Im Blog des Passwortmanagers 1Password, hier seit Jahren im Einsatz, stellt man sich die Frage, ob es falsch sei, Passwörter und Einmalpasswörter in einer App wie 1Password zu speichern. Die wenig überraschende Antwort am Firmenblog des Herstellers von 1Password: Nein, es ist nicht falsch. Und es ist sicher. Mit einer Ausnahme.
Die längere Antwort ist interessanter als ich anfangs dachte und geht auf den Fall ein, wo es sicherer wäre, den zweiten Faktor in einer separaten App oder auf einem separaten Device gespeichert zu haben.
[Two-step verification (2SV)] is a very valid way to secure your accounts, and improves upon the standard use of a username and password (one-factor authentication). The additional required step can prevent account compromise by someone who gains access to your login information; it acts as a barrier regardless of TOTP [time-based one-time passwords] location.
But there’s an incredibly specific […] scenario in which storing your TOTP in a separate authenticator app may offer additional protection. If an attacker got ahold of your 1Password login information […] but didn’t have control of your device, the separation between your passwords and TOTP could prove useful. […] This theoretical attacker who somehow gained access to your 1Password sign-in details would know your email address, Secret Key, and account password (at minimum). Anyone with the ability to gather that much sensitive intel is unlikely to see an authenticator as much of a challenge.
Megan Barker
Ich denke, wir können hier alle am Boden der Realität bleiben, einen guten Passwortmanager benutzen, die 2FA aktivieren, wo auch immer es möglich ist, und uns ehrfürchtig an die mickens’sche Mossad-Regel erinnern.