Dr. Christoph Rüdt <christoph.ruedt@dr-ruedt.de> writes:

ich hatte das mal mit einem Yubikey und KeepassXC als Tresor für
Passwörter ausprobiert. Das funktioniert auch im Zusammenspiel mit
Firefox oder Chrome sehr gut, die entsprechende Browsererweiterung vorausgesetz.

Das ist schon mal gut.

Ist aber dann natürlich kein zweiter Faktor. Ich würde gern den zweiten Faktor "Smartphone" eliminieren - also solche Sachen wo man sonst ne SMS
oder nen Anruf bekommt

Dafür muß der Browser ja irgendwie mit Javascript oder was auch immer
selbst auf den Stick zugreifen (oder lokale Software anfragen), wenn ein Onlinedienst solche Keys als zweiten Faktor implementiert hat.

Wichtig dabei ist, dass Du Dir auf alle Fälle zwei
Yubikeys zulegst und identisch konfigurierst. Falls einer plötzlich
nicht mehr geht hättest Du sonst ein Problem.

Noted!


Danke,

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Christoph Schmees <cjws@gmx.net> writes:

2FA mit Smartphone ist heute lange nicht mehr nur SMS oder Anruf.
Schon mal von TOTP gehört?
Das nutze ich reichlich, von E-Mail Konten (nur bei Webmail) über Website-Admin bis hin zu bitwarden.
Würde dir so etwas helfen?

Leider nein: ist mir zu viel Arbeit, da drauf ein sinvolles System
aufzusetzen und zu verwalten. Und es muß ja auch verläßlich
funktionieren.

Ich würde meines gerne loswerden oder durch was sehr unsmartes ersetzen.

Trotzdem danke!

Micha.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Moin Michael,

Am 25.06.22 um 14:42 schrieb Michael Heerdegen:

...
Ich würde gern den zweiten
Faktor "Smartphone" eliminieren - also solche Sachen wo man sonst ne SMS
oder nen Anruf bekommt
...

2FA mit Smartphone ist heute lange nicht mehr nur SMS oder Anruf.
Schon mal von TOTP gehört?
Das nutze ich reichlich, von E-Mail Konten (nur bei Webmail) über Website-Admin bis hin zu bitwarden.
Würde dir so etwas helfen?
Nachdem ich verschiedene FOSS TOTP ausprobiert habe, ist mein Favorit Aegis.

hth
Christoph

--
Bitte keine Mails von USA-Providern wie AOL, me.com(icloud (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hi Christoph

Christoph Schmees - 25.06.22, 17:03:53 CEST:

2FA mit Smartphone ist heute lange nicht mehr nur SMS oder Anruf.
Schon mal von TOTP gehört?
Das nutze ich reichlich, von E-Mail Konten (nur bei Webmail) über Website-Admin bis hin zu bitwarden. Würde dir so etwas helfen?
Nachdem ich verschiedene FOSS TOTP ausprobiert habe, ist mein Favorit
Aegis.

Ist Aegis auch freie Software? Naja scheint so, gibt es zumindest auf F-
Droid. Es sieht so aus, als ob sich die Datei mit den Tokens wie bei
AndOTP mit einem Passwort verschlüsseln lässt. Zusätzlich dazu bietet
Aegis offenbar eine Backup-Funktion. Das wäre praktisch, nachdem AndOTP
glaub nicht mit SeedVault zusammen arbeitet.

Hast Du AndOTP probiert? Irgendwelche anderen Gründe aus Deiner Sicht,
die für einen Wechsel sprechen?

Ciao,
--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 25.06.22 um 16:04 schrieb Martin Steigerwald:

Hi Christoph

Christoph Schmees - 25.06.22, 17:03:53 CEST:

2FA mit Smartphone ist heute lange nicht mehr nur SMS oder Anruf.
Schon mal von TOTP gehört?
Das nutze ich reichlich, von E-Mail Konten (nur bei Webmail) über
Website-Admin bis hin zu bitwarden. Würde dir so etwas helfen?
Nachdem ich verschiedene FOSS TOTP ausprobiert habe, ist mein Favorit
Aegis.

