Sichere Authenticator-App?

Muss es eine App sein? Im Prinzip kann ein TOTP mit jedem beliebigen Programm erzeugt werden, das den notwendigen Algorithmus implementiert. Eines wäre https://keepassxc.org/.

2 „Gefällt mir“

Ich kenn leider den Unterschied nicht. Und ich habe nr845h so verstanden, dass TOTP als Möglichkeit neben der App existiert, die IT das aber freigeben muss. Richtig? Die IT hat uns bisher nur App, SMS oder Anruf vorgeschlagen.

Für TOTP muss es keine Software sein. Ich benutze dafür Hardware.

Der Vorteil an dieser ist das es keine Verbindung nach aussen hat. Da ist also gar kein tracking möglich.

1 „Gefällt mir“

Ist mit dem Vorschlag „App“ denn ein TOTP-Programm gemeint? Dann kann es jedes kompatible Programm auf jedem Rechner (Telefon, Desktop, Gadget) sein, das TOTP implementiert. Die IT kann nicht technische kontrollieren, auf welchen Gerät die TOTP-Erzeugung eingerichtet wird, muss also auch nichts freigeben.

Es gibt zu Apps nur drei verschiedene Apps, die vorgeschlagen werden. Standard wäre die MS-App. Alternativ auch Google Authenticater oder 2FAS Authenticator. Aber das sind nur Beispiele, man kann sich auch eine andere suchen. Aber ich recherchiere mal zu TOTP und frage dann bei der IT nach, ob das auch geht. Vielen Dank! :slightly_smiling_face:

2 „Gefällt mir“

Das ist (meiner Kenntnis nach) nicht richtig, aktuell verlangt MS nur für privilegierte Accounts per Default MFA


Bzgl. TOTP
Wenn der Google Authenticator erlaubt ist, dann ist TOTP bereits möglich, anders würde das (meiner Kenntnis nach) nicht funktionieren.

Wie oben erwähnt wäre das mit jeder App/Anwendung an jedem Gerät (Smartphone/Rechner) möglich.

Als ich MFA bei uns in der Firma ausgerollt habe (wir haben Firmen-Handys) ist TOTP für mich angemacht worden, aber aufgrund der „hohen Komplexität“ nicht kommuniziert worden.
Ob es wirklich sinnvoll ist TOTP auf dem Gerät zu speichern (am Besten zusammen mit dem Passwort) von dem man sich i.d.R. authentisiert steht dann auf einem anderen Blatt :wink:

Long Story Short:
Auf Basis was du schreibst, sollte bereits jede gängige TOTP Anwendung funktionieren, das beinhaltet

  • Passwortmanager wie Keepass XC, Bitwarden o.ä.
  • dedizierte Apps für das Smartphone (von Fdroid) z.B. OneTimePass oder andOTP …
1 „Gefällt mir“

Ich nutze die F-Droid App FreeOTP+ App.

Wichtig das plus. Die alte Version wird nicht mehr supportet.

Bitwarden als Passwort Manager kann dies eben falls.

2 „Gefällt mir“

Dankeschön! Ich hab etwas Sorge, dass es für mich auch zu kompliziert wird, aber mit Deinen Beispielen kann ich bei unserer IT direkt fragen, ob bestimmte TOTP-Apps auch möglich sind. Das hat mir sehr geholfen! :slightly_smiling_face:

1 „Gefällt mir“

Es gibt doch auch diesen Yubico Authenticator, was haltet ihr davon?

Da frage ich mich immer wie sinnvoll das ist das 2FA mit dem Kennwort zu speichern. (Nutze es aktuell selber)

Aus meiner Erfahrung verlangt Microsoft nicht mal für den Global Admin einen zweiten Faktor. Schon mehrfach gesehen.

TOTP wird immer mehr auf die Firmen zu kommen, da jetzt jede Cyberversicherung damit um die Ecke kommt und man als Firma eventuell nicht versichert wird.

Aufgrund zu hoher Komplexität für den Anwender haben wir das bei uns bis jetzt noch nicht eingeführt, werden aber wohl bald gezwungen sein, dies zu tun.

Ich bin iOS-Nutzer und setze für OTP auf die App Raivo

Die nutze ich auch. Ist Open Source, und ich kann die App ebenfalls uneingeschränkt empfehlen.

1 „Gefällt mir“

Ich denke hier muss man klar unterscheiden wo das größere Risiko liegt.

Das mein Masterpasswort samt 2FA von meinem privaten Server geklaut wird oder das ein Passwort auf einem Online Dienst gestohlen wird. Die Banditen dann aber am 2FA hängen bleiben.

Ich will Bitwarden nicht mehr missen.

Konnte so schon einige für einen Passwortmanager begeistern.

Für Android:

Aegis Authentificator

Link zu GitHub:

https://github.com/beemdevelopment/Aegis

Project Activity:

https://github.com/beemdevelopment/Aegis/pulse/monthly

Verfügbar im Play Store als auch bei F-Droid

2 „Gefällt mir“

Vielen Dank Euch allen für die wunderbare Hilfe! Nach Diskussionen mit der IT bietet die IT nun doch auch Hardware-Token an. Ich habe aber viel von Euch gelernt und werde mir die App-Vorschläge auch ansehen und sie bestimmt privat verwenden :slightly_smiling_face: Danke!

Und warum ist dann ne App als Lösung markiert? :wink:

Wenn App, dann Aegis. :slight_smile:

1 „Gefällt mir“

Die Frage war ja nach einer App. Wenn jemand mit dieser Frage hierher kommt, nutzt es der Person nichts, dass meine IT jetzt Token anbietet. Und ich werde mir Aegis auf jeden Fall auch für private Zwecke ansehen :slight_smile:

2 „Gefällt mir“

Nun ich möchte das nicht falsch verstanden wissen da ich einer derjenigen war der Hardware vorschlug und selbstverständlich kannst du markieren was du möchtest :wink:

Nun da ist was dran an deiner Aussage. Aber, :wink: es muss ja einen Grund haben warum sich deine IT dazu entschieden hat. Mir sind die möglichen Sicherheitsvorteile halt durch die nicht Nennung der Hardware irgendwie zu kurz gekommen. Das 2. war halt

Dein Auswahlprozess einer möglichen App stand also noch gar nicht fest. So schien es mir zumindest. Kurzum ich habs halt nicht verstanden warum genau die App :wink:

Überbewerte bitte nicht mein Posting. Wollte es halt nur wissen :wink:

1 „Gefällt mir“

andOTP

Für die Lesbarkeit für jedermann:

TOTP ist:

https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus

Soviel Zeit muss sein.

Und, ich glaub, dies hier sollte man auch kennen:

https://www.kuketz-blog.de/microsoft-reagiert-auf-mein-kritisches-app-review-zur-ms-authenticator-app/