Ich würde 2FA empfehlen. Sicherer als Aegis, ist auch auf Accrescent.
Welchen Nachteil hat den Aegis.
Gerne einen Thread dafür aufmachen.
Bis dato wurde es hier gerne empfohlen.
Ich glaube übrigens, dass Anbieter auch gerne SMS 2FA anbieten um immer die aktuelle Telefonnummer zu haben. Nervig da es umständlicher ist als TOTP.
Ich nutze selbst auch aegis und es ist mir neu das es da sicherheitsmängel gibt. Sms Tans finde ich schwierig wegen simswapping… Wir haben selbst schon getestet und konnten bei ALLEN Anbietern eine Austausch Simkarte bekommen die nicht auf den Namen des Testers lief. Das System ist nur so sicher wie der Mensch dahinter…
3 „Gefällt mir“
Aegis hat keine Sicherheitsmängel. Nur bei 2FA werden die 2FA-Codes nicht bloß verschlüsselt, sondern die Schlüssel im Secure-Element des Pixels aufbewahrt. D.h. niemand kann jemals an die Schlüssel kommen, der es nicht sollte. Ursprünglich wollte der Dev sogar die 2FA-Codes selbst im Secure-Element storen. Da war aber eine irgendwie gelagerte Begrenzung (müsste mir nochmal die technische Diskussion lesen, um mir sie in Erinnerung zu rufen).
5 „Gefällt mir“
Oh! Interessant! Das klingt gut. Bisher hatte ich auch „nur“ Aegis im Einsatz. Aber das klingt tatsächlich gut.
1 „Gefällt mir“
Da muss ich doch noch mal als DAU nachfragen:
Basiert das Secure Element von Google (ich habe ein Pixel 7a) auf Hardware oder Software?
Funktioniert die 2FA App auch mit GrapheneOS?
Und warum gibt es die 2FA App nur über Accrescent? Sie ist offenbar nicht in den F-Droid repositories und mit Aurora finde ich sie auch nicht.
Auf Hardware
In der Empfehlungsecke:
https://www.kuketz-blog.de/empfehlungsecke/#2FA
Hier sind ente und Aegis etc…
1 „Gefällt mir“
@Neelix Hier geht es um die relativ neue App 2FA, nicht allgemein um 2FA-Apps. Und weil die App so neu ist, konnte sie zum damaligen Zeitpunkt noch nicht eingetragen worden sein.
Klar. Dafür wurde sie ja entwickelt.
Kein Wunder, weil dies ein Sicherheitsbewusster Dev ist, hält der Dev nichts von F-Droid.
Sobald die App in die Release-Candidate-Phase kommt, wird die App im Google Play Store verfügbar sein. Derzeit ist sie noch in der Beta-Phase.
2 „Gefällt mir“
Habe gerade entdeckt, dass KeepassDX, den ich bereits nutze, auch HOTP und TOTP unterstützt. Wird scheinbar selten empfohlen, warum?
Was spricht gegen die Nutzung, ausser dass die Schlüssel vermutlich nicht im Secure-Element des Pixels aufbewahrt werden?
Was spricht gegen die Nutzung von List of F-Droid Repositories?
Weil du dann den Sinn der 2FA-App ad absurdum führst. 2FA ist dein zweiter, von den Passwörtern im besten Fall vollkommen (aber zumindest in einer anderen App/Cloud aufbewahrt) isolierter, Faktor.
Erster Einstiegsartikel (manche Softwareprobleme gelten auch für die Third-Party-Repos): https://curius.de/2025/01/f-droid-und-die-sicherheit/
Schon oft im Forum besprochen, schon viele Male unterschiedliche Berichte verlinkt. Es gibt Gründe, warum viele Menschen (inklusive mir) lieber ihre Apps direkt vom Entwickler via Obtainium anstatt von F-Droid beziehen, auch wenn sie dann der Redlichkeit der Entwickler ausgeliefert sind; immerhin sind sie nicht den F-Droid-Devs ausgeliefert, die laufende Inkompetenz zeigen.
2 „Gefällt mir“
Missverständnis: Da ich Online Banking und Shopping nur am PC mache, ist das Android Telefon immer mein Zweitgerät. Meine Frage ist, ob Aegis besser ist als KeepassDX. Ich synchronisiere übrigens nicht mit der Cloud sondern nur im LAN.
Hinter dem Link benennt Cruiz in seinem Kommentar das Dilemma: es gibt keine sichere und datenschutzfreundliche Lösung für Android. Als DAU vertraute ich bisher F-Droid (Droid-ify), künftig werde ich wohl eher Aurora nutzten - bisher war es genau umgekehrt.
Ich bleibe als Quelle Nr. 1 bei F Droid.
Danach kommt der Play Store in GrapheneOS.
F Droid ist für mich als DAU gut genug.
Dazu noch ein paar andere Paketquellen wie Izzy und gut ist.
