Sichere Authenticator-App?

Hallo zusammen,

mein Arbeitgeber stellt auf die Zwei-Faktoren-Authentifizierung um. Die einfachste Möglichkeit dafür ist eine Authenticator-App auf dem privaten (ja… :face_with_raised_eyebrow:) Handy. Jetzt suche ich eine sichere App, die nicht meine Daten trackt. Habt Ihr Vorschläge?

Im Grunde muss dein Arbeitgeber für die Voraussetzungen sorgen, dass du deiner Arbeit nachgehen kannst. Die Einbeziehung privater Endgeräte ist hier der falsche Weg.

6 „Gefällt mir“

Das ist rechtlich richtig, aber ggf. trotzdem möglich.

Für welchen Dienst stellt ihr denn auf Multifactorauthentication (MFA) um?

Und welche Faktoren stehen euch zur Verfügung?

Bspw. ermöglicht M365 als zweiten Faktor

  • TOTP
  • App (von MS proprietäre Lösung)
  • Anruf
  • SMS
  • Token

Was davon aber wirklich verwendet werden darf entscheidet der Admin.

Falls TOTP möglich und/oder gewünscht ist, findest du im F-Droid Store unter dem Dtichwort TOTP einige Apps.

2 „Gefällt mir“

Vielen Dank für die Vorschläge! Und ja, einige sind genervt davon, das eigene Handy benutzen zu müssen und es gibt auch nochmal Gespräche. Da könnten wir TOTP und Token auch nochmal vorschlagen. Im Moment sind die Optionen für M365 die MS-App auf’s private Handy oder eine andere App, SMS auf’s private Handy oder Anruf mit Rufumleitung, wenn man seine private Nummer nicht angeben will (wir sind auch viel unterwegs oder arbeiten von zu Hause). Wenn ich keine App finde, richte ich den Anruf mit Rufumleitung ein, aber das ist umständlich und man muss wirklich IMMER an die Rufumleitung denken. (Kann ich ansonsten auch immer noch von unterwegs anstellen, wenn ich es vergessen habe, aber eben nur wenn ich angemeldet bin.)

Unglaublich. Manche Arbeitgeber leben in ihrer eigenen Welt.

2 „Gefällt mir“

Das scheint gang und gebe zu sein. Man nutzt Office 365 im Hintergrund, welches aber von sich aus eine 2FA verlangt. Ein Firmenhandy existiert nicht, ohne eine 2FA kannst du dich nicht einloggen. Und ohne das kannst du weder Firmenmails, noch an Meetings teilnehmen. Und das ist dann für einen nicht gerade glücklich. Das war bei meinem vorherigen Arbeitgeber so, das ist jetzt auch der Fall. Beides große und bekannte Unternhemen in Deutschland. Man bekommt nur ein Handy wenn man auch eine bestimmtr Position im Unternehmen bekleidet. Und da es scheinend keinen anderen stört, wäre man der einzige Störenfried. Es gibt keine Sensibilisierung für Datenschutz in vielen Unternhemen. Scheint zumindest so.

2 „Gefällt mir“

Muss es eine App sein? Im Prinzip kann ein TOTP mit jedem beliebigen Programm erzeugt werden, das den notwendigen Algorithmus implementiert. Eines wäre https://keepassxc.org/.

2 „Gefällt mir“

Ich kenn leider den Unterschied nicht. Und ich habe nr845h so verstanden, dass TOTP als Möglichkeit neben der App existiert, die IT das aber freigeben muss. Richtig? Die IT hat uns bisher nur App, SMS oder Anruf vorgeschlagen.

Für TOTP muss es keine Software sein. Ich benutze dafür Hardware.

Der Vorteil an dieser ist das es keine Verbindung nach aussen hat. Da ist also gar kein tracking möglich.

1 „Gefällt mir“

Ist mit dem Vorschlag „App“ denn ein TOTP-Programm gemeint? Dann kann es jedes kompatible Programm auf jedem Rechner (Telefon, Desktop, Gadget) sein, das TOTP implementiert. Die IT kann nicht technische kontrollieren, auf welchen Gerät die TOTP-Erzeugung eingerichtet wird, muss also auch nichts freigeben.

