Wie die Headline schon sagt, bin ich auf der Suche von Erfahrungswerten und Empfehlungen bezueglich einer optimalen 2FA Loesung.
Momentan setzte ich fuer meine 2FAs Authy ein.

Ich finde den Workflow zur Encryption der Tokens ueber mehrere Devices hinweg allerdings etwas umstaendlich und bin nun auf der Suche, ob es evtl. etwas eleganteres gibt.

Ich meine ausschliesslich Loesungen fuer 2FA und nicht fuer Passkey, da bei vielen Anwendungen Passkey noch nicht unterstuezt wird.

Bin gespannt was hier so eingeseztzt wird.

Mit Authy trennst Du 2FA von den Passwörtern. Mir wäre das zu umständlich. 2FA und Passwörter sind zusammengehörende Einträge im Passwortmanager; dann funktioniert auch das Autofill besser. Passwortmanager ist Strongbox/KeepassX.

Danke!
Die Trennung von 2FA und Passwords soll auch weiter so bleiben, denn auch mein Passwortmanager (Bitwarden) ist durch 2FA gesichert. 2FA und Passwords zusammen in einem Passwordmanager zu speichern hebelt meiner Ansicht nach den Sinn und Zweck von 2FA aus. Insofern macht Authy den Job schon gut, nur die Synchronisierung und das Backup der 2FA Tokens ist sehr umständlich. Daher meiner Frage wie Ihr die 2FA Tokens ueber mehrere Devices synced oder eben auch Backupt, für den Fall dass das iPhone abhanden kommt. iCloud macht zwar in Backup der App, aber nicht der darin befindlichen Tokens.

In dem Fall würde ich ein zweites separates Vault mit Bitwarden oder Keepass erstellen.

Ich denke aber, dass 2FA nicht ausgehebelt wird. Wenn jemand von einem Dienst das Passwort gestohlen hat, fehlt im noch immer der zweite Faktor, der nur auf Deinen Geräten anhand des 2FA-Schlüssels immer wieder neu erstellt wird. Der zugrunde liegende Schlüssel für 2FA wurde nicht vom Angreifer gestohlen.

Das mit dem 2ten Vault ist eine guten Idee.

Ich benutze dafür die App „OTP Auth“.
Für iOS kostenlos mit In-App-Käufen für 3,99 €. Ob man die für Backups und iCloud-Sync braucht weiß ich nicht (scheint aber nicht so zu sein), man könnte dann jedoch eigene Icons für die Tokens erstellen wenn man's unbedingt braucht. Ich hatte sie damals bezahlt um den Entwickler zu unterstützen und damit eben auch die Pro-Version bekommen.
Für MacOS 6,99 €.

Läuft mit Face ID oder Touch-ID, aber auch mit Extra-Passwort.
iCloud-Sync funktioniert gut (iCloud Drive muss aktiviert sein).
Backup aus der App heraus (sichert alle Accounts und Ordner), die Datei kann man irgendwo hin verschieben/kopieren. Mittels der Backup-Funktion könnte man bei ausreichend vorhandener Paranoia auch auf die Sync-Funktion verzichten.

ich nutze Step Two … bis 10 Accounts kostenlos

Ich speichere die Secrets im Tresor meines Passwordnanagers und aktiviere dort auch die Funktion "Einmalpasswort".
Dann über Jahre OTPAuth und seit letzter Woche auch StepTwo. Kosten beide weniger als ein Starbucksbesuch.

Danke

Ah mein Daumen runter Freund is auch schon wieder am Start!

Warum speicherst Du die Einmalpasswörter an drei Orten? Bei mir würde so eine Parallelspeicherung dazu führen, dass ich bei Änderungen nicht mehr weiß, was die richtige Version ist.

Aktuell:

• Google Authenticator auf 2 Geräten (jeder QR Code wurde mit beiden Geräten gescannt) (Sync ist nicht aktiviert)
• Screenshots der QR Codes lokal abgespeichert (z.B. in einen Cryptomator Vault oder anderweitig verschlüsselt)
• die üblichen 10 Einmal-Backup/Recovery Codes sind im Passwort Manager gespeichert (dessen Daten wiederum über 3 Geräte hinweg synchronisiert sind)

Es gibt auch von Microsoft eine Authenticator App für iOS , die mir beim Einrichten eines Outlook Kontos vorgeschlagen wurde (natürlich), aber war froh, dass es auch mit dem Google Authenticator ging.

Als weitere - und eher ernstzunehmende Alternative (für mich zumindest) - gibt's dann jüngst auch mittlerweile eine iOS Authenticator App von Bitwarden

Mittelfristig:
plane ich generell von 1Password auf KeepassXC zu migrieren, welches zudem TOTP kann, so dass ich auch 2FA Tokens an Desktop Computern bei Bedarf - und das cross-plattform - erzeugen kann.
Ferner erwäge ich den Umzug von Google Authenticator auf vermutlich den Bitwarden Authenticator auf mobilen Geräten, sowie auch zusätzlich den Schritt hin zu Hardware-basierten Lösungen wie z.B. dem NitroKey , YubiKey usw.

