OTP/2FA/MFA: migrieren von Authy zu KeePassXC (nur weil KeePassXC Open Source ist)?

Software
1

Hi

Ich nutze nur 3 Webseiten mit OTP/2FA/MFA und Authy. Die könnte ich manuell migrieren. Aber wie genau?

Ich möchte möglichst wenig Closed Source software nutzen

Ich möchte von Authy zu KeePassXC migrieren weil Authy nicht Open Source ist. Ist das sinnvoll?

Wie geht die Migration? Wie am einfachsten?

2

https://support.authy.com/hc/en-us/articles/1260805179070-Export-or-Import-Tokens-in-the-Authy-app

Per se bringt Open Source erst mal nicht mehr Sicherheit, aber kann mehr Datenschutz bringen.

Bei proprietären Lösungen, besteht immer die Gefahr, dass der Anbieter pleite geht, wichtige Funktion abschaft etc.
Das kann bei OpenSource Projekten auch passieren, ist aber bei Keepass extrem unwahrscheinlich, da es sich zum Quasi-Standard gemausert hat.

Zudem bietet Keepass tolle Funktionen, wie z.B. Auto-Type.

Und wenn ich in dem Support Link von oben lese, dass es einen Vendor-Log-in für die Sicherheit des Nutzers gibt, na dann gute Nacht.

Gerade bei Passwörtern möchte ich niemandem anderen (und seinen ökonomischen Interessen) vertrauen müssen.

2 „Gefällt mir“
3

aber es kann mehr Sicherheit bringen, da viele Augen in dem offenen Source Code auch Sicherheitslücken entdecken können.

1 „Gefällt mir“
4

In der Theorie ja, aber wir haben schon genügend OSS-Sicherheitslücken gesehen, bspw. Heartblead, woraus man schließen kann, dass das i.d.R. nicht der Fall ist.

Meiner Meinung nach - und da ist es mir wichtig ehrlich zu sein - bringt Open Source an sich erst mal kein Mehr an Sicherheit.
Es bietet andere Vorteile, aber OS = sicherer ist in meinen Augen kein plausibles Argument

5

Aber wir haben sie gesehen. Bei closed source sieht man den meisten Mist nie. Software hat immer Fehler und wir können getrost von einer statistisch gleichmäßigen Verteilung ausgehen. Wenn also auch nur einer mehr draufguckt und was findet, macht es einen Unterschied.

Aber zurück zum Thema bitte, der Eröffnungspost fragte nach Migration.

6

Du beschreibst deinen Usecase nicht genau, aber ich möchte dich vorsichtshalber darauf hinweisen, dass es eine schlechte idee ist, KeePass(XC) für Passwortspeicherung und OTP gleichzeitig zu verwenden. Wenn jemand KeePass kapert, hat er dann nämlich beide Faktoren erledigt.

1 „Gefällt mir“
7

Danke für deinen Input.
Du hast absolut Recht, ein sehr wichtiger Punkt.

Welche Open Source Authy Alternative für macOS und iPhone?

Generell in die Runde: die Code-Qualität ist bei Open Source meistens besser, so meine Erfahrung.

8

Raivo legt den Source Code offen. Man kann aber natürlich nur schwer bis nicht nachprüfen, ob die App aus dem Appstore auch dem Sourcecode entspricht. Ich bin immer ein wenig skeptisch, wenn eine App ganz kostenfrei ist und nicht einmal die Möglichkeit für ein In-App-Trinkgeld gibt.

Deutlich weiter verbreitet und ebenfalls ohne die Erfassung von Daten laut Appstore ist OTP Auth, zu dessen Nutzung ich mich vorerst entschlossen habe, bis Raivo weiter verbreitet/etablierter ist.

Dann gibt es noch Tofu, Open Source, aber noch weniger verbreitet als Raivo.

9

Danke. Sehr hilfreich.

Alle diese Apps gibt es nur für iOS/Mobile?
Wie funktioniert der Restore falls das iPhone geklaut wird?

2 „Gefällt mir“
10

Falls die App keine Export- oder Backup-Funktion abietet, ist das schwierig.

Generell empfielt es sich, ein Backup eines zweiten Faktors anzulegen. Das kann man machen, indem man

  • beim Service einen zweiten zweiten Faktor einrichtet
  • beim Einrichten des ersten zweiten Faktors diesen gleich auf mehreren Geräten macht.

Für die Einrichtung eines TOTP bekommt man ja einen QR-Code, oft auch zusätzlich noch die selbe Information in Form eines Codes. Mit beiden kann man beliebig viele Geräte oder Apps zur Erzeugung des selben TOTP konfigueren. Die erzeugen dann synchron alle 30 Sekunden den selben Code.

Ich wende dieses Verfahren an mit einer App auf dem Smartphone und KeepasXC auf dem Rechner.

11

Zumindest OTP Auth und Raivo gibt es auch im Mac App Store. In der Regel wird der Code wie @anon19851787 geschrieben hat, auch angezeigt, so dass man ihn abschreiben oder ausdrucken (nicht abspeichern!) kann.

12

Danke für die bisherigen Tipps. Sehr hilfreich.

raivo-otp /macos-receiver: A MacOS TabBar (StatusBar) application that securely receives one-time passwords (OTPs) that you tapped in Raivo for iOS.

Der Raivo client für macOS funktioniert nicht ohne iPhone?

und OTP Auth for macOS nicht Open Source? Ich konnte den Source nicht finden?

Screenshot 2022-11-20 at 08.23.17
Screenshot 2022-11-20 at 08.23.171606×1324 172 KB

Haben beide eine einfache Export funktion um sehr einfach auf ein anderes Tool zu migrieren?

