Ich habe über die Jahre zahlreiche Konten mit 2FA, die über den Google Authenticator laufen. Jetzt überlege ich das Ganze nach Keepass oder Bitwarden umzuziehen. Allerdings frage ich mich, ob das sinnvoll ist. Denn damit ist 2FA ja quasi deaktiviert, weil alles im Passwortmanager gemacht wird.
Trotzdem die Frage: ist es möglich die bestehenden Konten aus dem Google Authenticator zu exportieren? Der Umzug auf ein neues Smartphone via QR-Code ist mir bekannt. Aber ich brauche ja die „Rohdaten“ vom ursprünglichen TOTP-Account. Wie komme ich an die ran?
Also im Prinzip zwei Fragen:
kompromittiere ich 2FA durch TOTP-Keys im Passwort-Manager und
welche Möglichkeit gibt es auf den „Original-Schlüssel“ des TOTP-Clients zuzugreifen?
Theoretisch ja, daher sollten Passwörter und OTP immer so weit wie möglich voneinander liegen. Bei Bitwarden und Keepaas bestünde die Möglichkeit die TOTP-Keys in einer seperaten Datenbank/Vault abzulegen. Besser wäre es eine eigenständige OTP App wie z.B. Aegis Authenticator bei F-Droid oder Google Play zu verwenden.
Die Nutzung des Google Authenticator liegt zuweit zurück als das ich mich an Details und Funktionen erinnere. Ich vermute Google ist da sehr restriktiv und erschwert bewusst aus deren Ökosystem auszubrechen. Manche Authenticator Apps erlauben es den Schlüssel anzuzeigen, indem man in der App auf den entprechenden TOTP klickt oder gedrückt hält. Eventuell weiß jemand anderes wie man die Secrets aus dem Google Authenticator extrahiert.
Wenn gar nichts geht die 2FA deaktivieren und im Bitwarden wieder aktivieren.
Ich selbst nutze Bitwarden selbst gehostet und möchte auf den Komfort die 2FA gleichzeitig zu nutzen nicht missen.
Ich sehe eine wesentlich höhere Wahrscheinlichkeit das eine Homepage gehackt wird und Daten leakt anstelle das jemand auf meinen privaten Server drauf kommt dort das Server Passwort, den Anmeldenamen sowie das 2FA knackt um dann das selbe noch mal beim PW-Manager macht für sehr gering.
Zumal der Server nicht im Inetnet hängt.
Die 2FA von Bitwarden läuft bei mir über Ageis. Welches auch gesichert ist.
Für mich der beste Kompromiss ins Sachen Sicherheit und Komfort.
Ich bin absolut kein Freund von Passwörtern und 2FA Faktoren an einen Ort.
Ja, du kompromittierst 2FA dadurch, und bastelst dir so nur ein „dynamisches“ Passwort zusammen, ist die Datenbank weg, ist beides „kompromittiert“ - wenn auch eine Verschlüsselungsschicht dazwischen ist.
Das ist weniger sicher, als richtige 2FA.
Hilft vielleicht gegen schlechte(s) Keylogger/Phishing - richtiges Verhalten und Systemhygiene alleine aber höchstwahrscheinlich auch.
Bei Google Authenticator: Offiziell keine. Jeder Tokengenerator, wenn er sich an die „best practices“ hält, verhindert einen Export soweit es möglich ist. Aus Komfortgründen verzichten viele darauf.
→ TOTP entfernen, und neu einrichten.