Ich bin kurz vorm Kauf eines FIDO2 2FA Authentifizierungskeys.
Bevor ich aber Geld ausgebe bräuchte ich nochmal eine Bestätigung oder Contra-Meinung.
Mir geht es hauptsächlich darum, ein paar meiner Accounts zusätzlich zu schützen, da ich aus Angst vor Aussperren meinen Authentificator auf dem Smartphone mMn viel zu wenig nutze, obwohl ich es sollte.
Momentan ist nur Bitwarden mit Aegis 2FA-gesichert, der Rest hat ein (je nach Prio) mehr oder weniger sicheres Passwort (per BW generiert).
Bei den weniger geschützten Accounts ist es kein so großes Drama für mich, wenn sie gehackt werden, da ich 150+ registrierte Accounts habe und ich damals nur bei den wichtigsten meine Zugangswege geändert habe.
Der physische Key dient hauptsächlich dazu, Redundanz zu schaffen, falls ich mein Smartphone verlieren sollte.
Somit plane ich, (sichere) 2FA per App (per SMS oder Mail ist öfter aktiviert, aber eher unsicher) überall zu nutzen, wo ich nur kann.
Ersetzen Keys heutzutage schon Passwörter?
Haben sie zusätzlich noch einen Vorteil, den Aegis/ Google Authentificator/ etc. nicht haben?
Wie viel sollte ich für einen ausgeben? Welchen würdet ihr mir empfehlen? Welchen auf keinen Fall?
Sollte ich direkt 2 kaufen weil sie so toll sind?
Muss man sich zum Nutzen davor wo registrieren oder ihn anmelden?
Wieso nutzt sowas kaum jemand?
Welche bekannteren Dienste bieten die Authentifizierung damit an?
Ich nutze yubikey ebenfalls mit Bitwarden. Funktioniert einwandfrei. Yubikeys können auch als passkeys dienen, allerdings ist ihre Kapazität begrenzt. Nutz daher Bitwarden für passkeys und Passwörter und sichere das mit dem yubikey als zweiten Faktor ab.
Bitte kauf dir 2 und nicht nur einen. Geht dir einer kaputt oder deutlich wahrscheinlicher verloren, dann bist du ausgesperrt. Immer 2 keys einrichten wenn du sie als zweiten Faktor verwendest ☝🏻
Die Sticks sind auch sehr robust und lohnen sich definitiv.
Kann ich so nur beipflichten. Nutze es genauso und funktioniert tadellos.
@OP: Bei dem yubikey den du verwendest kommt es eben auch auf die Schnittstellen an, die du verwenden möchtest. Für die Nutzung übers Smartphone bietet sich natürlich einer mit NFC an.
wenn möglich solltest du die beiden keys noch in getrennten Gebäuden aufbewahren, so bist du abgesichert falls dein Haus beispielsweise abbrennt. Mein ersatz liegt in meinem Schließfach im Geschäft.
Schau dir auch mal die Open-Source Alternative Solo 2 an. Ich nutze meinen schon seit Jahren als Backup für die FreeTOP+ App aufm Schmartfone. Ein bisschen günstiger und open-soruce halt. Dafür ist ein Firmware Update etwas frickelig. Aber das brauchts auch nicht wirklich.
Ersetzen Keys heutzutage schon Passwörter? Haben sie zusätzlich noch einen Vorteil, den Aegis/ Google Authentificator/ etc. nicht haben?
Physikalischer Key mit elektronischen Komponenten gegen Software. Muss man selber wählen, beides kann verloren oder kaputt gehen. Vorteile sehen ich jetzt keine, die Apps sind halt umsonst, aber man kann nicht mit Sicherheit sagen wo die Daten liegen (FreeOTP+ ist eine gute Alternative…)
Muss man sich zum Nutzen davor wo registrieren oder ihn anmelden?
Nö
Wieso nutzt sowas kaum jemand?
Naja, man hat die Taschen und den Schlüsselbund bereits vollgestopft und vielen ist ein zusätzliches Teil wohl zu umständlich. Auf dem Handy ist ja schon alles drauf. Über die Konsequenzen bei Diebstahl oder Verlust macht sicht leider kaum jemand Gedanken.
