Zur Hauptnavigation springen [Alt]+[0] Zum Seiteninhalt springen [Alt]+[1]

TOTP für 2-Faktor-Authentifizierung

Viele Webdienste akzeptieren als zweiten Authentifizierungsfaktor (2FA) einen zeitbasierten Einmalcode (time-based one-time password = TOTP).

Mit KeepassXC lassen sich diese Einmalpasswörter auf einfache Weise verwalten und verwenden. Dies stellt eine besonders geschickte Möglichkeit dar, den zweiten Faktor sicher zu verwahren und trotzdem einen handhabbare Benutzung zu ermöglichen.

Hinweis

Wenn beide Authentifizierungsfaktoren (Passwort und TOTP) in der selben Datenbank gespeichert werden, geht damit ein prinzipieller Sicherheitsaspekt der 2-Faktor-Authentifizierung verloren.

Für maximale Sicherheit müsste man Passwörter und 2FA-Einmalpasswörter in separaten KeepassXC-Datenbanken speichern und die zweite Datenbank nur bei Bedarf öffnen.

Das Masterpasswort für die eigentliche Passwort-Datenbank muss dabei besonders stark sein, wie im Abschnitt Ersteinrichtung ausgeführt. Das Passwort für die TOTP-Datenbank darf etwas schwächer und damit handlicher sein.

Überprüfen Sie diesbezüglich Vorgaben der jeweiligen Webdienste.

Im Folgenden wird am Beispiel des Moodles von lehrerfortbildung-bw.de die Einrichtung von TOTP in KeepassXC (in einer gemeinsamen Datenbank) und die Verwendung im Browser gezeigt. Dieses Vorgehen funktioniert analog auch bei anderen Websites / Diensten.

Vorarbeit

Sofern noch nicht geschehen, empfiehlt es sich zunächst, einen Eintrag für den jeweiligen Webdienst anzulegen. Das Vorgehen dazu wird im Abschnitt Benutzung ausführlich beschrieben. Es sollte optimalerweise mindestens Titel, Benutzername, Passwort und URL gespeichert werden.

Hauptfenster von KeepassXC mit einem Eintrag LFB-Moodle für den Benutzer lehrer.laempel

Bildschirmfoto von KeepassXC [GPL 3 und andere]

TOTP einrichten

  1. Durch einen Rechtsklick auf den Keepass-Eintrag erhält man unter 🕓 TOTP den Menüpunkt TOTP einrichten.... Alternativ erreicht man diesen Punkt auch über das Menü Einträge. Hauptfenster von KeepassXC. Aufgeklappt ist der Menüpunkt TOTP />TOTP eirichten...

    Bildschirmfoto von KeepassXC [GPL 3 und andere]

  2. Im Pop-Up-Fenster muss nur der 2FA-Code, der in Moodle nach einem Klick auf Can't scan angezeigt wird, als Geheimer Schlüssel eingetragen werden. Der Punkt Standardeinstellungen (RFC 6238) muss ausgewählt bleiben.

    Zweigeteiltes Bild. Links Screenshot aus der 2FA-Einrichtung des LFB-Moodle, rechts Screenshot der TOTP-Einrichtung aus KeepassXC. Übertragung des geheimen Schlüssels ist mit Pfeil markiert

    Bildschirmfoto von KeepassXC [GPL 3 und andere]

  3. Damit ist die Einrichtung von TOTP für dieses Moodle im Prinzip auch schon abgeschlossen. Das lässt sich an dem Uhren-Icon neben dem Eintrag LFB-Moodle erkennen. Zudem erscheint im Vorschau-Bereich des KeepassXC-Hauptfensters auch ein Uhren-Icon , mit dem sich eine dauerhafte Anzeige des aktuell gültigen Einmalpassworts an- und ausschalten lässt.

    Hauptfenster von KeepassXC. Sichtbar sind zwei Uhren-Icons und das aktuelle TOTP

    Bildschirmfoto von KeepassXC [GPL 3 und andere]

TOTP verwenden

Nachdem TOTP nun fertig eingerichtet ist, zeigt das Menü (Rechtsklick auf den Eintrag > TOTP, alternativ im Menü Einträge) nun weitere nutzbare Optionen – von denen drei besonders interessant sind:

Hauptfenster von KeepassXC. Aufgeklappt ist der Menüpunkt TOTP />TOTP eirichten... Markiert ist TOTP kopieren und TOTP anzeigen

Bildschirmfoto von KeepassXC [GPL 3 und andere]

  1. TOTP anzeigen: Das aktuell gültige Einmalpasswort wird in einem kleinen Overlay-Fenster laufend angezeigt – bis man das Fenster schließt.

  2. TOTP kopieren: Das aktuell gültige Einmalpasswort wird in die Zwischenablage kopiert und kann von dort in das Abfragefeld im Browser eingefügt werden.

    Tipp

    Tipp: Wenn man gewohnt ist, seine Passwörter über die Zwischenablage aus KeepassXC in den Browser zu übertragen, ist die Verwendung von Tastaturkürzeln absolut zu empfehlen. Benötigt werden i.d.R. nur wenige Kürzel, die man sich leicht merken kann:

    • STRG + B → Benutzername kopieren
    • STRG + C → Passwort kopieren
    • STRG + T → TOTP (Einmalpasswort) kopieren
  3. QR-Code anzeigen: Es wird ein QR-Code angezeigt, in dem u.a. der geheime Schlüssel enthalten ist. Dies ist hilfreich, wenn man die Zweifaktor-Authentifizierung zusätzlich auch einem Mobilgerät, z.B. mit der App FreeOTP einrichten möchte.

Wer die Browser-Integration eingerichtet hat, kann über die grünen KeepassXC-Icons nun sowohl Benutzername und Passwort als auch das TOTP-Einmalpasswort einfügen:

Anmeldemaske des LFB-Moodle: Abfrage von Benutzername und Passwort

Bildschirmfoto von KeepassXC [GPL 3 und andere]

Anmeldemaske des LFB-Moodle: Abfrage des TOTP

Bildschirmfoto von KeepassXC [GPL 3 und andere]