Kostenpunkt - wobei das kein primärer Grund ist: zero (abgesehen von Hardware Keys natürlich).

@xcomma,
Danke für die genaue Info, der Bitwarden authenticator klingt spannend!

2FA im selben Passwortmanager zu speichern, hebelt nicht den Sinn und Zweck der 2FA aus. Die 2FA sollen verhindern, dass sich jemand mit einem erbeuteten oder erratenen Passwort anmelden kann. In der Regel kommen Leute über Phishing oder schlecht geschützte Websites an Passwörter.

Auch Apple sieht das so. Warum auch sonst werden die 2FAs auf demselben Gerät eingeblendet, mit dem man sich gerade einloggen will?

Ort 1: In 1Password, um das Secret zu speichern (eher: dessen QR-Code). ab und zu ist 1PW offen, dann finde ich das schnell, klicke drauf und fertig.
Ort 2: OTP-Auth nutze ich seit Erscheinen und da ging alles aus der frühen 2FA-phase rein. Ist sehr viel, ich traue mich jedoch nichts zu löschen. Der Vollständigkeit halber geht jedoch zur Zeit noch alles da mit rein.
Ort 3: StepTwo ist das, wo ich die 2FAs habe, die ich täglich mehrmals nutze. StepTwo muss auch nicht entsperrt werden. Die "harmlosen" 2FAs (All-Inkl usw) wandern da rein.

Mittelfristig wird OTPAuth wohl nicht mehr benutzt werden.

Der weiß, dass Du Überkopf lebst in NZL. Das sind eigentlich Daumen hoch.

Schens
Aber brauchst du nicht ohnehin erst das Passwort und dann 2FA? So ein zweiter Faktor allein ist doch nutzlos, oder nicht?!
Wenn Du das Passwort aus 1PW erhältst, füllt 1PW das Passwort automatisch ein oder Du machst es selbst mit ⌘v. Wenn Du erneut ⌘v betätigst, wird der 2FA eingefügt, weil dies die Passwortmanager, die ich kenne, selbst in den Zwischenspeicher schreiben.

Ich nutze 2FAS Auth auf meinem iPhone.
Open Source, kostenlos.
Zwei Geräte für 2-Faktor-Authentifizierung finde ich auch ganz sinnvoll...

Es gibt doch auch schon hardwarekeys (usb sticks oder nft chips) für 2FA weiß nur grad nimmer wie die heißen.

Grundsätzlich sollte man aufpassen, all diese sicherungen nicht auf dem gleichen handy zu halten wo sensible daten, aktien-oder kryptowallets liegen. Wenn du aufm handy ne kryptowallet mit ein paar BTC hast und auf dem gleichen handy den goggle authenticator sowie SMS/Email für 2FA ist die ganzensicherung nix wert wenn dir das handy abhanden kommt und entsperrt werden kann, bspw weil dir der dieb mal über die schulter geschaut hat, als du es entsperrt hast, und so den entsperrcode vom handy erspäht hat. Dann ist ruckzuck die ganze kohle weg!

Darum sollte man derartige sicherheitsapps auf berschiedene handys verteilen, die man nie zusammen mit sich trägt. Das mit den 2FA apps sollte bspw stets zu hause bleiben und auf dem standardhandy sollte man nur minderbeträge herumtragen und das fette hauptwallet auf einem weiteren handy halten das nur daheim bleibt - am besten sicher versteckt 😎

Im Wandtresor gibt es leider keine Stromversorgung, und der Empfang ist auch recht begrenzt...

Lese hier interessiert mit, nutze ebenfalls 1PWD in V7 und Authy.
Habe mir leider nie die Codes notiert. Das geht nachträglich wohl nicht mehr…
Bin aber mit Authy grundsätzlich zufrieden und Sync (allow multi device) über drei Devices. Das funktioniert auch prima.
Was funktioniert denn bei Dir @flyingsloth nicht?

Ich nutzen den Schlüsselbund vom MacOS für die Passwörter. 1PW ist n ur ein reiner Date Tresor, der wirklich sehr umfangreich genutzt wird. Ich nutze 1PW kaum als PW-Manager-PlugIn, sondern nur als Nachschlagewerk. Nachteil: Gigantische Dateigröße, Vorteil: Der Haftpflichtvertrag von 2003 von der Humbug-Mülleimer? Kein Problem.

Ob das so sinnvoll ist, sei dahingestellt. Ist halt so geworden......

Das ding muss ja nicht permanent eingeschaltet sein 🤷‍♂️

Falls die Codes nicht nachträglich im "Profil-/Kontobereich" doch noch angeboten werden zum Download/zur Ansicht, dann einfach neu "erzwingen":

• in den Dienst einloggen
• im entsprechenden Profil-/Kontobereich das 2FA deaktivieren
• ausloggen
• wieder einloggen
• 2FA erneut aktivieren/aufsetzen - und in dem Zuge bekommt man die zugehörige Liste der Backup Codes zu Gesicht "wieder"

https://www.yubico.com ☝️😏

Die Tokens sind ja auch nur ein paar Minuten gültig.
Notieren ist also absolut sinnfrei.

