it-swarm.com.de

Best Practices zum Speichern von 2FA-Wiederherstellungscodes

Ich habe kürzlich begonnen, 2FA für eine Reihe von Diensten zu verwenden, und bin mir nicht sicher, wie ich die Wiederherstellungscodes am besten speichern soll. Ich kann mir 3 Optionen vorstellen:

  • In einer sicheren Notiz auf LastPass
  • In einem Dropbox-Ordner
  • Auf einem USB-Stick

Alle scheinen jedoch ihre jeweiligen Fallstricke zu haben:

Im Fall von lastpass: Meine Passwörter sind alle zufällige Zeichenfolgen mit einer Länge von etwa 20 bis 30 Zeichen (basierend auf den Dienstkennwortrichtlinien). Daher bezweifle ich, dass jemand in der Lage sein wird, ein Passwort für eines meiner Konten zu erraten oder brutal zu erzwingen. Daher ist es am wahrscheinlichsten, dass ich ein kompromittiertes Konto habe, wenn jemand den letzten Durchgang kompromittiert. In diesem Fall wäre 2FA sinnlos, wenn die Sicherheitscodes auch dort gespeichert würden.

Im Fall von Dropbox: Der wahrscheinlichste Grund, warum ich die Sicherheitscodes benötige, ist, wenn ich mein Telefon verliere - aber dann kann ich sowieso nicht auf Dropbox zugreifen, da ich dort auch 2FA aktiviert habe, sodass diese Wiederherstellungscodes im Wesentlichen alle verloren gehen .

Im Fall eines USB-Sticks: Dies scheint das Äquivalent zum Schreiben von Passwörtern auf Haftnotizen zu sein - leicht zu verlieren/zu vergessen oder funktioniert möglicherweise 10 Jahre später nicht, wenn es benötigt wird.

Von den 3 scheint der USB-Stick die beste Option zu sein, aber ich habe mich gefragt, ob jemand eine bessere Methode zum Speichern von Wiederherstellungscodes gefunden hat. Auch wenn physischer Speicher der richtige Weg ist, gibt es dafür ein bevorzugtes Medium? Vielleicht eine Art Speicher, der über einen langen Zeitraum haltbar ist und wahrscheinlich auch in Zukunft relevant bleibt?

9
John Devitt

Lassen Sie uns zunächst klarstellen, dass 2FA-Wiederherstellungscodes verwendet werden, um 2FA selbst zu umgehen.

Der Hauptzweck von 2FA besteht darin, sicherzustellen, dass Sie ein Geheimnis aus zwei verschiedenen "Kanälen" bereitstellen, z. B. etwas, das Sie kennen oder das Sie haben. Das Passwort ist etwas, das Sie kennen, und die Wiederherstellungscodes, wenn sie im Speicher gespeichert sind (Ihr Gehirn oder die Festplatte Ihres Computers), sind auch etwas, das Sie kennen. Ohne zu viel über die Sicherheit dieser Wiederherstellungscodes zu diskutieren, scheint es mir offensichtlich, dass der Faktor "etwas, das Sie haben" besser funktioniert, wenn er sich vollständig außerhalb der virtuellen Welt befindet. Das heißt, die Codes in einem Stück Papier oder kleine Zettel für jeden Code zu behalten, kann meiner Meinung nach die beste Option sein. Das eindeutige Verschlüsseln und Speichern in der Cloud oder auf einem separaten Computer/Gerät/USB funktioniert möglicherweise, aber schließlich müssen Sie diese Codes im Klartext entschlüsseln und darauf zugreifen. Im Notfall ist dies möglicherweise nicht ideal. Wenn Ihre Systeme/Ihr Netzwerk kompromittiert wurden, sind die unverschlüsselten Codes möglicherweise für einen Angreifer zugänglich. Daher glaube ich, dass Sie, wenn Sie den Code drucken und beispielsweise in Ihrer Brieftasche aufbewahren, die sicheren Eigenschaften von 2FA beibehalten. Wenn Sie mit dem Flugzeug reisen, müssen Sie es möglicherweise noch einmal überdenken, da die Beamten Sie möglicherweise zwingen können, Ihr Passwort anzugeben und Ihre Brieftasche zu beschlagnahmen. Also nur eine Anmerkung, die Sie beachten sollten :)

7
user160362

Option 4: Drucken Sie sie in Papierform (nicht digital) und bewahren Sie sie an einem Ort auf, an dem Sie sie sicher aufbewahren können.

4
Ben

Ich behalte meine Passwörter in einem lokalen Speicherkennwortmanager mit einem Backup auf einem anderen Gerät, da ich als ziemlich alter Dinosaurus der Cloud für eine starke Privatsphäre nicht wirklich vertraue. Genauso wie in meinem wirklichen Leben trage ich meine Hausschlüssel in der Tasche und lasse sie nicht in einem Blumentopf, um sie nur zu finden, wenn ich sie brauche.

Bei diesem Vorgang behalte ich die Wiederherstellungscodes zusammen mit den Anmeldeinformationen im Tresor des Kennwortmanagers.

Risikoanalyse:

  • kompromittierung des Passwort-Tresors: Der Angreifer muss sowohl mein Telefon (oder meinen Computer) stehlen nd das Master-Passwort erraten - globale Sicherheit auf 2FA-Ebene
  • passwort-Tresor geht verloren oder wird zerstört: Ich habe ein Backup (tatsächlich 2), damit ich es wiederherstellen kann - aber ich sollte alle meine Passwörter ändern, einschließlich des Master-Passworts und aller Wiederherstellungscodes, wenn dies passiert ist ...
  • die (numerische) Notiz geht verloren oder ist nicht mehr lesbar: Ich verwende den Passwort-Manager regelmäßig auf mindestens 2 verschiedenen Geräten, daher sollte ich feststellen, ob eines ausgefallen ist

IMHO kann es sinnvoll sein, die Wiederherstellungscodes auch an der gleichen Stelle wie die Anmeldeinformationen aufzubewahren, da ich sie nach einem Problem beim Ändern eines Kennworts verwenden musste: Der Server hat ein Kennwort registriert, das ich falsch eingegeben habe, also niemand (nicht einmal ich) wusste es.

Für Ihren Anwendungsfall befindet sich der Kennwort-Tresor in der Cloud. Ich würde die Wiederherstellungscodes nicht im Tresor speichern, da der Zugriff bereits über Ihr Telefon 2FA-geschützt ist. Ich würde entweder einen Sicherungszugriff von einem zweiten Gerät aus konfigurieren oder in einem physischen Safe auf das gute alte Papier zurückgreifen.

0
Serge Ballesta

Ich behalte meine in einem verschlüsselten Dokument, das in iCloud gespeichert ist. Für das iCloud-Konto ist die Zwei-Faktor-Authentifizierung aktiviert, aber ich habe vier Geräte registriert, und ich denke, dass die Wahrscheinlichkeit, dass ich gleichzeitig meinen Laptop, Desktop, Telefon und Tablet verliere, sehr gering ist. Natürlich habe ich das Verschlüsselungskennwort und das iCloud-Kennwort im Speicher festgeschrieben.

0
Mike Scott