TOTP-Codes in Bitwarden speichern oder separate App nutzen?
Ich nutze Bitwarden, um meine Passwörter zu speichern, und habe für alle Dienste, die es unterstützen, 2FA aktiviert. Die TOTP-Codes speichere ich ebenfalls direkt in Bitwarden, statt eine separate App zu verwenden. Der Zugang zu meinem Bitwarden-Konto ist durch einen YubiKey Security Key Series als zweiten Faktor abgesichert. Meine Frage ist: Ist es sinnvoll, die TOTP-Codes in Bitwarden zu speichern, wo auch die Passwörter gespeichert sind, oder wäre es sicherer, eine separate App für die TOTP-Codes zu verwenden?
3 Antworten
TOTP sind als zweiter Faktor gedacht. Also, dass eine Person sowohl das Password hat, als auch Zugriff zur App mit dem Token.
Da Password-Manager bei richtiger Benutzung jedoch deutlich sicherer sind, als die Ausgangssituation der durchschnittlichen Person, welche TOTP verwendet (mit YubiKey als Faktor sogar sicherer als TOTP (sofern die Geräte keine Malware haben, was aber so oder so der Gau ist)), ist es meines Erachtens auch nicht falsch, eine Kopie des TOTP-Schlüssels im Passwort-Manager zu speichern, da ich auch kein Freund dieser Apps bin.
Am sichersten ist es natürlich, das separat zu halten.
Danke für deine Antwort! Jetzt weiß ich zumindest, dass es doch nicht so eine doofe Idee war, das so zu handhaben.
Prinzipiell solltest du Dienste wie Bitwarden die nicht spezialisiert auf OTPs sind, nicht für OTPs verwenden.
Generell wäre auch der YubiKey als OTP Generator nicht sicher, da dann ein Angreifer der deinen Rechner kontrolliert, auch den Generator kontrollieren könnte.
Ob du nun einen YubiKey als OTP Generator verwendest oder einen anderen OTP Generator (z.B. auf dem Handy), in beide Fälle ist es notwendig den Second Factor außerhalb des kontrollierten Umgebungen zu wählen
Danke für deine Antwort! Ich nutze einen YubiKey der Security Key Serie, der keine TOTP-Funktionalität besitzt und daher nicht als OTP-Generator verwendet werden kann. Ich setze ihn ausschließlich als WebAuthn-Token (FIDO2/U2F) für die Anmeldung bei Bitwarden ein.
Eine gute Frage, über die ich mir auch schon Gedanken gemacht habe. Grundsätzlich erreichst du nur die volle Sicherheit des zweiten Faktors, wenn dieser physisch getrennt von den restlichen Zugangsdaten generiert bzw. aufbewahrt wird. Bequemlichkeit beißt sich oft mit der Sicherheit, so auch hier: TOTP-Token im Passwortgenerator zu generieren ist komfortabler, prinzipiell aber weniger sicher. Die Frage, die du dir letztlich stellen musst: Wie viel Sicherheit brauchst du im Einzelfall für den konkreten Dienst? Gegen welche Risikoszenarien möchtest du dich schützen? MFA mit OTP-Token, die in Bitwarden generiert werden, ist immer noch besser als gar kein MFA.
Ich persönlich speichere Zugangsdaten grundsätzlich nicht in irgendeiner Cloud, sondern immer lokal. Wenn jemand es schafft, unbefugt auf meine lokalen Systeme zuzugreifen, habe ich ein größeres Problem als ein paar abgezogene OTP-Token. Letztlich ist die Frage, wie man die Prioritäten setzt und welchen Sicherheitsstandard man dort erreicht, wo die Zugangsdaten abgelegt werden.