Bundesagentur für Arbeit fordert jetzt Passkey oder TOTP

Liebe Mitforisten,

die Bundesagentur für Arbeit hat für die Online-Anmeldung jetzt statt (bisher) Benutzername + Passwort nunmehr umgestellt auf
a) bundID oder
b) Passkey oder
c) TOTP via Authenticator App.

a) scheidet für mich aus, weil ich die Ausweis-Funktion damals bewusst nicht aktivieren ließ.
b) Ich habe versucht, mich über Passkey hier zu informieren, aber es gibt keinen Artikel von Mike zu dem Thema und im Forum wird wenn, dann in Superexperten-Sprache mit eigenem Server usw. darüber gesprochen. Es gibt nirgends Infos für Anfänger.
c) Smartphone-Zwang gefällt mir nicht. Ob ich eine FOSS-App finde, die das Ganze auch noch ohne SIM-Karten-Zwang darstellt, bezweifle ich.

Könnte mir da jemand einen Rat geben und in Anfängersprache vermitteln?

Ich habe ein CalyxOS-Smartphone, das ich ohne SIM-Karte betreibe. Dieses könnte ich für QR-Codes (TOTP) benutzen - sofern es eine App gibt, die ohne SIM-Karte funktioniert und bei F-Droid erhältich ist UND die die Bundesagentur akzeptiert.

Ich nutze bislang Keepass. Da könnte man anscheinend Passkey irgendwie integrieren?

DU SOLLTEST AUS SICHERHEITSGRÜNDEN ALLE DEINE ACCOUNTS MIT 2FA ODER PASSKEY SCHÜTZEN!!!

Tut mir leid, dass ich so schreie, aber das ist wirklich wichtig.

Üblicherweise nutzen sowohl Sicherheits- als auch Privatsphäreinteressierte Nutzer Aegis. Auch manche Keypass2-Passwortmanager können 2FA (es ist aber eigentlich eine schlechte Idee in seinen Passwortmanager 2FA abzulegen (single point of failure)), manche von denen laufen auch unter Windows, Linux oder MacOS. Da TOTP einfach ein (mittlerweile schon uraltes) freies Protokoll ist, läuft das auch bei jedeweder Seite, die 2FA anbietet (auch wenn da dann teilweise so etwas wie ‚Gebe den Code ein, den du von deinem Google Authentificator erhalten hast‘ steht).

Passkeys sind, weil sie sogleich multifaktoriell (Passwort oder Biometrie und anderes Gerät (Security-USB-Stick) oder TPM) sind, deutlich sicherer als ein einfaches 2FA. Dass Passkeys die Zukunft sind, hat Microsoft schon Jahre vor der FIDO-Alliance herausgefunden und Windows Hello herausgebracht (was mittlerweile Teil der FIDO-Alliance ist). Wenn du einen Windows-PC hast, kannst du einfach Windows Hello zum Einloggen auf jedweder Seite verwenden. Dafür auf besagter Seite einfach in den Account-Einstellungen auf Passkey registrieren klicken, beim von Windows angezeigten Dialog deine Windows Hello Pin (die nutzt du zum Einloggen in Windows wenn du nicht gerade Biometrie oder Bild nutzt) eingeben und schon kannst du Passkey nutzen (kannst du auch gleich hier fürs Forum ausprobieren).
Auch ist das eigentlich in Android integriert, wird da aber mit den Play Services weitergehend umgesetzt. Ich habe keine Ahnung, ob Calyx da den Support selbst eingebaut hat (Passkeys sind letzlich nichts anderes als das jüngere, ebenfalls freie Protokoll FIDO2, das perspektivisch TOTP ablösen sollte).
Wenn FIDO2 vom Seitenanbieter vernünftig implementiert ist (so wie hier im Forum), brauchst du auch keine Passwörter mehr angeben.
Zudem können manche Keepass2-Paswortmanager Passkeys. Aber auch hier ist es keine gute Idee seine Passkeys mit seinem Passwortmanager ins TPM abzulegen.

EDIT: Hier zwei Videos von The Morpheus zu 2FA und FIDO2 bzw. „Passkeys“

In meiner Kindheit habe ich den Satz kennengelernt, wer schreit hat Unrecht…
M.E. hast Du Unrecht.

So wie ich das sehe, wäre das bei der beschriebenen Systemumgebung die passende Lösung.
Hierzu bietet sich die von @DwainZwerg bereits genannte App Aegis an. Die gibt es im F-Droid-Store.
Wichtig ist, dass man nach Einrichtung ein Backup bzw. Export anlegt und extern speichert, damit man bei Verlust des Geräts mit einem Neugerät einfach weiterkommt.
Würde mich also erstmal darauf konzentrieren und das umsetzen. Mit dem Rest kann man sich bei Bedarf beschäftigen.

Danke für Eure Hilfe.

