Bitwarden-Tutorial 2 Web Vault 3 Zwei-Faktor-Authentifizierung einrichten (2FA) - WebAuthn, TOTP...
ฝัง
- เผยแพร่เมื่อ 14 ก.ค. 2024
- Ein wichtiger Schritt um unseren Passwort-Manager Bitwarden abzusichern, ist die Einrichtung der Zwei-Faktor-Authentifizierung. Dies kann schon in der kostenlosen Variante über WebAuthn (also letztlich eine Art Passkey) geschehen und zwar, wie wir sehen werden, mittels verschiedener Geräte. Damit ist ein sehr guter Phishing-Schutz für unseren zweiten Faktor gegeben, was bei TOTP als zweitem Faktor nicht der Fall ist.
Allerdings gucken wir uns hier auch an, wie TOTP (Time-based One-Time-Passwords) mittels einer 2FA-App für Bitwarden eingerichtet werden kann. Ebenso ist auch E-Mail als "zweiter Faktor" möglich, und auch dies sehen wir uns an.
Alle "zweiten Faktoren" für Bitwarden sollten gesichert werden bzw. ein Backup haben, ggf. durch einen oder mehrere weitere "zweiten Faktoren".
Als allerletztes Notfall-Backup sichern wir uns ebenfalls den 2FA-Wiederherstellungsschlüssel bzw. 2FA-Wiederherstellungscode, den wir einmalig benutzen können, sollten wir je sämtliche "zweiten Faktoren" für den Zugang zu Bitwarden verlieren. Der Wiederherstellungscode deaktiviert bei Benutzung alle anderen zweiten Faktoren und wir können uns zunächst wieder einloggen. Danach gilt es natürlich, wieder neu einen oder mehrere zweite Faktoren einzurichten und auch einen neuen 2FA-Wiederherstellungsschlüssel zu speichern...
0:00:00 Einführung (Zwei-Faktor-Authentifizierung / 2FA für Bitwarden einrichten)
0:00:59 "Must have", aber Zirkularität und "nur eine einzige Option" vermeiden/ausschließen...
0:03:56 Drei kostenlose 2FA-Optionen bei Bitwarden (bei "Premium" kommen noch Yubico OTP und Duo Security hinzu) - und welche am sichersten ist...
0:06:04 FIDO2 WebAuthn als 2FA für Bitwarden einrichten (allgemeiner Teil)
0:14:34 FIDO2 WebAuthn als 2FA für Bitwarden einrichten - für/mit Security Key (in meinem konkreten Fall mit einem YubiKey der Serie 5)
0:21:40 FIDO2 WebAuthn als 2FA für Bitwarden einrichten - für/mit Windows Hello
0:26:21 FIDO2 WebAuthn als 2FA für Bitwarden einrichten - für/mit einem Android-Smartphone
0:32:40 TOTP-Codes als 2FA für Bitwarden einrichten (mit 2FA-App... hier an Backup des Secret Key denken, um weitere 2FA-Apps später einrichten zu können!)
0:40:46 E-Mail als 2FA für Bitwarden einrichten
0:46:54 Eine oder mehrere Möglichkeiten nutzen...
0:47:32 Wenn möglich, auf die sicherste(n) beschränken (und Backups anfertigen)
0:49:55 2FA-Wiederherstellungscode sichern, benutzen, "ändern" (deaktiviert und "löscht" bei Benutzung alle eingerichteten 2FA-Methoden - also danach 2FA neu einrichten!)
0:56:16 Für Login mit 2FA: "angemeldet bleiben" gilt i.d.R. 30 Tage lang...
0:58:16 Für Login mit 2FA: Deautorisieren aller Sessions/Geräte/Apps
1:01:20 Anmerkung: "Sicherheitsüberlegungen" zu "angemeldet bleiben" (= Zweiten Faktor "merken" auf einem Gerät/App)
1:02:30 Anmerkung zu TOTP-Codes, Backups von 2FA-Apps...