Ist Aegis auch freie Software? Naja scheint so, gibt es zumindest auf F- Droid. Es sieht so aus, als ob sich die Datei mit den Tokens wie bei
AndOTP mit einem Passwort verschlüsseln lässt. Zusätzlich dazu bietet Aegis offenbar eine Backup-Funktion. Das wäre praktisch, nachdem AndOTP glaub nicht mit SeedVault zusammen arbeitet.

Hast Du AndOTP probiert?

auch, ja. WIMRE konnte das nicht so elegant ex- und importieren.
Ich nutze Aegis seit einigen Jahren. Dank der durchdachten Backup/Export-Funktion (verschlüsselt!) hat es bei mir schon etliche Neuinstallationen von Custom-ROMs begleitet und es läuft parallel auf zwei Smartphones - null Problemo.
Übrigens ist auch der Support super (außer dass er eine gmail-Adresse verwendet :-( ).
Ich hatte anfangs ein Problem mit leeren Exporten.
Der Autor fand schnell heraus, dass das an einer bestimmten Einstellung lag, die ich vorgenommen hatte - abweichend vom default. Es sollte so funktionieren, tat es aber nicht. Seitdem verwende ich die Einstellung nicht mehr. Ob das Problem in Aegis
inzwischen gelöst ist, habe ich nicht mehr verfolgt.

Irgendwelche anderen Gründe aus Deiner Sicht,
die für einen Wechsel sprechen?

Wenn du eine andere TOTP App hast, die deine Wünsche erfüllt: nein.
In allen anderen Fällen: FOSS, funktioniert 1a, Support 1a.
Brauchst du mehr? :-)

LG Christoph

--
Bitte keine Mails von USA-Providern wie AOL, me.com(icloud (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Samstag, 25. Juni 2022, 15:07:58 CEST schrieb Michael Heerdegen:

Ich frage nur um zu vermeiden die Sache am Ende genervt nach Recherche
und Zeit-/Geldinvestitionen aufzugeben.

Ich frage mich für welche Dienste man das nutzen könnte.
Vielleicht bin ich nicht die Zielgruppe, aber weder für PayPal, eBay oder Anazon kann man das nutzen. Die haben ihr eigenes 2FA Verfahren, genauso wie Banken.
Auch diverse Foren oder Shops bei denen ich angemeldet bin unterstützen keine 2FA auf diese Art, wenn überhaupt.

Mir fällt nur das Googlekonto ein und man könnte den Login am Rechner so absichern.
Was macht man also sinnvolles mit YubiKey und Konsorten?

--
Gruß
Helge

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Helge Reimer <hrnews@onlinehome.de> writes:

Ich frage mich für welche Dienste man das nutzen könnte. Vielleicht
bin ich nicht die Zielgruppe, aber weder für PayPal, eBay oder Anazon
kann man das nutzen. Die haben ihr eigenes 2FA Verfahren, genauso wie
Banken.

Sicher? Ich dachte wenigstens Paypal als eines der Gründungsmitglieder
der FIDO-Allianz würde es anbieten.

Auch diverse Foren oder Shops bei denen ich angemeldet bin
unterstützen keine
2FA auf diese Art, wenn überhaupt.

Mir fällt nur das Googlekonto ein und man könnte den Login am Rechner so absichern.
Was macht man also sinnvolles mit YubiKey und Konsorten?

Wenn das so stimmt - nix, wahrscheinlich. Das wäre wirklich schade.

Ich hatte gehofft nach den Lobpreisungen in c't wäre es zumindest
teilweise nutzbar.

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Sonntag, 26. Juni 2022, 00:20:34 CEST schrieb Hilmar Preuße:

KeepassXC kann doch von Hause aus TOTP, wenn man erstmal den Seed ins
das entsprechende Passwortfeld verfrachtet hat. Was habe ich verpennt?

Wie funktioniert das in der Praxis?
Hast du mal ein Beispiel?

--
Gruß
Helge

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Samstag, 25. Juni 2022, 23:49:56 CEST schrieb Michael Heerdegen:

Sicher? Ich dachte wenigstens Paypal als eines der Gründungsmitglieder
der FIDO-Allianz würde es anbieten.

Ja OK, bei PayPal kann man es einrichten.
Aber da ist die 2FA per SMS wohl praktischer. Das funktioniert immer. Auch wenn man an einem fremden Rechner sitzt wo der Token vielleicht nicht funktioniert oder die Software nicht installiert ist.

