Eigentlich möchte ich gerne mehr Konten zusätzlich mit 2FA absichern, also mit den one-time-codes, die dann auf dem Smartphone generiert werden. Zugleich beschäftige ich mich aber auch mit meinem digitalen Erbe, d.h. ich möchte z.B. meinem Bruder die Möglichkeit geben, jederzeit ohne Probleme an wichtige Daten und Konten heranzukommen, auch ohne dass er Zugriff auf meinen Laptop oder Smartphone hat. Bisher sehe ich da nur die Backup-Codes, die mir die Autorisierungs-App gibt, als Möglichkeit. Gibt es auch noch andere Möglichkeiten? Wie handhabt ihr das?
Bei vielen Diensten ist 2FA relativ brauchbar implementiert, so dass man den einzelnen 2FA-Service über vielerlei Wege (diverse SW, HW) — auch mehrere gleichermaßen! — nutzen kann. (Bei allen Diensten, bei denen ich tatsächlich ein aktives Konto habe, ist dies so möglich… und ich mache davon entsprechend Gebrauch.)
Ich selbst nutze z.B. eine KeepassXC Datenbank (KeepassXC ist Cross-Platform verfügbar!) und als HW den REINER SCT Authenticator (also weder Computer noch Smartphone, sondern stand-alone). Beide Zugänge sind mit einem individuellen Passwort abgesichert. Und diese Passwörter wiederum habe ich in spezieller Weise für meine Angehörigen hinterlegt.
Zu der KeepassXC Datenbank ist noch zu sagen: Du kannst dort Passwörter, 2FA Codes und auch weitere Informationen (Text-Notizen, Bilder, allgemein Dateien…) geschützt ablegen. Bequem wäre sicherlich eine gemeinsame Datenbank für Passwörter UND zugehörige 2FA Codes (UND eventuell auch noch die Backup-Codes zu den Diensten). Sicher(-er) wären jedenfalls getrennte Datenbanken für jeweils nur eine Kategorie und dabei jeweils ein individuelles Passwort zum Schutz der einzelnen Datenbank.
Die Zugänge zu den KeepassXC Datenbanken sowie der Zugang zum REINER SCT Authenticator sind also die möglichen Schwachstellen. Wer deren Kenntnis hat, kann die zugehörigen Daten entsprechend nutzen. Es kommt also darauf an, wie Du diese hinterlegst. Sie könnten selbst wiederum in einem Safe (SW oder HW) aufbewahrt werden. Du kommst aber am Ende nicht darum herum, gegenüber Deinen Angehörigen Vertrauen zeigen zu müssen. Wenn Du eine vorzeitige (i.e. unberechtigte) Nutzung ausschließen möchtest, bleibt Dir wohl nur die Aufbewahrung und vor allem Zuverfügungstellung (zu einem bestimmten Ereignis, i.d.R. Dein Ableben) über einen Notar.
KeePass habe ich auch als Passwort-Tresor im Einsatz und der ist so abgelegt, dass mein Bruder im Notfall dort rankommt. Dort kann ich dann auch die Backup-Codes vom Authenticator ablegen. Eine HW-Lösung für die 2FA-Codes, wie der Reiner Authenticator ist keine gangbare Lösung wenn die Vertrauensperson weit weg lebt und keinen physischen Zugang zu dem HW-Gerät hat, oder?.
Und 2FA-Codes innerhalb von KeePass erzeugen? Das widerspricht meiner Meinung nach doch eigentlich der ursprünglichen Logik von 2FA…
Ich vermute mal, in meinem Fall gibt es keine andere Möglichkeit als bei 2FA-abgesicherten Konten die Backup-Codes des Authenticators in KeePass mit zu hinterlegen und dann muss die Vertrauensperson damit arbeiten.
(Textauszeichnung (fett) soeben durch mich hinzugefügt)
Also mehrere KeepassXC Datenbanken (jeweils eine pro Kategorie!), falls das nicht ersichtlich war. Eine (nur) für Passwörter, eine (nur) für 2FA-Codes, eine (nur) für Backup-Codes, (eventuell noch eine für weitere Notizen o.ä.). Das macht natürlich beim initialen Erstellen und der fortwährenden Pflege tatsächlich etwas mehr Arbeit als eine einzige gemeinsame Datenbank. Aber es ist halt die sichere und saubere Lösung.
KeePassXC hat für mich die Funktion eines Backups der in meiner Authenticator-App hinterlegten 2fa-Daten. Die Passwörter sind in einer KDBX-Datei, die Seeds für 2fa in einer zweiten. Fürs digitale Erbe liegt alles auf einem USB-Stick im Bankschließfach.