Die meisten Denken bei 2FA (Zwei-Faktor-Authentifizierung) an Apps für das Smartphone, man kann allerdings alternativ den Passwort-Manager KeePass zu diesem Zweck verwenden.
Eine der großen Stärken von KeePass liegt darin, das eine Erweiterung durch Plugins möglich ist. (T)OTP kann man zwar auch ohne nutzen (siehe Quellen), dann ist die Einrichtung und Handhabung etwas fummeliger. Einfacher ist es KeeTrayTOTP zu verwenden. Die Voraussetzungen sind überschaubar:
- KeePass 2.x
- .NET 4.5 oder höher
Man lädt die aktuelle Version (zu diesem Zeitpunkt ist das v0.108.0) herunter und platziert diese in seinem KeePass-Plugins-Ordner. Unter Windows wäre das
C:\Program Files\KeePass Password Safe 2\Plugins
Beim nächsten Start von KeePass wird man von einer kleinen Hilfe begrüßt:
Die Handhabe ist KeePass-typisch einfach:
- Einen Eintrag mit der rechten Maustaste anklicken und unter “Tray TOTP Plugin” “Setup TOTP” auswählen.
- Im daraufhin folgenden Dialog muss die “TOTP Seed” eingeben werden. Hierbei handelt es sich um einen initialen Code den man vom abzusichernden Dienst/Anwendung erhält. Meist kennt man zu diesem Zweck das Scannen eines QR-Codes, in der Regel kann man sich diesen zusätzlich in lesbarer Form anzeigen lassen den man nun einträgt:
Sobald die Einrichtung abgeschlossen ist kann man entweder aus dem Kontextmenü eines Eintrags oder aus dem Infobereichssymbol von KeePass heraus das TOTP in die Zwischenablage kopieren und folglich überall einfügen.
Tipp: Die TOTP-Spalte einblenden und z.B. hinter die Passwort-Spalte schieben, so kommt man ebenfalls schnell und einfach an das TOTP ran.
Möchte man ein automatisches Einfügen via AutoType umsetzen, muss die Sequenz um “{TOTP}” erweitert werden. Der Erfahrung nach funktioniert dies meist nicht, da sehr häufig das Eingabefeld für das TOTP erst nach der Eingabe der Zugangsdaten (Benutzername, Kennwort) angezeigt wird.
Bemerkungen
Man sollte sich darüber im Klaren sein, das die Nutzung eines Passwort-Manager mit (integrierter) 2FA ein Stück weit das Konzept eines zweiten Faktors für die Anmeldung aushebelt, da so ja doch wieder alles Zusammen aufbewahrt wird. Andererseits, sofern man ordentlich mit einem Passwort-Manager umgeht, bietet sich hier die Möglichkeit seinen zweiten Faktor ohne Probleme in die Datensicherung einbinden zu können. Dies ist bei Smartphone-Apps nicht selbstverständlich, darüber hinaus sind diese nicht nur anfällig für leere Akkus sondern zusätzlich für Defekte und dann kann es schwierig sowie langwierig werden den zweiten Faktor je nach Anbieter oder Dienst wieder zurück zu setzen.
Die Verwendung eines Passwort-Managers mit 2FA ist eine gute Möglichkeit für IT-Systemhäuser oder Mitarbeiter-Teams, wenn nicht für jeden Dienst, Anwendung, etc. eigene Benutzerkonten möglich oder vorhanden sind. Dies soll jetzt nicht als Aufruf zum Account-Sharing verstanden werden, aber sicherlich wird man nicht für jeden Mitarbeiter ein Betriebs-Smartphone zur Verfügung stellen um darauf wiederum Google Authenticator und Co. zu installieren um dann mit diversen Diensten/Konten verbinden und arbeiten zu können.
Quellen
ITv4 – Zwei-Faktor-Authentifizierung unter KeePass 2 verwenden und Codes generieren – So geht’s!
heise – Zwei-Faktor-Authentifizierung mit dem Passwortmanager KeePass
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Hallo, ich verwende KeePass XC, dort ist TOTP schon integriert.
Wie verwendet man denn das TOTP Plugin mit Gmail? Google möchte SMS an meine Mobilnummer senden. Ich verstehe nicht ganz, wie man in dem Zusammenhang eine entsprechende “Seed” in das Plugin eingibt
Hallo Peter,
ich habe kein gmail, aber die Schritte scheinen so oder so ähnlich zu sein wie hier beschrieben:
https://authenly.com/2fa-totp-guide/gmail
Man muss also von SMS zu 2FA App im Google Konto wechseln, erst dann kann man KeePass und Co. nutzen.