Zwei-Faktor-Authentisierung - wie Vorbereiten gegen Verlust des zweiten Faktors?

Einbrecher haben mitten in der Nacht in Schweden aus meinem Wohnmobil unter anderem mein Handy geklaut.
Damit war nicht nur mein zweiter Faktor für die Authentisierung bei allen wichtigen Diensten weg, sondern auch sämtliche Kontaktdaten.
Mir blieb nichts anderes übrig als auf schnellstem Weg nach Hause zu fahren.

Wie bereitet ihr euch auf solch einen Notfall vor?
Gute alte Papierliste mit Kontaktdaten?
Hat jemand eine schlaue digitale Alternative zur Nutzung in einem Hotel oder Internet Kaffee?

Oh je, was für eine Katastrophe!

Ich habe mir einen Kalendereintrag gemacht, jeden Monat ein Backup von Telefon,PC etc. zu machen. Maximaler Datenverlust bei Diebstahl oder Hardwaredefekt wären also 4 Wochen.

Bei der 2FA hatte ich von vornherein die Bedenken, von einem Gerät abhängig zu sein und nach langem Suchen dann FreeOTP+ bei FDroid gefunden https://f-droid.org/de/packages/org.liberty.android.freeotpplus/
Bei der App konnte ich nämlich einen Export machen und alle Einträge auf ein zweites Android Gerät importieren, welches genauso funktioniert (also parallel).

Damit habe ich die Gewissheit, bei o.g. Fall trotzdem die 2FA geschützten Zugänge weiter nutzen zu können.

Viel Erfolg Dir beim Wiederherstellen! So einem Mist ist niemandem zu wünschen!!

Hi,

ich möchte immer einen zweiten zweiten (dritten ?) Faktor haben. Und den in Hardware, nicht irgendein Handy.

Wenn von den Diensten unterstützt ist ein FiDO / Webauthn Key die erste Wahl, funktioniert z.b. mit Github, Paypal, … kostet nicht viel und ist handlich, kann man also immer am Mann oder der Frau haben bzw. gut verstecken.

Wenn „nur“ TOTP unterstützt wird dann einfach den gleichen QR Code nochmal mit einem Hardware TOTP Generator scannen und den dabei haben. Da gibt es z.B. ein gelbes Gerät von einem Deutschen Hersteller für ca 40€.

Davon ab könnte ich auch Wochen lang ohne die Zugänge zu diversen Online Diensten auskommen falls mir wirklich die Zugänge verloren gingen.

LG Anna

Selbst hatte ich aus selbigen Grund (Export/Import) „Aegis“ von F-Droid als Authenticator installiert - leider hatte ich keine Kopie auf einem zweiten Android-Gerät erstellt …

Ich werde mal FreeOTP+ mit Aegis vergleichen, um zu sehen, was ich künfig nutzen will - Danke für diesen Hinweis!

@anna :
Wie nutzt du einen FiDO / Webauthn Key unterwegs bei Nutzung von Diensten mit dem Handy?

Falls es einen Weg gibt, der bezüglich Nutzung akzeptabel ist, wäre dies definitiv ein Thema für mich. Zu Hause wäre ein HW Key als zweiter Faktor weniger ein Problem - ich verwende dort eine nicht-mobile Infrastruktur; d.h. ich nehme nehme bewusst keinen Notebook mit in den Urlaub, da ich dann nicht arbeiten will.

Hi,

ich nutze die am Handy gar nicht.
Habe ich kein Laptop dabei brauche ich die nicht. Aber es gibt da Lösungen mit NFC und USB-C die ich alle nicht ausprobiert habe.

Für TOTP mit Hardware Generator natürlich kein Problem da die Schnittstelle ohnehin die Tastatur ist.

LG Anna

@opinionToo Bei Aegis musst du nicht sofort eine backupdatei auf einem zweiten Gerät erstellen. Ich habe das so gelöst, dass ich einen PW-geschützte Exportdatei erstellt habe, die ich auf einen Stick kopiert habe. Im schlimmsten Fall wie bei dir, könnte ich im Notfall Aegis und die Exportdatei selst auf einem Fremdgerät installieren, da man Aegis auch verschlüsselt installieren kann.

ja, das werde ich neu auch so machen - Danke für deinen Input!

(10 Zeichen)

Ich habe das mal - erst aus Langeweile und Interesse, später aus einem Anlass heraus - etwas weiter durchgespielt und versucht, eine Lösung zu finden, die mit den meisten „alltäglichen“ Unwegbarkeiten klar kommt. Mein Risikoprofil ist jetzt nicht super hoch aber auch nicht nicht existent - ich habe ein Nebengewerbe mit Verantwortung für sensiblen Kundendaten, habe meine eigenen Daten und bei meinem Hauptjob in einem sehr kleinen (<10 MA) Betrieb habe ich Admin-Verantwortung für den betrieblichen PW-Manager, Cloudflare, Domains, … also kann schon ein bisschen was kaputt gehen, wenn was verloren geht oder ich vom Bus überfahren werde, dank Homeoffice liegen auch noch alle meine Geräte in der gleichen Wohnung.