Das ist so nicht korrekt. Das als QR-Code/Text angebotene Secret behält die Gültigkeit. Darauf beruht das System ja.
Die erzeugten rotierenden Codes sind 30s gültig.

In einigen Lösungen - wie z.B, OTPAuth - kann man sich das Secret anzeigen lassen und so leicht transportieren.

Zudem gibt es "Backup Codes", die nicht ablaufen und die aller Regel nach beim erstmaligen Aktivieren von 2FA eines Dienstes zur Verfügung gestellt werden. Der Sinn dieser Codes wäre z.B. genau der Fall, wenn man z.B. "das einzige Gerät mit der 2FA App" verliert oder auch wenn beispielsweise kurzzeitig die Auslieferung des Tokens nicht funktioniert aufgrund von technischer Probleme seitens des Dienste-Anbieters (das trifft auf technische Optionen zu, die z.B. als SMS oder Email implementiert sind) man aber "jetzt sofort und unbedingt" in den Dienst muss und nicht warten kann bis sie ihr Infrastrukturproblem diesbzgl. in den Griff bekommen haben. Man könnte diese also auch quasi Recovery Codes nennen.

Zumindest habe ich diese Art von Codes implizit angenommen als ich auf holger@0711s Satz "Habe mir leider nie die Codes notiert." reagierte.

Genau um diesen Recovery Backup Code dreht sich bei mir momentan alles. Authy spinnt hier gerade gewaltig.

Der Backup Code funktioniert problemlos beim meinem neuen iPhone und beim iPad. Bei meinem M1 Mac Mini macht er jedoch Zicken und entschlüsselt mein 2FA Tokens nicht. Das beunruhigt mich etwas. Denn nach etwas nachforschen musste ich bei Authy auf dem Blog lesen, dass die OSX App end of life ist und nur noch iOS und Android unterstützt wird. Das ist der Grund warum ich mich nach einer anderen 2FA App umsehe.

Ich glaube, da geht immer noch etwas durcheinander.
Auf Basis eines Geheimnis oder Token oder TOTP-Geheimis wird eine 6-stellige Zahl für 30 Sekunden generiert.
Das Geheimnis (RFC6238) sieht so aus:
Das wird dann auch als QR-Code dargestellt.

Was diese Apps nun machen ist diese URL aufzurufen:

Auch Authy hat diese TOTP-Geheimnisse hinterlegt und können abgerufen und damit exportiert werden (zumindest händisch). Das war zumindest vor Jahren so, als ich die App mal genutzt habe.

Backup Codes sind extra Passwörter, meist 10 an der Zahl, die man sich an einem sicheren Ort hinterlegen kann. Ich lehne die in der Regel ab, weil ich 11 zulässige Passwörter für unsicherer halte als ein Passwort.
Auch diese Extra-Fragen (Familienname der Mutter, Haustier etc.) lehne ich ab, wenn es geht.

Für die TOTP-Berechnung wird übrigens kein Online-Zugang benötigt.
Hier ist auf Github ein 5-Zeilen Bash-Skript, welches den TOTP (die 6 Ziffern) auf Basis des TOPT-Geheimnis ausrechnet.
https://github.com/KevCui/totp

Verständnisfrage: du hast Authy und Bitwarden auf dem Mac? Hast du da nicht selber schon ausgehebelt?

ICloud Schlüsselbund für Passwörter auf allen Geräten und Google Authenticator für 2FA auf dem iPhone.

Bezüglich crypto und Handy wallet. Crypto auf dem Handy ist immer abgesichert durch einen Hardware Ledger welcher immer sicher entfernt vom iPhone aufbewahrt wird.

Nein Bitwarden nur am Handy, nicht am Rechner.

So sollte das auch sein 😎 ich habe aber auch schon leute gesehen, die haben ihr „main wallet“ mit tlw mehreren BTC drauf (also ein paar 100k Teuro auf ihrem handy gehabt inkl google auth und mit der dortigen handynummer gekoppelt. Das ist natürlich wahnsinn! Wenn das mal einer klaut und das handy entsperrt kriegt, hat der zugriff aufs gesamte vermögen 🙈 darum hab ich auf meinem alltagshandy immer nur soviel, wie ich regelmäßig brauche und das „main wallet“ auf einem zweitgerät das stets zu hause ist. Und den goggle auth auf dem andren handy so dass man das man auf das wallet nur zugriff hat, wenn man auch das andere gerät hat.

Welche hardware nutzt du als sicherheit? Das plane ich auch noch aber bin noch recht „nooby“ 😎 die oben verlinkten yunico machen mir einen recht vernünftigen eindruck 👌

In Sachen Crypto Storage habe ich auch schon die abenteuerlichsten Sachen gesehen inkl. 84 ETH auf dem Exchange gelassen. Und dieser ging dann irgendwann hops. Deshalb kann man gar nicht oft genug predigen. Not your Keys not your Crypto!!

Persoenlich nutze ich Ledger Hardware und als Backup Cryptotag Zeus.