13

Das mit dem Migrieren ist so eine Sache. Man muss die Datei ja irgendwo zwischenspeichern. Die Cloud würde ich dazu nicht nehmen wollen. Ich würde das auch nicht auf einem Rechner machen, so wie ich auch keine zwei Geräte mit TOTP einrichten würde. Dann können dir nämlich auch zwei Geräte abhanden kommen. Das beste, wenn auch nicht bequemste, ist, den Code wie oben von mir beschrieben als Backup auf Papier zu haben. Da du eine App nur für drei Anwendungen suchst, ist das durchaus praktikabel.

OTP Auth ist wohl nicht FOSS. Ich habe mich trotzdem dafür entschieden, weil Raivo noch so neu ist und Tofu kaum verwendet wird. Dass es Raivo nicht wirklich a d Mac gibt, wusste ich nicht.

1 „Gefällt mir“
14

Auch Raivo ist nicht FOSS.

License

Effective date: July 30, 2022

Copyright © 2022 Tijme Gommers. All rights reserved.

Raivo OTP („us“, „we“, „our“, „Raivo“, „Tijme Gommers“) operates the Raivo OTP related services (the „Services“). The Services include and are limited to the Source Format and Processed Format of Raivo OTP for Apple iOS, Raivo OTP for Apple MacOS, Raivo OTP Issuer Icons, Raivo OTP APNS Server and Raivo OTP Marketing Website (raivo-otp.com).

The Services are provided „as is“, without warranty of any kind, express or implied, including but not limited to the warranties of merchantability, fitness for a particular purpose and noninfringement. In no event shall the authors or copyright holders be liable for any claim, damages or other liability, whether in an action of contract, tort or otherwise, arising from, out of or in connection with the Services or the use or other dealings in the Services.

Source Format

Permission is hereby granted, free of charge, to any person who obtains a copy of the Services in source format („Source Format“), to use the Services in Source Format, subject to restrictions, to the rights to use, copy, modify, merge, and provided to allow you to do so, subject to the following conditions:

This license and copyright notice and this permission notice shall be included in all copies or substantial portions of the Services. Any form of Processed Format arising from the Source Format shall be used as specified in section Processed Format.

Processed Format

Modification, duplication, and (re)distribution of the Services in binary or published format („Processed Format“) for any purposes and/or reasons is strictly prohibited without the explicit permission from Raivo OTP. Permission for modification, duplication, and (re)distribution of the „Service“ in Processed Format can be requested via GitHub.

Das ist keine gültige Open Source Lizenz, sprich Debian würde diese Software nie akzeptieren. Ich kann den Source nur anschauen, habe aber wenig (keine?) Rechte…

Ist dann nicht trotzdem KeePassXC die beste Lösung?

1 „Gefällt mir“
15

Das ist die beste Empfehlung, der ich mich anschließen.

2 „Gefällt mir“
16

Das musst natürlich du entscheiden. Ich würde unter keinen Umständen diesselbe App für Passwortverwaltung und TOTP verwenden. Den Grund habe ich in meinem ersten Post angegeben. Oder nimmst du KeePassXC gar nicht für die Passwörter?
Mike erwähnt hier KeePassium, ist aber ebenfalls proprietär.

1 „Gefällt mir“
17

Ohne eine Marktübersicht erstellt zu haben würde ich das sagen. Ich verwende KPXC schon seit Jahren auf dem Mac, auch auf Linux und Windows und habe bisher nichts vermisst.

1 „Gefällt mir“
18

Ich bin nicht die einzige mit Authy unzufrieden.

Empfohlen wurde https://github.com/Authenticator-Extension/Authenticator, ähnliche Diskussion beim englischen Forum https://discuss.privacyguides.net/t/what-cross-platform-2fa-service/10118/6

19

Den Gedanken hatte ich auch als ich seinerzeit auf der Suche nach einem OTP Provider war. Ich hatte mich dazu entschlossen es trotzdem in Keepass zu speichern. Zum einem brauchte ich so wie so einen Platz um den Seed zu speichern, falls mir meine OTP App abhanden kommt oder kaputt geht oder ähnliches.

Zum anderem hatte ich mir gedacht dass, wenn meine Passwort Datenbank abhanden kommt, oder jemand zugriff erlangt, dann wären alle meine Passwörter ehe kompromittiert. Auch die 3 Passwörter die ich mit einem 2FA schützen kann.

Ich müsste also im worst case eh, alle Passwörter ändern… auch jene die einen 2FA außerhalb von Keepass haben. Der einzige Vorteil wäre dass, die mit 2FA außerhalb von Keepass in der Liste der zu änderten Passwörter an die letzte Stelle rutschen könnten, weil sie eben durch den 2FA noch geschützt sind.

Das Argument dass, es die Idee des zweiten Faktors aushebelt ist allerdings berechtigt.

Aber …

  1. Ich passe gut auf meine Keepass DB auf
  2. Ich verwende ein starkes Hauptpasswort + Keyfile
  3. Ich ändere regelmäßig den Keyfile (und unregelmäßig das Passwort)

Damit kann ich bequem alle Daten in einer App verwalten, der ich absolut vertraue. Bei der NASA könnte man so wohl nicht vorgehen, aber für mich privat ist das Risiko akzeptabel.
Für mich gefühlt ein Klassiker der 80% Regel…

20

Na vor allem sind alle Zugänge schlagartig unzugänglich, wenn Du kein BackUp hast!
Alle Passwörter zu erneuern, wäre nur Arbeit.

  1. Ich muss von der Datenbank immer ein Offline-BackUp haben.