Ich habe erst einmal von meinem Smartphone ein Backup. Darin gesichert auch meine 2FA-App. Meine 2FA-Codes (TOTP) liegen in einer App [OTP Auth] gespeichert, die mir regelmäßige Backups ermöglicht. Diese Backups landen auf meinem NAS daheim, verschlüsselt in der Cloud und etwa 2-3x/Jahr oder nach großen wichtigen Änderungen speichere ich eine Kopie auf zwei USB-Sticks und CD-ROMs. Ein Stick + eine CD landen im Schließfach bei der Bank bzw. werden dort getauscht, ein Set liegt bei mir daheim in einer Schublade. Die Verschlüsselungs-Keys liegen in meinem PW-Manager.

Dann gibt’s meinen Passwort-Manager der auf allen Geräten synchronisiert ist. Abgesichert ist der bei Neu-Einrichtung durch E-Mail + PW + SecretKey (34-stelliger alphanumerischer Schlüssel) + Yubikey, im Alltag durch Passwort des Geräts + Master-Passwort. Master-PW ist im Kopf und an zwei externen Stellen gesichert (Vertrauensperson C und Schließfach), SecretKey liegt an drei Stellen (daheim, Schließfach, Vertrauensperson A) in digitaler und ausgedruckter Form.

Einige Dienste habe ich per Yubikey abgesichert, da läuft es ähnlich: einen habe ich immer am Schlüsselbund, einen habe ich daheim in der Schublade, einen im Schließfach - und einen vierten bei einer Person B, der ich vertraue. Alle haben für die Ersteinrichtung den gleichen Datenstand erhalten und so häufig ändert sich der auch nicht.

Bei der bereits angesprochenen Person C liegt in Papier und digitaler Form eine Kopie eines Teils meines Master-Passwords für meinen PW-Manager. Person A, Person B und Person C wissen nicht voneinander aber wissen beide natürlich, wie relevant die Infos für mich sind. Der zweite Teil vom Passwort liegt im Schließfach.

Ich möchte damit mehrere, zunehmend problematischere Szenarien abdecken:

1. Verlust von Smartphone und Schlüssel unterwegs
Nervig aber nicht problematisch: anderes bereits autorisiertes Gerät nutzen, um Zugang zu PW-Manager zu erlangen. Neues Smartphone aus Backup wiederherstellen.

2. Verlust von Smartphone, Schlüssel und aller Kopien und autorisierter Geräte Zuhause durch z.B. Wohnungsbrand
Erster Schritt: Schließfach aufsuchen, Barreserve entnehmen und neuen Laptop kaufen. Darauf dann mit Yubikey aus Schließfach + Passwort aus Schließfach & von Person C + SecretKey von Person A oder aus Schließfach PW-Manager einrichten, damit dann Stück für Stück alles wiederherstellen.

3. Verlust von allem bisher genannten und meines Gedächtnisses
Sollte ich mich nicht an mein Master-PW und den ganzen oben genannten Schnickschnack erinnern können, weil z.B. beim Hausbrand was passiert ist und ich teilweise meine Erinnerungen verloren habe, wäre das der Weg: In dem Fall habe ich vermutlich ganz andere Probleme, aber nicht an meine Bankkonten etc. zu kommen, ist halt auch nicht so gut. Ich weiß im WorstCase nicht, dass ich ein Schließfach habe und auch nicht, dass ich einen Passwort-Manager habe. Für den Fall sind die Personen entsprechend gebrieft, ich kann dann durch deren Bestandteile den Zugang zum PW-Manager wiederherstellen und finde darin dann eine Anleitung, wie es weiter geht.

4. Ich sterbe
Für diesen Fall erhält meine Familie Zugang zu meinem PW-Manager (siehe 3.) und durch Nachlass-Regelungen (wie bspw. Apple Nachlasskontakt) auch zu meinen Geräten. Bei meinem Arbeitgeber gibt’s einen zweiten Admin, der gleiche Rechte hat und für mein Nebengewerbe liegen alle wichtigen Infos im PW-Manager, könnten also von meiner Familie geregelt werden.

Klingt vielleicht paranoid und übertrieben, ich habe aber letztes Jahr erst feststellen müssen, wie schnell es gehen kann, dass man sich nicht mehr an die einfachsten Dinge erinnert. Hatte durch Krankheit ziemlich Gedächtnis-Probleme, teilweise Namen mir nahestehender Personen nicht mehr gewusst und auch manche meiner wichtigen Passwörter nicht mehr. Danach habe ich meinen persönlichen „DisasterRecovery“-Plan entsprechend angepasst und wie oben beschrieben ausgeweitet.