Ich sehe den größten Nutzen nur bei einem Notebook wo man die Verschlüsselung und den Login absichert. Aber ansonsten?

--
Gruß
Helge

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --------------scFTjO9i7qXvY1jiB63rBaVR
Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: base64

QW0gMjUuMDYuMjAyMiB1bSAxNzowMyB0ZWlsdGUgQ2hyaXN0b3BoIFNjaG1lZXMgbWl0Og0K DQpNb2luLA0KDQo+IDJGQSBtaXQgU21hcnRwaG9uZSBpc3QgaGV1dGUgbGFuZ2UgbmljaHQg bWVociBudXIgU01TIG9kZXIgQW5ydWYuDQo+IFNjaG9uIG1hbCB2b24gVE9UUCBnZWjDtnJ0 Pw0KPiBEYXMgbnV0emUgaWNoIHJlaWNobGljaCwgdm9uIEUtTWFpbCBLb250ZW4gKG51ciBi ZWkgV2VibWFpbCkgw7xiZXIgDQo+IFdlYnNpdGUtQWRtaW4gYmlzIGhpbiB6dSBiaXR3YXJk ZW4uDQo+IFfDvHJkZSBkaXIgc28gZXR3YXMgaGVsZmVuPw0KPiBOYWNoZGVtIGljaCB2ZXJz Y2hpZWRlbmUgRk9TUyBUT1RQIGF1c3Byb2JpZXJ0IGhhYmUsIGlzdCBtZWluIEZhdm9yaXQg DQo+IEFlZ2lzLg0KPiANCktlZXBhc3NYQyBrYW5uIGRvY2ggdm9uIEhhdXNlIGF1cyBUT1RQ LCB3ZW5uIG1hbiBlcnN0bWFsIGRlbiBTZWVkIGlucyANCmRhcyBlbnRzcHJlY2hlbmRlIFBh c3N3b3J0ZmVsZCB2ZXJmcmFjaHRldCBoYXQuIFdhcyBoYWJlIGljaCB2ZXJwZW5udD8NCg0K SGlsbWFyDQotLSANCnNpZ2ZhdWx0DQoNCg==

--------------scFTjO9i7qXvY1jiB63rBaVR--

-----BEGIN PGP SIGNATURE-----

wsF5BAABCAAjFiEEaXGmC/nkbIhxf16kxiZYRqvgLIsFAmK3ijIFAwAAAAAACgkQxiZYRqvgLIvU tw/+LayJCELr3f6TPOTHSfn1Mwg3XWvaUjfRLowvXlaamhJ3Qh8ANLP/ktsLEQM/7CJBAvvzYX+T EWokv83fdE8GBgWeCeQQyH/dwRnfeN5s9F6XOlBnVGLq3QY9/e2U5hZTEjSsyBQbctr7yVEmXOQN SE9TQKum4pO3MZ5W5rZqzcAXlXjOfxV9kQ89WtK413Ro10aHKhbVPEC3yTtTMEt+SHKqiOdbxaLB z44P5w1SwLB4hVSSklIhM6QZo63Yad0i1Nv36xVCmYbHoK6uZrQZtD/nP6IYgJgPH6r1v9qPW8w8 twfhYU/pRilJXoPqhusts+ogMOYcE99C2ojsfT/VVyVq4ORO3iZEHVtwVWACo/wdHcUllQTL6vWN P7KvUTPgGc0ArElGx3JjMZAT5fewUpu+ptFgbq0YZaJ2p1iCuOQKFVbSRFQ7psMeciu/cZ3VufFW ORz5ZtDaovEAD2vVeK3Rinh88lK/xM5NChvzKdPfMGeo3LP1YiDFYcRIjposxGcHblISJvZrJyvl NJE3rbRtdvXjjWeh22qYATnNsPI+dnKtIFbYfMJJEaU3+7HDx2+aUJQA1eUTHPfz4ikxpCAkZ9kG 0u8eEWlfmhfJiw/EXaEk2/iGuyXR0fMCTm/zEdIWE3FHDjSIrrWR4jfy+wLC6cBNqwd11c5jqsc+ jbA=
=JXIk
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 25.06.22 20:33, Helge Reimer wrote:

Mir fällt nur das Googlekonto ein und man könnte den Login am Rechner so absichern.
Was macht man also sinnvolles mit YubiKey und Konsorten?

Mir fallen da noch Microsoft und Salesforce ein. Und auch das 2FA-Plugin
bei der Nextcloud, das funktioniert bestens.

Es sind nicht viele Anwendungsmöglichkeiten, das stimmt. Aber dort, wo
es funktioniert, ist es sehr praktisch.

--
Andre Tann

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Helge Reimer <hrnews@onlinehome.de> writes:

KeepassXC kann doch von Hause aus TOTP, wenn man erstmal den Seed ins
das entsprechende Passwortfeld verfrachtet hat. Was habe ich verpennt?

Wie funktioniert das in der Praxis?
Hast du mal ein Beispiel?

Und wo kann man es ggf. nutzen?

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Andre Tann <atann@alphasrv.net> writes:

Es sind nicht viele Anwendungsmöglichkeiten, das stimmt. Aber dort, wo
es funktioniert, ist es sehr praktisch.

Du nutzt es mit Debian?

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Montag, 27. Juni 2022, 00:17:10 CEST schrieb Hilmar Preuße:

Um den TOTP einzurichten, gibt es "Setup TOTP" am Eintrag. Hier muß man
den Seed eintragen und sagen, welche Settings der TOTP haben soll,
zumeist sollte der Default (RFC 6238) zutreffen. Wo kriegt man den Seed
her? Meist wird einem ein QR Code angezeigt, in dem alles drin steht.

Aus meiner Sicht wird meist gar nichts angezeigt.
Deswegen fragte ich nach einem Beispiel.

Mit YubiKey habe ich keine Erfahrung, ich nutze TOTP meist aus der
KeepassDb heraus. Und ja, man kann sich streiten, ob sich die Sicherheit erhöht, wenn beide Secrets in derselben Quelle liegen. Zumindest eines
von Beiden erblickt ja (außer bei der Einrichtung) nie das Licht der
Welt. Bei mir gewinnt die Bequemlichkeit, weil man das Ganze auch im
AutoType verwursten kann.

Die Bequemlichkeit ist natürlich definitiv ein Argument für einen Passwortspeicher. Egal ob es nun KeePass oder was anderes ist.
TOTP unterstützen aber scheinbar die wenigsten Dienste.

Wo ich das verwende? Es gibt einige Web-Seiten da draußen, die das
anbieten: gitlab, github, Deutsche Bahn.... Die Fritz!Box bietet an
Config Export nur gegen TOTP zu machen.

Deutsche Bahn ist da wohl eher weniger kritisch. Es sei denn du hast da deine Kreditkartendaten hinterlegt.
Und wenn ein fremder Zugriff auf deine FritzBox hat hast du eh verloren. Der braucht dann kein Export deiner Konfiguration mehr.

Hoffe, ich war nicht allzu weit am Thema vorbei.

Gar nicht.
Interessant wofür das sinnvoll oder weniger sinnvoll genutzt wird.


--
Gruß
Helge

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 6/26/22 00:24, Helge Reimer wrote:

Am Sonntag, 26. Juni 2022, 00:20:34 CEST schrieb Hilmar Preuße:

Moin,

KeepassXC kann doch von Hause aus TOTP, wenn man erstmal den Seed ins
das entsprechende Passwortfeld verfrachtet hat. Was habe ich verpennt?

Wie funktioniert das in der Praxis?
Hast du mal ein Beispiel?

Um den TOTP einzurichten, gibt es "Setup TOTP" am Eintrag. Hier muß man
den Seed eintragen und sagen, welche Settings der TOTP haben soll,
zumeist sollte der Default (RFC 6238) zutreffen. Wo kriegt man den Seed
her? Meist wird einem ein QR Code angezeigt, in dem alles drin steht.
Wenn man sich den im Klartext anzeigt, steht dann da: otpauth://toptp/<string>?secret=<string2>&... <string2> ist dann der
Seed für KeepassXC bzw. für Keepass2 mit Plugin. Meist kann sich den
aber auch direkt im Klartext anzeigen lassen.

Mit YubiKey habe ich keine Erfahrung, ich nutze TOTP meist aus der
KeepassDb heraus. Und ja, man kann sich streiten, ob sich die Sicherheit erhöht, wenn beide Secrets in derselben Quelle liegen. Zumindest eines
von Beiden erblickt ja (außer bei der Einrichtung) nie das Licht der
Welt. Bei mir gewinnt die Bequemlichkeit, weil man das Ganze auch im
AutoType verwursten kann.

Wo ich das verwende? Es gibt einige Web-Seiten da draußen, die das
anbieten: gitlab, github, Deutsche Bahn.... Die Fritz!Box bietet an
Config Export nur gegen TOTP zu machen.

Hoffe, ich war nicht allzu weit am Thema vorbei.

Hilmar
--
Testmail

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 26.06.22 21:15, Michael Heerdegen wrote:

Es sind nicht viele Anwendungsmöglichkeiten, das stimmt. Aber dort, wo
es funktioniert, ist es sehr praktisch.

Du nutzt es mit Debian?

Ja, aber hat mit Debian nix zu tun. Der Browser muß es können, bzw. die Webseite muß auch der Meinung sein, daß der Browser es kann.

Beispielsweise funktioniert Salesforce neuerdings mit Chrome und
Firefox, bis vor kurzem war SF der Meinung, daß Firefox das nicht
beherrscht, und hat die Authentifizierung per Yubi nur via Chrome angeboten.

Google und auch das Nextcloud-Plugin hingegen konnten es immer schon
(seit ich es probiere) auch über Firefox.

Microsoft ist dagegen heute noch der Meinung, Firefox könne es nicht,
und bietet es nur bei Chrome an. Chromium geht kurioserweise auch nicht,
oder ich bin zu doof das zu konfigurieren.


Weiter oben im Thread wurde empfohlen, sich sicherheitshalber zwei
Yubikeys einzurichten. Kann man machen, bin aber der Meinung daß das
nicht nötig ist. Dafür reicht auch eine Authenticator-App als Zweit-Weg.
Oder viele bieten auch ein 2FA-Deaktivierungs-Paßwort an, das reicht auch.

Einen zweiten Yubi braucht man also mE nicht unbedingt. Einen zweiten
Login-Weg natürlich schon.

--
Andre Tann

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hi!

Am 2022-06-25 18:17, schrieb Christoph Schmees:

Am 25.06.22 um 16:04 schrieb Martin Steigerwald:

Hast Du AndOTP probiert?

auch, ja. WIMRE konnte das nicht so elegant ex- und importieren.
Ich nutze Aegis seit einigen Jahren. Dank der durchdachten Backup/Export-Funktion (verschlüsselt!) hat es bei mir schon etliche Neuinstallationen von Custom-ROMs begleitet und es läuft parallel auf
zwei Smartphones - null Problemo.

Nur der Vollständigkeit Halber: Das hat AndOTP inwzischen auch.
Plaintext, AES Verschlüsselt mit Passwort oder mit gpg verschlüsselt.
Bei den ersten beiden Methoden kann ich sogar berichten, dass es
funktioniert.


Mit besten Grüßen,
Alexander

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Andre Tann <atann@alphasrv.net> writes:

Ja, aber hat mit Debian nix zu tun. Der Browser muß es können,
bzw. die Webseite muß auch der Meinung sein, daß der Browser es kann.

Hmm - aber der Browser implementiert ja sicher nicht selbst den Zugriff
über USB auf den Key, da ist doch sicher das Betriebsystem und/oder der
Kernel involviert...? Meine Frage war, ob da was schief gehen kann
oder frickelig ist, oder ob ich was installieren muß, ober ob es
tatsächlich out-of-the-box funktioniert. Also letzteres?

Zweite Frage wäre noch, ob es evtl. Unterschiede bei der Unterstützung verschiedener Hersteller gibt. Man hört ja viel von YubiKey (warum eigentlich?), aber es gibt wohl (https://de.wikipedia.org/wiki/YubiKey) Konkurrenzprodukte mit offener Hardware (was beim YubiKey laut Aussage
der Seite nicht der Fall ist).

Ist es für Browser und Betriebssystem mehr oder weniger egal welchen Hersteller man nimmt und alle werden gleich gut unterstützt?

Danke und Grüße,

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 28.06.22 17:25, Michael Heerdegen wrote:

Andre Tann <atann@alphasrv.net> writes:

Ja, aber hat mit Debian nix zu tun. Der Browser muß es können,
bzw. die Webseite muß auch der Meinung sein, daß der Browser es kann.

Hmm - aber der Browser implementiert ja sicher nicht selbst den Zugriff
über USB auf den Key, da ist doch sicher das Betriebsystem und/oder der Kernel involviert...? Meine Frage war, ob da was schief gehen kann
oder frickelig ist, oder ob ich was installieren muß, ober ob es tatsächlich out-of-the-box funktioniert. Also letzteres?

Ich habe hier einen OnlyKey, für den man noch eine udev Rule hinlegen
musste. Ansonsten geht das ohne weitere Aktivitäten. Ich meine,
verbreitetere Systeme ala YubiKey sollten sofort gehen.

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 28.06.22 17:25, Michael Heerdegen wrote:

Hmm - aber der Browser implementiert ja sicher nicht selbst den Zugriff
über USB auf den Key, da ist doch sicher das Betriebsystem und/oder der Kernel involviert...? Meine Frage war, ob da was schief gehen kann
oder frickelig ist, oder ob ich was installieren muß, ober ob es tatsächlich out-of-the-box funktioniert. Also letzteres?

Kann ich Dir nicht sagen. Bei mir hats immer einfach funktioniert, ohne weiteres.

Ich hab einen Yubikey, und wie Ulf nebenan gesagt hat, evtl.
funktionierts bei dem besonders gut, weil er weit verbreitet ist.

--
Andre Tann

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

…
Weiter oben im Thread wurde empfohlen, sich sicherheitshalber zwei
Yubikeys einzurichten. Kann man machen, bin aber der Meinung daß das
nicht nötig ist. Dafür reicht auch eine Authenticator-App als Zweit-Weg. Oder viele bieten auch ein 2FA-Deaktivierungs-Paßwort an, das reicht auch.

Einen zweiten Yubi braucht man also mE nicht unbedingt. Einen zweiten Login-Weg natürlich schon.

Also wenn der achtfach veriegelte Haupteingang rumzickt, liegt der Schlüßel für die Kellertür unter der Fußmatte?
Wie sind vor ein paar Jahren die Konten einiger Prominenter geknackt worden? -----BEGIN PGP SIGNATURE-----

iQGzBAABCgAdFiEE9rZQHF75luLUHOh1ITXqm5SFtDEFAmK7hncACgkQITXqm5SF tDEkCQv+JxjqaVESQXd3eySF3iG02TPTlXttn/etjtcQ/OI/M5oMa4s69C2aGMY5 N5csdpxjZHZe2bRXzsYohMxP7bIvP/ps5DFFlfyDSrIPEXV4MsKJPI8uTquWMb4r knWTqvybS2G7xeRNLlGYq9DSOOMbUK3DWf4xeNNbeg11LltKrKm044NCAP6bAesT 4yybpzUCFkvOAAKFBJS14SUnXtWESqFaGoJ6GKmcc4m/n9mcBqBF9i5gYhCQQXbK I0fsMYVaTudTF8eYnZ+XoND3QoBSAA7KhlcnftaTU/kyC/d4bvaknX99zEUH6y+4 Vig5DCa3zk/Kvl0bQgJRZYRTuPiCuo4Rxi9cAp1GTgPNpY+c7ISZuDy3BwyUaZHs nKOWEEJ6ELB1j3amjfwIlXL8xaoaZc9HY1FCr2RkNwhQYUmEEIOlqhW/hEcEMggz uZVNgHKt19UckAuDmaboz4IoyG1JrjhGtbTxg7YAGGbBFdKeXOP6iiBRmbGyedga
bx/7y8fN
=8NrB
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hi!

Am 2022-06-29 00:53, schrieb Robert Stephan:

Einen zweiten Yubi braucht man also mE nicht unbedingt. Einen zweiten
Login-Weg natürlich schon.

Also wenn der achtfach veriegelte Haupteingang rumzickt, liegt der
Schlüßel
für die Kellertür unter der Fußmatte?
Wie sind vor ein paar Jahren die Konten einiger Prominenter geknackt
worden?

Nein, wenn man den Sicherheits-Schlüssel zum Haupteingang abgebrochen
hat, nimmt
man eben den Sicherheits-Schlüssel zur Hintertür.

Sprich: Wenn mein Yubikey/Wasauchimmer kaputt geht, nehme ich als
zweiten Faktor
die OTP-Passwörter aus der otp App meiner Wahl.


Mit besten Grüßen,
Alexander

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ulf Volmer <u.volmer@u-v.de> writes:

Ich habe hier einen OnlyKey, für den man noch eine udev Rule hinlegen musste. Ansonsten geht das ohne weitere Aktivitäten. Ich meine, verbreitetere Systeme ala YubiKey sollten sofort gehen.

Wen es interessiert wie es ausging:

Ermutigt von euren Antworten - vielen Dank dafür - habe ich mich ein
bißchen umgesehen und mir letztlich den Nitrokey FIDO2 gekauft. Offen
und relativ günstig weil macht ausschließlich FIDO2, mehr wollte ich
nicht. Die Herstellerseite hat auch nen oken Eindruck gemacht.

Jedenfalls funktioniert er hier tatsächlich out-of-the-box, ohne
udev-Regel hinzufügen oder irgendwelcher zusätzlicher Abhängigkeiten, in Firefox. Sehr schön.

Also Danke und Grüße,

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Dienstag, 19. Juli 2022, 21:03:14 CEST schrieb Michael Heerdegen:

Jedenfalls funktioniert er hier tatsächlich out-of-the-box, ohne
udev-Regel hinzufügen oder irgendwelcher zusätzlicher Abhängigkeiten, in Firefox. Sehr schön.

Sehr schön. Freut mich für dich.
Uns was genau macht der Nitrokey jetzt für dich? Wofür setzt du den ein?

--
Gruß
Helge

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Helge Reimer <hrnews@onlinehome.de> writes:

Uns was genau macht der Nitrokey jetzt für dich? Wofür setzt du den
ein?

Ich persönlich? Ausschließlich als Zweitfaktor bei Anmeldungen "im
Internet" anstelle z.B. des Smartphones. Leider ist FIDO2 lange kein
Standard, aber es gibt schon einige Seiten wo man es inzwischen nutzen
kann - hier ist ne Ãœbersicht (jeweils letzte Spalte):

https://www.dongleauth.com/


Ich bin ungern von meinem Smartphone abhängig, und der Stick ist auch n bißchen bequemer und sicherer.

Gibt auch Sticks die andere Sachen können (Daten besonders sicher
speichern, RSA-Keys ablegen, PGP encryption, ...) - hab ich aber nicht
wirklich Bedarf, ich wollt nur das FIDO2 haben.

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Dienstag, 19. Juli 2022, 23:36:36 CEST schrieb Michael Heerdegen:

Ich persönlich? Ausschließlich als Zweitfaktor bei Anmeldungen "im
Internet" anstelle z.B. des Smartphones. Leider ist FIDO2 lange kein Standard, aber es gibt schon einige Seiten wo man es inzwischen nutzen
kann - hier ist ne Übersicht (jeweils letzte Spalte):

Ja, du persönlich.
Wo "im Internet" nutzt du das jetzt?
Gib mir doch mal bitte ein paar Beispiele.

https://www.dongleauth.com/

Hatte ich mir schon öfter mal angesehen.
Finde dort aber auch nichts für meine Zwecke.

--
Gruß
Helge

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Helge Reimer <hrnews@onlinehome.de> writes:

Wo "im Internet" nutzt du das jetzt?
Gib mir doch mal bitte ein paar Beispiele.

Bis jetzt nur Paypal. Beachte: Hab den Stick heute nachmittag das erste
mal rangesteckt und hab auch sonst keine große Ahnung davon. Weiß nicht
ob ich noch Einsatzzwecke finde.

Paypal ist das einzige wofür ich bisher das Smartphone gebraucht habe,
welches damit jetzt obsolet ist. Das war eines der Dinge die ich
erreichen wollte.

https://www.dongleauth.com/

Hatte ich mir schon öfter mal angesehen.
Finde dort aber auch nichts für meine Zwecke.

Tja, das ist sicher sehr ausbaufähig, keine Frage. Ich hoffe ja, daß,
je mehr Leute so was haben und benutzen oder nachfragen, sich mehr
Dienste entschließen FIDO2 zu implementieren. Wenn nichts in der Liste
ist was du nutzt ist es wahrscheinlich Quatsch so was zu kaufen.

Wenn ich das Teil ne Weile benutzt habe und dran denke werde ich noch
mal n kleines Update geben ob sich noch irgendwelche
Anwendungsmöglichkeiten ergeben haben, ok?

Grüße,

Michael.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)