TOTP für 2-Fak­tor-Au­then­ti­fi­zie­rung

Viele Web­diens­te ak­zep­tie­ren als zwei­ten Au­then­ti­fi­zie­rungs­fak­tor (2FA) einen zeit­ba­sier­ten Ein­mal­code (time-based one-time pass­word = TOTP).

Mit Kee­pas­sXC las­sen sich diese Ein­mal­pass­wör­ter auf ein­fa­che Weise ver­wal­ten und ver­wen­den. Dies stellt eine be­son­ders ge­schick­te Mög­lich­keit dar, den zwei­ten Fak­tor si­cher zu ver­wah­ren und trotz­dem einen hand­hab­ba­re Be­nut­zung zu er­mög­li­chen.

Im Fol­gen­den wird am Bei­spiel des Mood­les von leh­rer­fort­bil­dung-bw.de die Ein­rich­tung von TOTP in Kee­pas­sXC (in einer ge­mein­sa­men Da­ten­bank) und die Ver­wen­dung im Brow­ser ge­zeigt. Die­ses Vor­ge­hen funk­tio­niert ana­log auch bei an­de­ren Web­sites / Diens­ten.

Vor­ar­beit

So­fern noch nicht ge­sche­hen, emp­fiehlt es sich zu­nächst, einen Ein­trag für den je­wei­li­gen Web­dienst an­zu­le­gen. Das Vor­ge­hen dazu wird im Ab­schnitt Be­nut­zung aus­führ­lich be­schrie­ben. Es soll­te op­ti­ma­ler­wei­se min­des­tens Titel, Be­nut­zer­na­me, Pass­wort und URL ge­spei­chert wer­den.

Bild­schirm­fo­to von Kee­pas­sXC [GPL 3 und an­de­re]

TOTP ein­rich­ten

1. Durch einen Rechtsklick auf den Kee­pass-Ein­trag er­hält man unter 🕓 TOTP den Me­nü­punkt TOTP einrichten.... Al­ter­na­tiv er­reicht man die­sen Punkt auch über das Menü Einträge.

   Bild­schirm­fo­to von Kee­pas­sXC [GPL 3 und an­de­re]

2. Im Pop-Up-Fens­ter muss nur der 2FA-Code, der in Mood­le nach einem Klick auf Can't scan an­ge­zeigt wird, als Geheimer Schlüssel ein­ge­tra­gen wer­den. Der Punkt Standardeinstellungen (RFC 6238) muss aus­ge­wählt blei­ben.

   

   Bild­schirm­fo­to von Kee­pas­sXC [GPL 3 und an­de­re]

3. Damit ist die Ein­rich­tung von TOTP für die­ses Mood­le im Prin­zip auch schon ab­ge­schlos­sen. Das lässt sich an dem Uhren-Icon ① neben dem Ein­trag LFB-Mood­le er­ken­nen. Zudem er­scheint im Vor­schau-Be­reich des Kee­pas­sXC-Haupt­fens­ters auch ein Uhren-Icon ②, mit dem sich eine dau­er­haf­te An­zei­ge des ak­tu­ell gül­ti­gen Ein­mal­pass­worts an- und aus­schal­ten lässt.

   

   Bild­schirm­fo­to von Kee­pas­sXC [GPL 3 und an­de­re]

TOTP ver­wen­den

Nach­dem TOTP nun fer­tig ein­ge­rich­tet ist, zeigt das Menü (Rechtsklick auf den Eintrag > TOTP, al­ter­na­tiv im Menü Einträge) nun wei­te­re nutz­ba­re Op­tio­nen – von denen drei be­son­ders in­ter­es­sant sind:

Bild­schirm­fo­to von Kee­pas­sXC [GPL 3 und an­de­re]

1. TOTP anzeigen: Das ak­tu­ell gül­ti­ge Ein­mal­pass­wort wird in einem klei­nen Over­lay-Fens­ter lau­fend an­ge­zeigt – bis man das Fens­ter schließt.

2. TOTP kopieren: Das ak­tu­ell gül­ti­ge Ein­mal­pass­wort wird in die Zwi­schen­ab­la­ge ko­piert und kann von dort in das Ab­fra­ge­feld im Brow­ser ein­ge­fügt wer­den.

   Tipp

   Tipp: Wenn man ge­wohnt ist, seine Pass­wör­ter über die Zwi­schen­ab­la­ge aus Kee­pas­sXC in den Brow­ser zu über­tra­gen, ist die Ver­wen­dung von Tas­ta­tur­kür­zeln ab­so­lut zu emp­feh­len. Be­nö­tigt wer­den i.d.R. nur we­ni­ge Kür­zel, die man sich leicht mer­ken kann:

   • STRG + B → Be­nut­zer­na­me ko­pie­ren
   • STRG + C → Pass­wort ko­pie­ren
   • STRG + T → TOTP (Ein­mal­pass­wort) ko­pie­ren

3. QR-Code anzeigen: Es wird ein QR-Code an­ge­zeigt, in dem u.a. der geheime Schlüssel ent­hal­ten ist. Dies ist hilf­reich, wenn man die Zwei­fak­tor-Au­then­ti­fi­zie­rung zu­sätz­lich auch einem Mo­bil­ge­rät, z.B. mit der App FreeOTP ein­rich­ten möch­te.

Wer die Brow­ser-In­te­gra­ti­on ein­ge­rich­tet hat, kann über die grü­nen Kee­pas­sXC-Icons nun so­wohl Be­nut­zer­na­me und Pass­wort als auch das TOTP-Ein­mal­pass­wort ein­fü­gen:

Bild­schirm­fo­to von Kee­pas­sXC [GPL 3 und an­de­re]

Bild­schirm­fo­to von Kee­pas­sXC [GPL 3 und an­de­re]