Vereinfacht gesagt ist meine Strategie die: möglichst viel in einem Ort (PW-Manager) ablegen und diesen dafür bestmöglich schützen und gleichzeitig so erreichbar machen, dass ich auch im Worst Case nicht ausgesperrt bin.

Gleichzeitig verteile ich das Risiko, das nicht nur bei mir was schief geht - nur wenn gleichzeitig mein Gedächtnis versagt, meine Wohnung abbrennt und Schließfach oder/und Person C ausfallen, habe ich ein Problem. Das Risiko schätze ich als überschaubar ein.

Vielen Dank für die sehr ausführliche Beschreibung zur Abdeckung der verschiedensten Schadensszenarien. Der in den letzten beiden Absätzen beschriebene Ansatz gefällt mir sehr!

OTP Auth muss ich mal mit Aegis vergleichen - Danke für den Hinweis.

Kannst du etwas zum Einsatz von Yubikey für die Verwendung von Diensten auf dem Handy sagen?

Ach herrjeh, so viel geschrieben und dann doch die ursprüngliche Frage nicht wirklich beantwortet Im Urlaub bin ich selten alleine unterwegs, hier hat die andere Person dann meist eh ein Smartphone und darüber lässt sich vieles regeln. Für Kontaktdaten habe ich tatsächlich einen Zettel mit den wichtigsten Infos und auch einer Kopie meines Passes/Persos, den Zettel trage ich immer am Körper.

Mit Yubikeys am Smartphone komme ich super klar, das klappt wirklich ganz einwandfrei per NFC!

D.h., der Yubikey funktioniert per NFC ohne Strombezug über USB mit dem Handy?
Das wäre echt super!

Genau! Ich halte ihn einfach dran, mit meinem iPhone (Modell 13 Pro) gab es da noch nie Probleme.

Zum zweiten Faktor haben ja schon einige was geschrieben. Ich benutze das Smartphone nie dazu, außer geschäftlich, und dann ist es das Problem meines Arbeitgebers, mir den Zugang wieder zu ermöglichen.

Kontakte und Termine synchronisiere ich regelmäßig via SOGo. Das ist komfortabler als Backups. Die Telefonnummern der nächsten Angehörigen habe ich im Kopf. Die können dann ja weiterhelfen.

Interessant! Mein letzter Stand war, das es immer nur einen Key gibt und ich auf den höllisch aufpassen muß, weshalb ich bisher diese Kryptokeys gemieden habe.

Ich habe Dich richtig verstanden, daß Du 4 „identische“ (Kopien) Sticks hast?

Und eine ganz praktische Frage: Da ich null Berührungspunkte und Erfahrungen habe - wie kann ich meinen Windows / Linux Rechner und Mobiltelefon mit dem Key schützen?
Ein Programm/App installieren, Schlüssel dran halten…? Für User wie Dich ganz banal…aber ich stehe ganz unten, nicht mal am Anfang

Genau, wobei „Kopie“ nicht ganz korrekt ist: jeder Yubikey muss separat bei jedem Account hinzugefügt werden, das sind also keine simplen Kopien wie bei einem USB-Stick sondern kryptographisch trägt jeder Yubikey einen anderen Inhalt in sich. Das ist aber nicht tragisch, beim Login kümmern sich Yubikey + der entsprechende Dienst darum, dass die Kommunikation passt.

Programme musst du keine installieren, jedoch müssen sowohl dein Betriebssystem als auch dein Webbrowser mit FIDO2 (also WebAuthn + CTAP2) klarkommen. Das ist der Fall

• theoretisch ab iOS 13.3, so richtig praktisch erst ab iOS 14
• ab macOS Mojave
• ab Android 7.0
• ab Windows 10
• bei Linux je nach Distribution, aber eigentlich guter Support

und in Webbrowsern

• ab Firefox 66.0.32
• ab Safari 13
• Chromium weiß ich nicht, seit wann genau

Solange du also mit einem modernen System unterwegs bist, solltest du FIDO2-SecurityKeys nutzen können. Grobe Hausnummer: seit 2019 können das die meisten Systeme & Browser. Wenn der Support da ist, kannst du ohne zusätzliche Software einfach den Key einstecken/dranhalten und das war es. Wenn das System & Browser nicht den Support haben, wird es aber nichts. (Es gibt noch ältere und andere Verfahren neben FIDO2, das wird jetzt aber zu komplex).

Für einen guten Einstieg in die Thematik kann ich dieses Video empfehlen, das erklärt sehr gut und verständlich, wie Hardware-Keys (und Passkeys) funktionieren und was hinter den Szenen passiert: https://yewtu.be/watch?v=aMo4ZlWznao&t=342s

Was den Schutz des Geräts selbst angeht: meinst du zusätzlich/anstelle des Logins mit Passwort?