Es gibt zu Apps nur drei verschiedene Apps, die vorgeschlagen werden. Standard wäre die MS-App. Alternativ auch Google Authenticater oder 2FAS Authenticator. Aber das sind nur Beispiele, man kann sich auch eine andere suchen. Aber ich recherchiere mal zu TOTP und frage dann bei der IT nach, ob das auch geht. Vielen Dank! :slightly_smiling_face:

2 „Gefällt mir“

Das ist (meiner Kenntnis nach) nicht richtig, aktuell verlangt MS nur für privilegierte Accounts per Default MFA


Bzgl. TOTP
Wenn der Google Authenticator erlaubt ist, dann ist TOTP bereits möglich, anders würde das (meiner Kenntnis nach) nicht funktionieren.

Wie oben erwähnt wäre das mit jeder App/Anwendung an jedem Gerät (Smartphone/Rechner) möglich.

Als ich MFA bei uns in der Firma ausgerollt habe (wir haben Firmen-Handys) ist TOTP für mich angemacht worden, aber aufgrund der „hohen Komplexität“ nicht kommuniziert worden.
Ob es wirklich sinnvoll ist TOTP auf dem Gerät zu speichern (am Besten zusammen mit dem Passwort) von dem man sich i.d.R. authentisiert steht dann auf einem anderen Blatt :wink:

Long Story Short:
Auf Basis was du schreibst, sollte bereits jede gängige TOTP Anwendung funktionieren, das beinhaltet

  • Passwortmanager wie Keepass XC, Bitwarden o.ä.
  • dedizierte Apps für das Smartphone (von Fdroid) z.B. OneTimePass oder andOTP …
1 „Gefällt mir“

Ich nutze die F-Droid App FreeOTP+ App.

Wichtig das plus. Die alte Version wird nicht mehr supportet.

Bitwarden als Passwort Manager kann dies eben falls.

2 „Gefällt mir“

Dankeschön! Ich hab etwas Sorge, dass es für mich auch zu kompliziert wird, aber mit Deinen Beispielen kann ich bei unserer IT direkt fragen, ob bestimmte TOTP-Apps auch möglich sind. Das hat mir sehr geholfen! :slightly_smiling_face:

1 „Gefällt mir“

Es gibt doch auch diesen Yubico Authenticator, was haltet ihr davon?

Da frage ich mich immer wie sinnvoll das ist das 2FA mit dem Kennwort zu speichern. (Nutze es aktuell selber)

Aus meiner Erfahrung verlangt Microsoft nicht mal für den Global Admin einen zweiten Faktor. Schon mehrfach gesehen.

TOTP wird immer mehr auf die Firmen zu kommen, da jetzt jede Cyberversicherung damit um die Ecke kommt und man als Firma eventuell nicht versichert wird.

Aufgrund zu hoher Komplexität für den Anwender haben wir das bei uns bis jetzt noch nicht eingeführt, werden aber wohl bald gezwungen sein, dies zu tun.

Ich bin iOS-Nutzer und setze für OTP auf die App Raivo

Die nutze ich auch. Ist Open Source, und ich kann die App ebenfalls uneingeschränkt empfehlen.

1 „Gefällt mir“

Ich denke hier muss man klar unterscheiden wo das größere Risiko liegt.

Das mein Masterpasswort samt 2FA von meinem privaten Server geklaut wird oder das ein Passwort auf einem Online Dienst gestohlen wird. Die Banditen dann aber am 2FA hängen bleiben.

Ich will Bitwarden nicht mehr missen.

Konnte so schon einige für einen Passwortmanager begeistern.

Für Android:

Aegis Authentificator

Link zu GitHub:

https://github.com/beemdevelopment/Aegis

Project Activity:

https://github.com/beemdevelopment/Aegis/pulse/monthly

Verfügbar im Play Store als auch bei F-Droid

2 „Gefällt mir“

Vielen Dank Euch allen für die wunderbare Hilfe! Nach Diskussionen mit der IT bietet die IT nun doch auch Hardware-Token an. Ich habe aber viel von Euch gelernt und werde mir die App-Vorschläge auch ansehen und sie bestimmt privat verwenden :slightly_smiling_face: Danke!