Nextcloud bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung per Time-Based-Passwort (TOTP), Backup-Codes, Universal 2nd Factor (U2F = Hardwaretoken) an. Nun soll es ja vorkommen, dass der ein oder andere Benutzer seinen zweiten Faktor verliert.
In diesem Fall bleibt nichts anderes übrig, alles die Zwei-Faktor-Authentifizierung für den Benutzer zu deaktivieren.
Hier lautet die Antwort natürlich, mit einem Passwortmanager!
Ich verwende den Passwortmanager “KeePassXC”, den ich hier im Blog auch schon einmal kurz in Verbindung mit einem YubiKey (*) vorgestellt habe. In dem Artikel beschreibe ich, wie der Zugriff auf den Passwortmanager zusätzlich zu einem Passwort noch mit einem Hardwaretoken abgesichert werden kann ➡ Passwortmanager mit YubiKey absichern.
Mittlerweile bieten fast alle großen Dienste eine Zwei-Faktor-Authentifizierung an. Neben Benutzername und Passwort wird ein weiterer, zweiter Faktor für die Anmeldung benötigt, der über eine App oder auch über einen Hardwaretoken, wie den YubiKey, erzeugt werden kann. Der weitere Faktor besteht meistens aus 6 Zahlen und hat jeweils eine Gültigkeit von 30 bis 60 Sekunden. Nach Ablauf der Zeit verliert er seine Gültigkeit und ein neues OTP wir benötigt, deshalb auch Einmalpasswort (= One-Time-Passwort).
Der YubiKey unterstützt OTP auch. Es werden die Informationen zum Erstellen der Einmalpasswörter auf dem YubiKey gespeichert und können dann mit einer kostenlosen Software auf jedem Endgerät ausgelesen werden.
Ich besitze seit einiger Zeit einen YubiKey 5Ci, den ich zur Absicherung von Anmeldungen an unterschiedlichen Systemen benutze. Nun habe ich endlich Zeit gefunden den YubiKey auch für meinen Passwortmanager als zweiten Faktor für die Anmeldung zu konfigurieren.
Wer kennt sie nicht, die kleinen gelben Zettelchen, denen manche Menschen ihre Passwörter anvertrauen und dann gut sichbar am Bildschirm befestigen. Das diese Art der Passwortverwaltung eine sehr unsichere ist, brauche ich hier wohl nicht näher ausführen.
Neben den Nutzern der gelben Zettelchen gibt es auch noch die Leute, die zwar ihre Passwörter im Kopf haben, aber dann auf Passwortkomplexität verzichten und die simpelste Kennwörter, wie z.B. 123456, passwort, etc., verwenden.
Die Unternehmensberatung Deloitte sagt in einer aktuellen Studie voraus, das 90 Prozent der aktuell verwendeten Passwörter zu schwach sind und gehackt werden können.
Die gängigen Vorgaben für Passwortkomplexität in vielen Firmen beträgt 8 Zeichen, zusammengesetzt aus Groß- und Kleinschreibung, Zahlen und evtl. noch Sonderzeichen. Durch die ständig wachsenden technischen Möglichkeiten kann, trotz 8 Zeichen, die Passwörter relativ schnell knacken.
Ich möchte hier ein Konzept vorstellen, wie man ganz einfach seine wichtigsten Passworter auf allen möglichen Geräten aktuell und vorallem verfügbar halten kann.
Ich bin erst über einen Artikel im WWW gestolpert, der das gleiche Theme auch behandelt, jedoch ein wenig zu unsicher für meinen Geschmack, deshalb ist meines ein bisschen abgewandelt.
