mal schlau machen, was das ist.

Show threadDaarinMar 19
@mina
Das ist eine App, die wie die Windows- und Linuxversionen (ich nutze KeepassXC) zur Passwortverwaltung dient und sie in lokalen verschlüsselten Dateien speichert. Benutze ich inzwischen für alle Passwörter.
https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=de
Keepass2Android – Apps bei Google Play

Keepass2Android ist ein Passwortmanager, kompatibel zu KeePass-2-Dateien (.kdbx)

Show threadMinaMar 19

@daarin

Super! Danke dir!

Show threadRalphStark 🖤 :fcknzs: :pride:Mar 19
@mina Protonpass könnte es auch, aber wie die Vorredner schon erwähnten, das ist eher etwas für komplett Sorglose.
Show threadMinaMar 19

@ralphstark

Danke dir!

Show threadVivianaMar 19
@mina Ich nutze KeePassXC mit der Datenbank gespeichert in der Nextcloud. So kann ich von überall und mit allen Geräten auf meinen Passwörter und 2FAs zugreifen.
Show threadMinaMar 19

@viviana

Das schaue ich mir auf jeden Fall an!

Show threadBedenkenträgerMar 19

@mina
Es gibt auf meinem Android eine Funktion die das direkte springen zwischen 2 Apps ermöglicht.

Ich öffne also die App welche das Passwort oder den 2Fa braucht und gehe dann direkt in die Passwort/2Fa App und wähle das Geheimnisse in den Zwischenspeicher.

Wenn ich jetzt vom rechten Handyrand lange nach links ziehe dann springe ich direkt in die App wo ich die Eingabe machen kann.

Das funktioniert einwandfrei.
Nutze KeepassDX und FreeOTP+

Viel Erfolg

Show threadMinaMar 19

@WorziArmin

Perfekt. Das mit dem Ziehen von rechts nach links kannte ich noch nicht.

Danke!

Show threadfMar 19
@mina zu keepass: wirklich nur, wenn du deine passwörter an einem ort hast, ansonsten führt das 2fa etwas adabsurd (weil mit verlust von einem zugang gleich zugang auf beides gewährt wird). wenn du als regulären PW manager aber etwas anderes nutz, sehe ich da kein problem.
anderer tip: ich nutze (außerhalb von yubikey) die 2fas app. auf ios zeigt die ne uhr, wie lange der code noch gültig ist, regt also tlw zum warten an, wenn der gleich abläuft. plus: kurzes tippen auf den code legt den in die zwischenablage, also kein merken und abtippen, das machts zumindest etwas angenehmer.
Show threadMinaMar 19

@f

Ja, das mit dem Speichern in der Zwischenablage klappt tatsächlich prima (gerade ausprobiert).

Ich hatte da gar nicht dran gedacht und mir die Nummern immer gemerkt.

Show threadfMar 19
@mina hab ich lange zeit auch ao gemacht, gerade mit yubikey(die app ist auf ios sehr nervig) und paypal(als ich das noch nutzte), weil bei letzterem das kein großes feld für die zahl sondern sechs einzelne für die ziffern und somit press ans hold zum einfügen deutlich nerviger war. mittlerweile bin ich meist team copy and paste :)
Show threadJürgen 𐐘Mar 19
@mina Vaultwarden wäre eine Alternative, wird mit der Bitwarden App genutzt und kann den Zahlencode mit ausfüllen.
Show threadMinaMar 19

@juergen

Das muss ich mir mal angucken.

Danke für den Tipp!

Show threadJürgen 𐐘Mar 19
@mina Hier noch ein Artikel von Heise, hab ich aber nicht genau gelesen: Passbolt: Den europäischen Open-Source-Passwortmanager selbst hosten | heise online
https://heise.de/-11172920
Passbolt: Den europäischen Open-Source-Passwortmanager selbst hosten

Der Passwortmanager Passbolt ist Open Source und wird in Luxemburg entwickelt. Wir zeigen, wie man ihn auf eigener Hardware aus dem Heimnetz betreibt.

c't Magazin
Show threadMinaMar 19

@juergen

Danke dir! Gucke ich auf jeden Fall mal rein.