Sollte ich direkt 2 kaufen weil sie so toll sind?
Musst du selber wissen, ich würde eher das Argument “Backup” wählen. Kaputt gehen kann jedes elektronische Teil und wenn der Key am Schlüsselbund hängt ist es eben auch ein Verschleissteil.
Cool, die Alternative sieht auch interessant aus. Ich kannte bisher nur die Nitrokeys oder die Titanium von Google
Danke für den Vorschlag
Nutze es, find sie toll @Guenther_Amanita
Kleiner Tipp: Wenn einer mal den Geist aufgibt, hab ich mir gleich zwei geholt und nutz sie parallelDas ist kein kleiner Tipp, das ist absolut Notwendig
Also meiner Meinung nach
Ich persöhnlich habe mehrere Sticks Solokeys V2 und einen Yubikey,die Sticks haben auch Nachteile gegen über OTP. Das gleiche, gilt auch umgekehrt. Was man lieber möchte hängt von seinen eigenen persöhnlichen vorlieben ab.
Welche Vorteile ein bzw. welche Nachteile man haben möchte muss jeder selbst wissen.
Ich würde dir an erster Stelle raten dein bestehendes Aegis 2FA zu nutzen; von dessen Database du dann auch dringend Backups erstellen und aktuell halten solltest. Wenn du meinst, daß dir der physical Key bequemer ist als 2FA Software auf dem Telephon ist das natürlich Geschmackssache. Mein letzter Stand war allerdings, daß noch nicht allzu viele Dienste 2FA mit Physical Tokens unterstützen.
Nutze selber einen YubiKey 5C NFC. Auf dem YubiKey ist mein GPG-Schlüssel, mit dem wiederum die Passwörter via pass verschlüsselt sind.
Außerdem ist der Key, wo möglich, als zweiter Faktor oder direkt als WebAuthn-Credential/Passkey hinterlegt. Vor allem natürlich bei den eher wichtigen Accounts von Microsoft, Google etc. (Achtung: YubiKeys können nur maximal 25 Passkeys speichern. 2FA aber unbegrenzt).
Wenn du sie für Passkeys (also Login ohne Username/Passwort) benutzen willst, dann Kauf in jedem Fall einen zweiten als Backup. Vom Key selbst kannst du nämlich kein Backup machen.
Bzgl aussperren:
Dokumentiere das Passsort an mehreren Stellen (z.B. 3 verschiedene Papiere und 1x in Bitwarden), benutze Biometrie und mache eine verschlüsselte Sicherung via Android Backup und in den Speicher welches extern gesichert wird (ich mache das via syncthing auf ein nas).Mir ist hardware zu verlustbehaftet und was mache ich wenn Hardware kapput geht? 2FA Seeds kann ich quasi in einer Excel speichern.
Wichtiger Tipp: Studierende bekommen 20% Rabatt auf die ersten zwei Yubi Keys! Das geht sehr einfach und problemlos.
Ich finde die Teile praktisch für SSH-Keys, aber für Passwörter war mir das immer zu undurchsichtig. Ein randomisiertes Passwort pro Dienst und TOTP für 2FA reicht mir völlig aus.
Mit andOTP auf dem Handy kann man auch ganz praktisch alles im- und exportieren, also auch händisch mit einem Zweitgerät synchronisieren. Wer einen Authenticator von Reiner SCT benutzt oder eine App verwenden will, die das Exportformat nicht liest, kann sich auch ganz einfach den QR-Code zum Einrichten eines zweiten Geräts anzeigen lassen. Das fehlte mir bei den üblichen Apps meistens.
Ich habe gehört, dass andOTP wohl nicht mehr weiterentwickelt wird. Aber das heißt ja noch nicht, dass es dadurch massivst unsicher geworden wäre wäre
Aegis ist auch super und kann das alles!
Nein, benutze ich (noch) nicht.
Keepassxc kann auch TOTP. Ein keepass-Safe + die Software auf einem usb-Stick ist mir sicher genug. Man sollte nur nicht beide secrets (Passwort und totp) im selben Container aufbewahren.
Ansonsten natürlich immer an ein backup denken. Egal wo die secret gespeichert sind. Verlust oder Zerstörung kann immer passieren.