1:04:47 Anmerkung zu FIDO2 WebAuthn-2FA und der "Sichtbarkeit" dieser 2FA-credentials (discoverable vs. non-discoverable credentials...)
Links:
Bitwarden-Authenticator mobile: bitwarden.com/download/#bitwa...
Blog-Artikel über den neuen Bitwarden Authenticator mobile: bitwarden.com/blog/bitwarden-...
Hilfeseiten von Bitwarden: "Two-step Login Methods": bitwarden.com/help/setup-two-...
Field Guide to Two-Step Login: bitwarden.com/help/bitwarden-...
Hilfeseiten von Bitwarden: "Recovery Codes": bitwarden.com/help/two-step-r...
WebAuthn mit dem Smartphone geht bei mir leider nicht. Mir wird kein QR-Code angezeigt. Laut der Meldung soll ich meinen Schlüssel berühren. Ich versuche das ganze unter Linux einzurichten.
Interessant und Danke für die Ergänzung - aber natürlich eine unschöne Einschränkung. Es bleibt zu hoffen, dass diese Funktion auch unter Linux irgendwann unterstützt wird. - Hast du denn eine aktuelle Distribution? Sonst würde vielleicht ein Update auf die neueste Version schon helfen?! - Und von Windows aus kann ich nur sagen (man hat es in dem Video ja wahrscheinlich gesehen), dass man bei den Dialogen extrem aufpassen muss, immer das richtige Gerät/Ziel anzusteuern. "Schlüssel berühren sollen" klingt für mich ein bisschen so, als ob du auf "Sicherheitsschlüssel" o.ä. gelandet sein könntest. (nur eine Vermutung, die total falsch sein kann) Außerdem kann ich nur noch mal sagen, dass auf beiden Geräten Bluetooth aktiviert sein muss, damit die QR-Code-Geschichte überhaupt funktionieren kann.
@@IchbraucheeinenPasswortmanager Ich habe gerade mal einen anderen Browser ausprobiert und da ging es dann. Firefox scheint mit meinen Einstellungen Probleme zu haben. Da wird ggf. was geblockt. Allerdings funktioniert die Anmeldung mit Passkey trotzdem nicht. Denn nach der erfolgreichen Einrichtung, ist das Telefon bei der Anmeldung der Meinung das für Bitwarden kein Passkey existiert. Alles ziemlich buggy das ganze. Ich denke ich bleibe lieber bei KeePassXC, da kann ich mich immer drauf verlassen das es funktioniert.
Update: Bei mir funktioniert es nur, wenn ich nach der Einstellung unter Sicherheit im Reiter Master-Passwort, ganz unten auf der Seite die Passkey Funktion "Mit Passkey anmelden" aktiviere.
Ah, okay... "Anmelden mit Passkey" und "FIDO2/WebAuthn-2FA" sind aber zwei zwar ähnliche Sachen, aber nicht ganz das gleiche. FIDO2/WebAuthn ist dann nur der "zweite Faktor" für Bitwarden - der Passkey wiederum, der für "Anmelden mit Passkey" kreiert wird, ersetzt sozusagen "Master Passwort UND 2FA", aber auch nur, wenn dieser Passkey "mit Verschlüsselung" ist... Für FIDO2/WebAuthn-2FA bei Bitwarden wird ein sog. non-discoverable credential (was strenggenommen kein Passkey ist) kreiert. - Für "Anmelden mit Passkey" wird logischerweise tatsächlich ein Passkey = discoverable credential kreiert. "Anmelden mit Passkey" ist bei Bitwarden noch Beta und funktioniert aktuell nur im Web Vault (wird sich aber noch ausweiten) und hängt davon ab, dass alle beteiligten "Parteien" (OS, Browser, ...) PRF können/haben, wenn man "mit Verschlüsselung" möchte. Das ist übrigens bei Firefox aktuell noch nicht der Fall, deswegen funktioniert das bisher eigentlich nur mit Chromium-Browsern. - KeePassXC habe ich übrigens auch noch im Einsatz. :)