Show threadOpa Gollum Catuvolcus DN9MSMar 19
@mina Nein, markieren, copy und paste ist immer ein Gefummel. Grundlegende PC Dinge sind sehr schlecht ungesetzt auf Smartphones. Ich nutze die Codes zum trainieren des Kurzzeitgedächtnis. Junge Menschen gucken mich böse an, wenn ich Umsetzungen auf Smartphones kritisiere. An guten Tagen schaffe ich den Code einmal auf Anhieb. Meistens zweier Block.
Show threadMinaMar 19

@m

Ehrlich gesagt: Zuhause nutze ich für *alles* lieber den Rechner als das Fon.

Show threadOpa Gollum Catuvolcus DN9MSMar 19
@mina Das Suchen und Finden von Dateien auf einem Smartphone ist maximal falsch umgesetzt. Viele Menschen wissen überhaut nicht, wo was ist. Wenn das Smartphone kaputt geht, dann fällt es auf, ob in der Cloud oder auf dem Gerät. Backup auf eigene externen Datenträgern kennt die junge und die alte Generation überhaupt nicht. Die Generation Diskette / CD / DVD kennt die Funktion eigener Datenträger ganz gut. Ah ne nicht ganz, die Schallplatten Omas und Opas können auch das verstehen.
Show threadMARFELALAMar 19
@mina
Am allerbesten ist es einen sog.
TAN-Generator zu benutzen,
dafür braucht es keine
DatenHungrige-App.
Externes Gerät - Fertig.
😺 🌞 🦄 👀
Show threadMinaMar 19

@MARFELALA

Meine Mutter benutzt tatsächlich so eins für ihr Online-Banking - die hat zwar ein Smartphone, aber nutzt es nie.

Show threadMARFELALAMar 19
@mina
Ich habe damit bislang auch nur
die besten Erfahrungen machen
dürfen.
Bei der Bank, kann Mensch ggf.
auch die alte Bank-Karte zum
TAN-Generator weiter nutzen,
somit ist beim Diebstahl nicht alles
sofort verloren. 🐰 👀
Show threadJörg ZimmermannMar 19
@mina ich hoste das mit 2fauth auf meinem Server selbst. Dann tut es einerseits nicht so weh, wenn das Handy mal wieder nicht zur Hand ist und andererseits bleib ich im Browser und Wechsel nur den tab
Show threadMinaMar 19

@Joerg_Zimmermann

Das ist smart!

Wäre eine Überlegung wert!

Show threadAdi'Vaala vas Miðgarðr 👨🏼‍💻Mar 19
@mina Bitwarden. Wenn man da den TOTP-Seed im Login-Item hinterlegt, wird der TOTP-Code beim Ausfüllen des Logins automatisch in die Zwischenablage kopiert.
Praktisch :-)
Show threadMinaMar 19

@adibue

Das klingt sehr gut!

Schaue ich mir auf jeden Fall an.

Show threadPacmanMar 19
@mina KeePass brauche ich seit Jahren. Vorteil (für mich): Database und Keyfile werden beide getrennt vom PC auf USB-Keys gespeichert, die nur dann mit dem PC verbunden sind, wenn ich KeyPass benutze. Ansonst sind sie ausgesteckt in meinem Büro, d.h. nicht in einem Cloud für Hackers erreichbar. Noch dazu kann KeePass mit einem Yubikey doppelt geschutzt werden.
Alternative: Proton Pass zusätzlich mit Yubikey gesichert.
Show threadMinaMar 19

@pacman

Klingt nach einigem Aufwand beim Aufsetzen, aber dann nach echter Sicherheit.