Welche 2FA Methode verwendet ihr am liebsten?
27 Stimmen
7 Antworten
Um genau zu sein wäre das ein FIDO2 Hardware-Key und kein Passkey.
Key: Yubikey 5 NFC 5.7
Abgesehen davon würde ich mal sagen, dass E-Mail auch kein gute TFA/MFA/2FA Methode ist, da man sobald der E-Mail Account kompromitiert ist auch den TFA-Token bekommt UND das Passwort resetten kann. Zudem ist auch unverschlüsselt.
Daher würde ich es auf gleiche Stufe wie die SMS-TFA einstufen.
Okay, ja das stimmt. Aber ich meine eher Richtung E2EE, da ja der E-Mail Provider diese Nachrichten mitlesen kann.
Ja gut, aber Emailprovider halte ich in diesem Szenario für eine geringere Bedrohung als Malware auf einem Endgerät, die auf Emails, SMS und je nach Implementierung sogar auf TOTP Secret Keys zugreifen kann.
Okay, stimmt natürlich auch und wenn man wirklich so ein hohe Threat Model besitzt, sollte man eh zu FIDO2 greifen. Trotzdem sehe ich eben das starke Problem, dass du mit der E-Mail das Passwort und den TFA Token erhältst.
Sehe ich genauso. MFA per E-Mail ist, jedenfalls wenn ein Passwortreset über die gleiche E-Mail Adresse möglich ist, kein MFA, sondern ein Placebo.
Ich setze beruflich auf YubiKey, bei den kritischen Diensten mit FIDO2, ansonsten auf OTP-Token über die YubiKey-App (Speicherung der Secrets erfolgt ausschließlich auf dem PIN-geschützen YubiKey).
Für wenig sensible Dienste nutze ich teilweise auch KeepassXC zur Generierung der OTP-Token. Ist deutlich bequemer, schützt nach wie vor gegen einmal abgephishte Passwörter, bringt aber mit der gemeinsamen Speicherung von Passwörtern und OTP-Secrets einen "single point of failure" rein.
PS: Egal ob man auf Softwarelösungen oder auf Hardware setzt: Ohne aktuelle Backups (bei Hardwaretoken im Form von registrieren Ersatztokens) geht es nicht.
Ich habe immer einen YubiKey (FIDO2) dabei. Und zwei andere habe ich als Backup Zuhause. Meine YubiKeys können auch NFC, damit ich sie am Smartphone nutzen kann.
Für alles was kein FIDO2 akzeptiert, nutze ich Aegis TOTP Codes.
Nutzt du auch den Yubikey Authenticator?
Gleich wie Aegis nur, dass die TOTP Seeds und Tokens auf dem Yubikey gespeichert und „generiert“ werden.
Nein. Kann ich auch nicht. Ich habe die YubiKey Security Key Series und nicht die YubiKey 5 Series.
Wenn du eh YubiKeys hast, was spricht dann dagegen, auch die OTP-Token damit zu generieren (YubiKey-App)?
Ich hasse 2FA. Bei Bankgeschäften, finanziellen Transaktionen ab einem gewissen Betrag völlig okay und nützlich. Ansonsten tierisch nervig.
Es iat aber leider verdammt wichtig. Phising wird immer besser und Daten leaks immer häufiger. MFA ist die einzige Möglichkeit Konten auf Dauer abzusichern.
Ich möchte aber selbst darüber entscheiden, in welchem Maße ich meine Daten schütze.
In den meisten Fällen kannst du das. Aber nicht überrall, denn deine Bank will nicht für deine Dummheit haften, daher zwingt sie dich.
Ich sagte doch, bei Bankgeschäften ist es in Ordnung! Aber wenn ich auf einmal für ein Forum 2FA brauche, dann raste ich aus! Was heißt hier bitte "für deine Dummheit"?!
Was heißt hier bitte "für deine Dummheit"?!
Das war nicht direkt auf dich bezogen, sondern eigentlich sollte es verallgemeinernd sein, da nun mal mehr als 80% der Menschen keine gute Sicherheit in ihrer IT-Umgebung besitzen und leichte Ziele sind.
Das ist in der Tat wahr. Ich sage einer Verwandten von mir auch immer, sie soll ihre Passwörter sicherer machen und Merkhilfen oder einen Passwortmanager benutzen. Aber nein, die Passwörter sind immer total simpel und merken kann sie sie sich auch nicht.
Das Problem ist ja nicht nur das Passwort. Bruteforce Attacken sind auf Online Konten sehr selten effektiv. Das größere Problem ist Phising und wir reden hier nicht vom Prinzen in Nigeria der dir 1 Mio. Euro schenken wil, sonder von gut gemachten Phising-Attacken mit Typsquatting Domains und manipulierten Hyperlinks etc.
Am liebsten vielleicht nicht, aber am häufigsten. Allerdings mit Aegis Authenticator (Open Source), nicht der Google App, die die 2. Faktoren in die Google-Cloud petzt.
Wo möglich, nutze ich allerdings auch einen Yubikey.
Womöglich? Das klingt als würdest du nicht wissen, ob du es gerade nutzt oder nicht.
Ich habe leider 'nen Haufen Accounts, die nur TOTP können, da nehme ich stattdessen die Handy App, da mir TOTP mit dem Yubikey und deren Software zu nervig ist. Yubikey nehme ich nur für Passkeys.
Emails sind im Transport i.d.R. TLS verschlüsselt, deshalb habe ich es als mittel eingestuft. Aber was das Problem mit dem Passwort zurücksetzen betrifft, hast du natürlich völlig recht.