Ich habe mich für TOTP entschieden, brauche aber kurz eine Zusatz-Hilfestellung:

Ich möchte (auch weil die Authenticator-App ja gesichert werden muss) mein Smartphone auf meinen Computer sichern. Leider kann ich in Seedvault nur den Internen Speicher - oder WebDAV-Cloud oder DAVx^5 - anwählen, Sicherungsort USB-Speichergerät ist leider ausgegraut. Ich habe den Rechner per USB (es ist das Original-Ladekabel des Motorola G32, funzt auch für bspw. Foto-Dateiübertragung) angeschlossen und USB → Dateiübertragung aktiviert. Trotzdem ist das USB-Speichergerät als Sicherungsort leider nicht anwählbar. Any ideas?

Währenddessen habe ich jetzt Aegis installiert und soll ein Passwort vergeben. Tja, jetzt kommt natürlich die Grundsatzfrage: Passwort im Keepass speichern oder eines nehmen, das ich mir merken muss? Eigentlich ist der Passwortmanager ja dazu da, dass ich mir keine langen (sicheren) Passwörter mehr merken muss … Andererseits ist

• Keepass auf dem Computer öffnen, um mich in das Konto einzuloggen
• Smartphone entsperren, Keepass auf dem Smartphone öffnen, Aegis mit PW aus KP öffnen, TOTP-Code am Computer eingeben
  auch ein maximal umständlicher Weg …

Es gibt noch die Option, dedizierte Authenticator-Hardware zu verwenden, zum Beispiel

https://authenticator.reiner-sct.com/de/reiner-sct-authenticator/

Davon abgesehen handhabe ich es mit TOTP meist so: Benutzername und Passwort liegen im passwortgeschützten Passworttresor auf dem Laptop. Aegis liegt auf dem Smartphone und wird via Fingerabdruck entsperrt. Ich finde das recht komfortabel.

Bei sowas denke ich pragmatisch und würde es analog @Sherminator machen wenn ich Fingerabdruck ohnehin nutze und andernfalls ein schnell am Smartphone eingebbares Passwort entsprechend einer PIN verwenden. So mache ich das selbst.

Mit dem einfachen Passwort sehe ich in meinem persönlichen Fall kein Problem, da Aegis nur auf dem Phone ist und dort nur dazu dient.
Alle Anwendungen die bei mir 2FA benötigen, verwende ich nur am Rechner auf dem nur der Passwort-Manager aber kein Authenticator ist. Muss aber jeder seinen Anwendungsfall und Risikoprofil prüfen.

Da du speziell eine anfängerfreundliche Lösung suchst, würde ich dir „Ente Auth“ als TOTP-Lösung empfehlen. So hast du direkt ein Cloud-Backup. Verwendung und Login solltest du auf deren Android-App beschränken.

Hier ein (am Besten alphanumerisches) nehmen, dass du dir merken kannst. Es sollte nirgendwo anders gespeichert werden und du solltest dir sicher sein, dass du es im Kopf behältst. Im Passwortmanager geht es dir dadrum, dass du lange zufällige Passwörter (für jede Website ein anderes) speicherst, die du dir nicht alle merken kannst, aber halt für einen Webabruf brauchst. Der Passwortmanager ist allerdings mit einem Masterpasswort verschlüsselt, das du (im Besten Fall) nur im Kopf weist. Bei einem TOTP-Authentifikator verhält es sich genauso.

Das Aegis Backup wird auch Aegis-passwortverschlüsselt in Seedvault selbst gespeichert, wenn der Umschalter bei „Cloud-Sicherungen von Android“ gesetzt wird.

Ich schätze dein Gerät hat keine SD-Karte?

Ja, kapiere ich. Ich werd’s also mit einer einfachen PIN sichern, danke.

Danke für die Empfehlung. Bislang nutze ich keine Cloud (bin noch nicht über mein Misstrauen hinweg), sondern sichere meine Daten auf zwei verschlüsselten externen Festplatten. Jetzt muss ich nur noch mein Smartphone dazu kriegen, die Daten auf meinen Rechner zu sichern, damit ich sie auf die FP weiterschieben kann …

Ja, ich hatte mir seinerzeit eines generieren lassen und das auswendig gelernt (Master-Passwort). Beim Aegis ist mir aber ein sicheres mit Groß-/Kleinschreibung und Buchstaben wegen der umständlichen Eingabe zu doof. Ich werd es mit einer sechsstelligen PIN lösen. Sollte ich irgendwann fast alles mit TOTP absichern müssen, muss ich mir dann ggf. was Besseres überlegen.

Nein. Ich nutze das Smartphone nach wie vor für ganz wenige Dinge. Kann immer noch nicht verstehen, wie man statt eines sehr großen Monitors und einer 10-Finger-Tastatur lieber so ein Winzteil benutzt. Aber man wird ja, Mike schrieb nen Artikel drüber, digital erpresst mit immer mehr App-Zwang und so musste ich eben eines aufsetzen.

Weil das BS deutlich sicherer ist als die Standarddesktopbetriebssysteme . Und für unterwegs (ÖPNV, Fahrkarte, Navi, Eintrittskarte, Musikstreaming, …) braucht man es natürlich auch.

