TOTP für 2-Faktor-Authentifizierung
Viele Webdienste akzeptieren als zweiten Authentifizierungsfaktor (2FA) einen zeitbasierten Einmalcode (time-based one-time password = TOTP).
Mit KeepassXC lassen sich diese Einmalpasswörter auf einfache Weise verwalten und verwenden. Dies stellt eine besonders geschickte Möglichkeit dar, den zweiten Faktor sicher zu verwahren und trotzdem einen handhabbare Benutzung zu ermöglichen.
Hinweis
Wenn beide Authentifizierungsfaktoren (Passwort und TOTP) in der selben Datenbank gespeichert werden, geht damit ein prinzipieller Sicherheitsaspekt der 2-Faktor-Authentifizierung verloren.
Für maximale Sicherheit müsste man Passwörter und 2FA-Einmalpasswörter in separaten KeepassXC-Datenbanken speichern und die zweite Datenbank nur bei Bedarf öffnen.
Das Masterpasswort für die eigentliche Passwort-Datenbank muss dabei besonders stark sein, wie im Abschnitt Ersteinrichtung ausgeführt. Das Passwort für die TOTP-Datenbank darf etwas schwächer und damit handlicher sein.
Überprüfen Sie diesbezüglich Vorgaben der jeweiligen Webdienste.
Im Folgenden wird am Beispiel des Moodles von lehrerfortbildung-bw.de die Einrichtung von TOTP in KeepassXC (in einer gemeinsamen Datenbank) und die Verwendung im Browser gezeigt. Dieses Vorgehen funktioniert analog auch bei anderen Websites / Diensten.
Vorarbeit
Sofern noch nicht geschehen, empfiehlt es sich zunächst, einen Eintrag für den jeweiligen Webdienst anzulegen. Das Vorgehen dazu wird im Abschnitt Benutzung ausführlich beschrieben. Es sollte optimalerweise mindestens Titel, Benutzername, Passwort und URL gespeichert werden.
TOTP einrichten
-
Durch einen Rechtsklick auf den Keepass-Eintrag erhält man unter
🕓 TOTP
den MenüpunktTOTP einrichten...
. Alternativ erreicht man diesen Punkt auch über das MenüEinträge
. -
Im Pop-Up-Fenster muss nur der 2FA-Code, der in Moodle nach einem Klick auf
Can't scan
angezeigt wird, alsGeheimer Schlüssel
eingetragen werden. Der PunktStandardeinstellungen (RFC 6238)
muss ausgewählt bleiben. -
Damit ist die Einrichtung von TOTP für dieses Moodle im Prinzip auch schon abgeschlossen. Das lässt sich an dem Uhren-Icon ① neben dem Eintrag LFB-Moodle erkennen. Zudem erscheint im Vorschau-Bereich des KeepassXC-Hauptfensters auch ein Uhren-Icon ②, mit dem sich eine dauerhafte Anzeige des aktuell gültigen Einmalpassworts an- und ausschalten lässt.
TOTP verwenden
Nachdem TOTP nun fertig eingerichtet ist, zeigt das Menü (Rechtsklick auf den Eintrag > TOTP
,
alternativ im Menü Einträge
) nun weitere nutzbare Optionen – von denen drei besonders interessant
sind:
-
TOTP anzeigen
: Das aktuell gültige Einmalpasswort wird in einem kleinen Overlay-Fenster laufend angezeigt – bis man das Fenster schließt. -
TOTP kopieren
: Das aktuell gültige Einmalpasswort wird in die Zwischenablage kopiert und kann von dort in das Abfragefeld im Browser eingefügt werden.Tipp
Tipp: Wenn man gewohnt ist, seine Passwörter über die Zwischenablage aus KeepassXC in den Browser zu übertragen, ist die Verwendung von Tastaturkürzeln absolut zu empfehlen. Benötigt werden i.d.R. nur wenige Kürzel, die man sich leicht merken kann:
- STRG + B → Benutzername kopieren
- STRG + C → Passwort kopieren
- STRG + T → TOTP (Einmalpasswort) kopieren
-
QR-Code anzeigen
: Es wird ein QR-Code angezeigt, in dem u.a. dergeheime Schlüssel
enthalten ist. Dies ist hilfreich, wenn man die Zweifaktor-Authentifizierung zusätzlich auch einem Mobilgerät, z.B. mit der App FreeOTP einrichten möchte.
Wer die Browser-Integration eingerichtet hat, kann über die grünen KeepassXC-Icons nun sowohl Benutzername und Passwort als auch das TOTP-Einmalpasswort einfügen: