Passwortmanager mit OTP Integration sinnvoll?

  • Hallo Zusammen,


    ich teste verschiedene Passwortmanager und schaue mir grade Bitwarden an.

    Hier ist z.B. das Hinzufügen von OTPs möglich. Nur ist das sinnvoll? So hat der mögliche Hacker mein Passwort samt OTP. Also hebt dieses Vorgehen nicht den Sinn von OTP auf? :)


    Beste Grüße


    Olgsi.

  • Ich würde es nicht nutzen, weil es in der Tat den Sinn untergräbt. Aber das muss jeder für sich entscheiden. Bequemlichkeit und Sicherheit lassen sich oftmals nicht vereinbaren.


    Auf der Gegenseite sollte man sein Smartphone auch nicht als OTP-Generator nutzen, wenn man sich darüber beim Dienst anmeldet… *hust* :D

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich finde, man kann sich die OTPs ruhig in Bitwarden generieren lassen. Das untergräbt den Sinn von 2FA meiner Meinung nach höchstens ein bisschen. Grundsätzlich ist 2FA ja eine zusätzliche Hürde, falls jemand an dein Passwort gekommen ist. Das kann auf unterschiedlichste Weisen passieren:

    - unverschlüsselste oder minderwertige SSL/TLS Verbindung (MITM Angriffe)

    - Keylogger

    - jemand schaut dir über die Schulter

    - Du gibst das Passwort auf einer Phishing Seite ein


    Genau davor schützt 2FA auch dann noch, wenn du es in Bitwarden hinterlegst, denn das 2FA Secret bleibt geheim. Und wenn jemand tatsächlich Zugriff auf deinen Passwortmanager bekommen sollte, was einer mittleren Atomkatastrophe gleich käme, dann ist Hopfen und Malz sowieso verloren und du hast wahrscheinlich ganz andere Probleme als 2FA.


    Mal ganz abgesehen davon ist Bitwarden in meinen Augen ein hervorragender Passwortmanager (open-source, self-hosted, ...) und kann ruhigen Gewissens empfohlen werden!

  • Definitiv nicht. Der Sinn hinter der 2FA ist, dass zwei unterschiedliche Systeme genutzt werden. Wenn eines der Systeme seine Sicherheit verliert, z. B. weil jemand dein Bitwarden-Passwort abgegriffen hat, ist das zweite System immer noch sicher.

  • Der Sinn von 2FA ist nicht zwingend, zwei Systeme zu nutzen, sondern zwei Faktoren zu haben. "Verliert" eine Webseite deine Mail+Passwort-Daten, kann sich ein böser Wicht nicht in deinen Account einloggen, weil der zweite Faktor fehlt.
    Wenn jemand Zugang zu deiner Passwortdatenbank hat, dann hast du ein ganz anderes Problem, ganz egal ob dort 2FA-Daten hinterlegt sind oder nicht.

    Es kommt also darauf an, wovor man sich schützen will.

  • Zuerst einmal: Auch ich habe alle meine zweiten Faktoren in meinem Passwortmanager (1Password) gespeichert. Ich kann nun aber sowohl die Pro-, als auch die Kontra-Argumente verstehen. Sicherlich habe ich nichts gewonnen, wenn mein (entsperrter!) Passwort-Safe inklusive des zweiten Faktors abhanden kommt. Dieser Fall ist meiner Meinung nach jedoch sehr unwahrscheinlich. Bei 1Password würde das bedeuten, dass mir jemand mein bereits gekoppeltes Gerät klauen muss, während ich es gerade entsperrt habe und aktiv nutze. Zur Kopplung eines neuen Gerätes wird bei 1Password nämlich ein Secret benötigt, der nur auf bereits vorhandenen Geräten gespeichert ist, sozusagen ein weiterer "zweiter Faktor".


    Andererseits ist es ein extremer Komfort-Gewinn, wenn mein Passwortmanager auch den zweiten Faktor automatisch ausfüllen kann. Auch um ein separates Backup der OTP-App muss ich mich nicht mehr kümmern, da alles in einem Safe gespeichert ist. Und wie weiter oben schön erwähnt. bin ich für den Fall, dass eine Website mein Passwort verliert, weiterhin ohne Einschränkungen geschützt.

  • es ist bei allem eine Philosophie wie man es handelt;

    ich verwende als OTP-App die App von Red Hat (FreeOTP); die QR-Codes mit denen ich mir die 2FAs (netcup, amazon, ...) eingerichtet habe,

    sind als Backup sicher verwahrt; sprich ich kann ohne Probleme eine entsprechende App auf einer anderen Heizflosse damit verwenden und bin nicht ausgesperrt;

    der passwort-safe als solches ist eigentlich ein verschlüsselter OO-Writer File¹; und eine konvertierung in einen passwortgeschütztem-PDF liegt auf meiner private Cloud;

    mit der Heizflosse direkt arbeiten tu ich nicht, ich verwende sie nur;


    ¹ da hab ich dann so sachen wie eben den Token der 2FAs vermerkt, den URL; und auch andere Notizen², welche ich f. sehr wichtig halte;

    ² als Österreicher hat man z.B. eine Dt. Postadresse

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)