Ente Auth ist Ende-zu-Ende-verschlüsselt

Offsite-Backups sind mMn ein Muss. Insbesondere bei Passwörtern und TOTP-Seeds.

Nö.

Nicht jeder Account ist so schützenswürdig wie z.B. Online-Banking.

Mensch sollte in Abstufungen denken und angemessen handeln.

Hast du schon mal von hinten gedacht, was der Verlust von Passkey bedeutet und wie mensch sich gegen Verlust schützt und wie der Wiederherstellungsprozess aussieht? Gleiches gilt bei 2FA.

Der Wiederherstellungsprozess bei Passkeys sieht meines Wissens nach bei den meisten Diensten genau wie bei Passwörtern aus:

„Passwort vergessen“ anklicken
Rücksetz-Email empfangen
Passwort vergeben
Passkey neu einrichten

Ab dann nur noch den Passkey verwenden und das neu gesetzte Passwort nirgendwo speichern, sodass der Phishing-Schutz der Passkeys wieder hergestellt ist.

Ergänzung: Ich habe keine SD-Karte im Smartphone, ich arbeite (noch) mit Windows 10.

Würde mich freuen, wenn hier noch Lösungsvorschläge kämen. Danke für Eure Unterstützung!

Wogegen Du Dich absichern musst ist Verlust oder Defekt des Smartphones. Mein Backup ist eine KeepassXC-Datenbank, die nur die TOTP Schlüssel enthält. Diese Datenbank ist ein reines Backup um ggf. Aegis neu einzurichten und wird von mir nicht zur Authentifizierung verwendet (dafür habe ich ja Aegis). Diese Datenbank erlaubt mir aber im Notfall (Handy verloren, gestohlen, kaputt etc,) auf meine Konten zugreifen zu können.

Weiter oben im Thread hat @Chief1945 dafür Ente Auth empfohlen. Authy ginge auch. Beide legen ein ende-zu-ende-verschlüsseltes Backup in der Cloud an. Klar muss man denen vertrauen, doch legen beide Apps im Gegensatz zu Google und Microsoft Authenticator deutlich mehr Wert auf Datenschutz.

Für TOTP-Backups ist das alles besser geeignet als SD-Karten und lokale Festplatten von Windows-PCs. Wiederherstellung geht AFAIK allerdings nur mit Authy und Ente selbst.

@Reklow Deutschen Behörden traue ich zu, dass sie das Zurücksetzen des Passworts nur per Papierbrief erlauben oder gar verlangen, dass man persönlich auf der Dienststelle vorspricht. Ich hatte mir letztens eine PIN für meine eGK angefordert. Dafür hatte ich mich per Bund-ID authentifiziert, was nach meinem Kenntnisstand aber hinreichend sicher sein sollte - die Krankenkasse bestand aber darauf, die PIN per Papierbrief zu versenden. Das wäre ärgerlich, wenn gerade ein Verfahren (mit laufenden Fristen) läuft und wenn die Behörde Schreiben nur in das „elektronische Postfach“ zustellt, auf die man dann nicht zugreifen kann, während die Frist abläuft.

@Miss-Piggy Man kann TOTP mit keepassxc mit der entsprechenden Browsererweiterung verwenden. Ein Smartphone ist hierfür nicht notwendig. Das funktioniert bei mir recht komfortabel. Ich mache das allerdings unter Linux, ob das unter Windows genauso funktioniert, kann ich nicht garantieren. Ich beschriebe das hier mal etwas ausführlicher, weil fast alle Anleitungen, die man dazu im Netz findet, die Benutzung von Authentificator-Apps auf dem Smartphone beschreiben.

Voraussetzung ist zunächst einmal, dass keepassxc installiert und eingerichtet ist, die Browserintegration aktiviert und die entsprechende keepassxc-Browsererweiterung installiert und konfiguriert sind. Weitere Voraussetzung ist, dass der Dienst, bei dem man sich per TOTP authentifiziert, den base32-kodierten geheimen Schlüssel als Text anzeigt, so dass man ihn in die Zwischenablage kopieren kann.

Die Einrichtung von TOTP ist dann relativ simpel, wenn man die Zugangsdaten in keepassxc gespeichert hat. Man macht einen Rechtsklick auf die Zugangsdaten, bei denen man TOTP einrichten möchte, und wählt TOTP - TOTP einrichten. Es öffnet sich ein Fenster, das in etwa so aussieht:

kp-totp-1384×481 42.1 KB

Der geheime Schlüssel wird in dem entsprechenden Feld aus der Zwischenablage eingefügt - fertig. Die Keepass-Datenbank kann über die Funktion „Datenbank - Sicherungskopie der Datenbank“ in eine lokale Datei gespeichert und auf einem externen Datenträger gesichert werden.

keepassxc kann so eingerichtet werden, dass es das TOTP-Einmal-Passwort automatisch ausfüllt.