1 „Gefällt mir“
Accrescent ist gerade für DAUs der vertrauenswürdigste App-Store (bei F-Droid muss man immer dran denken, dass es das kein certifiate pinning gibt (und nein, das signieren der Repositorys hilft auch nur bedingt (vor allem bei denen, bei denen man den Schlüssel nicht findet))). Siehe dazu auch die FAQ von Accrescent: https://accrescent.app/faq#other-repos Und in Accrescent ist 2FA enthalten. Also reicht das erstmal.
Wenn du in KeepassDX keine Passwörter einträgst, dann vermutlich ja (kenne die genaue Implementierung von KeepassDX nicht). 2FA ist auf jeden Fall sicherer als
Meintest Du “deine” statt “keine”? Sonst kann ich Deinem Satz nicht folgen…
2FA ist ein Manager für 2FA (TOTP). KeepassDX ist ein kompletter Passwort-Manager, der auch 2FA (TOTP) kann. Es gibt dedizierte Programme für 2FA wie z.B. 2FA (oder auch Aegis). KeepassDX ist halt eigentlich ein Passwort-Manager, der aber eben auch 2FA (TOTP) kann (wie auf dem Desktop KeepassXC).
Du solltest PASSWÖRTER und 2FA-Codes GETRENNT voneinader aufbewahren (wie ich oben schon schrieb). Also eine App für deinen ersten Faktor (Passwörter) oder FIDO2-Key (Passkey) und einen für deinen zweiten Faktor 2FA-Codes.
2 „Gefällt mir“
Wieso sollte man das machen?
Schreibt doch keiner vor was man wie benutzen soll.
Geht auch ohne Passwortmanager. Schaffen Millionen von Bürgern.
Ich selbst würde nur den Passwortmanager mit einer extra TOTP absichern und die Accounts dann mit einem Passwortmanager der TOTP kann.
Warum? Weil der Komfort dafür sorgt, dass mehr Menschen überhaupt einen 2FA setzten.
Unwahrscheinlich das jemand nur auf den Passwortmanager zugriff hat dann aber nicht auf die TOTP App.
Weil es halt Teil des Konzeptes von 2FA gehört, ob das nun so sinnvoll ist, oder nicht, sei jetzt erstmal dahingestellt. Die ursprüngliche Frage war, warum meist nicht KeepassDX empfohlen wird. Darauf habe ich geantwortet, dass das ursprüngliche 2FA-Konzept davon ausgeht, dass die Passwörter irgendwo anders sicher (z.B. in einem Passwortmanager (man möchte ja nicht unendlich viele mehr oder wenig lange Alphanumerisch + Sonderzeichen Passwörter in seinem Kopf aufbewahren)) gespeichert werden. Und die 2FA-Codes woanders (also am besten einem anderen Gerät, wenigstens aber in einer anderen App oder Datei) gespeichert werden. Wenn man stattdessen die 2FA-Codes in derselben verschlüsselten Datei wie die Passwörter speichert, hat man einen single-point-of-failure, sodass das 2FA-Konzept ad absurdum geführt wird.
Daraufhin wurde nochmal gefragt, ob denn KeepassDX ohne Cloudanbindung zum Speichern der 2FA in Ordnung wäre. Und da habe ich halt darauf geantwortet, dass dies vermutlich der Fall sei, wenn keine Passwörter in KeepassDX gespeichert würden, ich aber die genaue Implementierung von KeepassDX nicht kenne (womöglich wäre das Speichern der Passwörter sogar in Ordnung, wenn unterschiedliche Dateien, Passwörter und Schlüssel verwendet würden, aber ich kenne die Implementierung halt nicht).
Dann wurde, vermutlich aus Unkenntnis des bisherigen Diskussionsverlaufs, gefragt, ob ‚keine‘ oder ‚deine‘ gemeint war. Ich habe dann verkürzt geantwortet, dass Passwörter und 2FA-Codes getrennt aufbewahrt werden sollten. Richtiger wäre gewesen, dass nach dem Konzept Passwörter und 2FA-Codes getrennt voneinander aufbewahrt werden sollten.
Das ist eine sehr inteligente, deutlich einfachere Herangehensweise, die ja in gewisser Weise ja auch in das 2FA-Konzept passt (auch wenn das nicht ganz dem üblichen Konzept folgt). Schließlich werden in deinem Passwortmanager zwar die 2FA-Codes und die Passwörter zusammen aufbewahrt, aber dein Passwortmanager selbst ist ja selbst extern durch 2FA (TOTP) geschützt. Hat etwas für sich, ich bewahre meine 2FA-Code dennoch lieber in einer gesonderten App auf.
Nix Unkenntnis - die Antworten
“Aegis ist vermutlich besser als KeepassDX, wenn Du in KeepassDX keine Passwörter einträgst” und
“Aegis ist vermutlich besser als KeepassDX, wenn Du in KeepassDX deine Passwörter einträgst” waren beide plausibel. Die erste wirkte nur etwas … seltsam, wenn auch inhaltlich korrekt.
Und nachdem in Deinem Post am Ende offensichtlich ein Wort fehlt, hab ich auch die restliche Qualität hinterfragt und wollte sichergehen 
1 „Gefällt mir“