Zwei-Faktor-Authentifizierung (2FA) sollte verwendet werden, wann immer dies möglich ist. Wenn Benutzername und Passwort durch ein Datenleck oder Phishing kompromittiert wurden, kann die 2FA immer noch das Schlimmste verhindern. Allerdings sollte dafür immer eine separate App verwendet werden.
Ein zweiter Faktor kann sowohl ein Hardwaretoken als auch ein generierter Code sein. Einige Dienste verschicken dazu noch SMS, was aber unsicher ist und daher immer seltener angeboten wird. Durchgesetzt haben sich sogenannte Authenticator Apps, die nach dem TOTP-Verfahren arbeiten. Davon gibt es zahlreiche proprietäre und quelloffene Varianten, und die Nutzer sind nicht an bestimmte Anbieter gebunden.
In letzter Zeit haben immer mehr Passwortmanager entsprechende Funktionen implementiert. Das gilt für proprietäre Lösungen wie Apple Passwörter, aber auch für KeePassXC. Ich finde das fatal, weil es die Bequemlichkeit der Nutzer fördert, die dann auf eine weitere App verzichten wollen. KeePassXC warnt auf der eigenen Seite davor:
KeePassXC allows me to store my TOTP secrets. Doesn’t this undermine any advantage of two-factor authentication?
Yes. But only if you store them in the same database as your password. We believe that storing both together can still be more secure than not using 2FA at all, but to maximize the security gain from using 2FA, you should always store TOTP secrets in a separate database, secured with a different password, possibly even on a different computer.
KeePassXC FAQ
Natürlich ist im Falle von Datenlecks bei einem Dienst oder Phishing ein TOTP im Passwortmanager immer noch besser als kein TOTP. Aber Passwortmanager haben immer das „Alle Eier in einem Korb“-Problem. Dieses muss durch TOTP nicht noch vergrößert werden.
Eine separate TOTP-App auf dem Smartphone hat zudem den Vorteil eines zweiten Hardware-Faktors. Zumindest, wenn man die Passwortdatenbank nicht auch auf dem Smartphone speichert. Man meldet sich am Desktop an, muss dann noch das Smartphone zur Hand haben und tippt den Code ein. Damit ist nebenbei die Zwischenablage als potentielle Schwachstelle ausgeschaltet.
Also, wenn 2FA, dann doch bitte auch mit einer separaten App auf dem Smartphone.
Im Grundsatz, klar, ist das so. Ich finde die Praxis dennoch weitgehend unproblematisch, weil kompromittierte Passwörter in aller Regel nicht auf eine geknackten Passwortdatenbank eines Nutzers zurückgehen, sondern auf kompromittierte Services.
Mit TOTP im Passwortmanager hat ein 08/15-User 99% der *real* vorkommenden Sicherheitsrisiken bei Loginverfahren abgedeckt, das restliche Prozent ist fast rein akademische Optimierung.
Ich verstehe den Ansatz – letztlich handelt es sich um eine Risikoabwägung.
Müssten in diese nicht auch Passkeys mit einbezogen werden, so dass man letztlich über drei Bereiche spricht?
Einer App für Passwörter, einer für Passkeys und einer für TOTP?
Nein, weil Passkeys meiner Ansicht nach eher in die Kategorie von privaten Schlüsseln wie z.B. SSH-Keys gehören.