Willkommen im User-Forum von mailbox.org
 

Zwei-Faktor-Authentifizierung - 4 YubiKeys oder?

1182721 hat dies geteilt, 2 Wochen her
unbeantwortet

Guten Tag,

ich habe mir die Erläuterungen zu 2FA durchgelesen.

Und die sicherste Methode ist, einen YubiKey von mailbox.org zu verwenden.

Wir verwenden zu Hause 1 PC, 2 Lapptöpfe und 2 Handys. Im jeweiligen Büro noch einmal 1PC.

Nach meinen panikartigen Vorstellungen benötigen wir also mindestens 4 Keys, wenn zur Sicherheit (um nicht vergessen zu werden) die Keys im Büro verbleiben. Und zu Hause müßte auch "herum gestöpselt" werden, wenn mal PC, Laptop oder Handy verwendet wird.

Ist das tatsächlich so?

Und im Browser muß erst mailbox abgemeldet werden und dann erst kann der PC heruntergefahren werden. Dazu verwende ich aber einen Hot-Key, das würde also auch nicht funktionieren.

Ich hoffe, daß ich nur einen Denkfehler habe, aber dieses angeführte Szenario wäre mir zu stressig.

Alles Andere was ich vorab über mailbox gelesen habe gefällt mir, deshalb hoffe ich, daß das Anmeldeprozedere nicht so wie beschrieben abläuft.

VG Carl52

Beste Antwort
Foto

Da kannst du jede App nehmen die OTP kann. Beispielsweise Google Authenticator (wenn du denen traust). Am besten wäre FreeOTP weil Open Source. Backup vom 2. Faktor ist auch wichtig, falls man das Handy verliert.

Manche Passwortmanager können auch OTP wie z.B. 1Password. Da ist der Login dann besonders bequem und der 2. Faktor wird über alle Geräte gesynct.

Kommentare (10)

Foto
1

Hallo,

also du kannst dir auch einmal Codes per App generieren lassen. Ich bin zwar kein Sicherheitsexperte, aber ich denke für den normalen User ist das sicher genug.

Wenn du dich vergisst abzumelden, bekommst bei der nächsten Anmeldung eine Fehlermeldung und musst dich erneut anmelden.

Wichtig ist auch noch , das du dich im Büro vielleicht nicht im Forum anmeldest. Denn das ist das gleiche Passwort wie für IMAP, Dav etc..

Foto
1

Danke für die fixe Antwort.

Kannst Du mir zum Thema: Codes per App generieren einen Link geben? Danke

Foto
1

Da kannst du jede App nehmen die OTP kann. Beispielsweise Google Authenticator (wenn du denen traust). Am besten wäre FreeOTP weil Open Source. Backup vom 2. Faktor ist auch wichtig, falls man das Handy verliert.

Manche Passwortmanager können auch OTP wie z.B. 1Password. Da ist der Login dann besonders bequem und der 2. Faktor wird über alle Geräte gesynct.

Foto
1

Danke

Foto
1

Persönlich nutze ich andOTP. Ist ebenfalls OpenSource und wird im Gegensatz zu FreeOTP auch noch gepflegt (Sicherheitslücken!). Ein Nachfolger wird laut Entwickler bereits programmiert.

andOTP bekommt man auch bei F-Droid ;)

Als Backup nutze ich einfach einen Screenshot der OTP-Einrichtung. So kann ich den QR-Code jederzeit neu einscannen und weitermachen.

Foto
1

Ich habe mich auch für andOTP entschieden. Ein großer Pluspunkt war auch, dass es eine Export Funktion gibt, mit der man die Secret Keys exportieren kann, sogar PGP-verschlüsselt. Damit kann man theoretisch auch die selben Keys auf mehreren Geräten nutzen oder nach einem Verlust wiederherstellen (solange sie nicht kompromittiert wurden).

Foto
Foto
1

Sinn und Zweck einer "Zwei-Faktor-Authentifizierung" ist ja gerade, den 2. Faktor ("Besitz") im Falle eine YubiKey nicht aus der Hand zu geben, also hat man sinnigerweise nur einen. Man gibt ja auch nicht diversen Brief- und Paketboten jeweils einen Hausschlüssel. ;-) Sicherheit und Bequemlichkeit schließen sich ein Stück weit aus. Das ist nun mal so.

Foto
1

Sicherheit und Bequemlichkeit schließen sich ein Stück weit aus

Da hast Du schon Recht, aber die Bequemlichkeit .......

Beim Lesen zum Thema 2FA hatte ich mich ein wenig in Panik hinein gesteigert. Aber, wie 1656697 schreibt, es geht ja auch anders.

Foto
Foto
1

kleiner Tipp noch für die Leute , die unter IOS unterwegs sind.

Die App https://itunes.apple.com/de/app/otp-auth/id659877384

Die App OTP-Auth von Roland Moers, funktioniert super, sieht gut aus und erlaubt optional einen verschlüsselten Sync mit der Icloud, sodass mann bei Geräteverlust oder wechsel einfach wieder herstellen kann.

Foto
1

Ein anderer Ansatz: wenn du die Notebooks komplett verschlüsselt, so dass bei einem Diebstahl niemand an die Daten kommen kann, könntest du auf den Rechnern ohne 2FA auskommen.

Das Risiko, dass man sich Malware einfängt, bleibt natürlich da, und davor würde 2FA schützen.

Was man am besten macht, ist echt eine trickreiche Frage.