2FA oder .htaccess, Authenticator-App oder Stick?

**thymian** · 23.11.2021, 12:24

Hallo zusammen,

wie handhabt Ihr das mit dem Login für die Kund:innen (Backend-User)? Ich frage, weil jetzt erstmals die Nutzung der Zwei-Faktor-Authentifizierung in 4.9 im Raum steht.

Bisher war eine .htaccess-Sicherung vorgeschaltet, was den Redakteur:innen zu umständlich ist, da zweimal sehr lange Usernames und Passwörter einzugeben sind, die ja auch wieder irgendwo hinterlegt werden müssen.

Eine 2FA über Smartphone-Apps erscheint mir persönlich gar nicht soo sicher. Dann liegen die Daten bei Drittanbietern und wer weiß, was dann wieder alles wie verknüpft wird. Wenn nicht heute, dann morgen. Bei manchen Anbietern (Authy) muss man z. B. ein Konto erstellen und die Mobilnummer hinterlegen. Authy wäre aber wiederum interessant, weil Kund:innen dies auch am Desktop nutzen können.

Als sehr interessante Hardware-Alternative bin ich auf YubiKey und ReinerSCT gestoßen. Nutzt das schon jemand?

Was schätzen die Profis hier als "sicherer" ein: .htaccess oder 2FA?

Ich freue mich auf einen interessanten Austausch.

Marion

**BennyBorn** · 23.11.2021, 15:54

Also bisher wird bei unseren Kunden einfach ganz klassisch auf Nutzername und Passwort für den Backend-Login gesetzt. Eine davor geschaltete .htaccess bringt keinen wirklichen Sicherheitszuwachs.

Mit 2FA sieht das tatsächlich anders aus.

Von irgendwelchen Online-Diensten zur Passwortverwaltung würde ich abraten. Jedoch spricht nichts dagegen auf dem Smartphone irgendeine Authenticator-App (nutze die von Google) laufen zu lassen. Selbst wenn ein Anbieter die Info zum Generieren des OTP hätte fehlen ihm immernoch die URL, Benutzername und Passwort - es ist ja nur ein zusätzlicher Faktor.

**thymian** · 30.11.2021, 00:15

Hallo Benny, danke für Deinen Input.

Wieso bringt eine .htaccess keinen Sicherheitszuwachs?

**BennyBorn** · 01.12.2021, 22:27

Zitat von thymian

Wieso bringt eine .htaccess keinen Sicherheitszuwachs?

Weil es die gleiche "Hürde" darstellt wie der eigentliche Backend-Login (Nutzername + Passwort).

Ist also der Rechner eines Backend-Nutzers kompromittiert sind vermutlich ohnehin beide Zugangsdaten bekannt (htacces & Contao). Bei OTP hast Du eben meist den eigentlichen Key zum Generieren wo anders liegen, daher etwas mehr "Sicherheit"

**thymian** · 02.12.2021, 00:25

Mit kompromittiert meinst Du, es wird schon mitgeloggt? Denn ansonsten liegen Zugangsdaten ja eher nicht offen auf Rechnern herum, oder etwa doch ...? Ich wäre z. B. eher skeptisch, wenn Google meine QR-Codes vom Online-Banking o. ä. scannt.

**Spooky** · 02.12.2021, 09:25

Zitat von thymian

Denn ansonsten liegen Zugangsdaten ja eher nicht offen auf Rechnern herum, oder etwa doch ...?

Du kannst ja nicht wissen, wie die einzelnen User ihre Passwörter speichern. Kann ja ein txt File sein

**thymian** · 02.12.2021, 11:31

Das habe ich ja nur geschrieben, weil Benny davon ausging, dass die Zugangsdaten wahrscheinlich bekannt seien, wenn der Rechner kompromittiert ist. Aber ebenso könnte man ja spekulieren, dass, wenn das Handy geklaut oder verloren ist, durch die Verknüpfung von Mobilnummer, Google-Konto und die Passwort-Zurücksetzen-Funktion der Anbieter ein Zugang möglich ist.

Will sagen: Was ist eher wahrscheinlich – dass ein Rechner oder dass ein Handy übernommen wird? Oder dass Mails oder dass SMS abgefangen werden? Mich interessiert ja, welche Sicherheitsvorkehrungen Ihr für Eure Contao-Zugänge trefft oder welche Ihr empfehlen würdet.

**BennyBorn** · 02.12.2021, 18:12

Zitat von thymian

Mit kompromittiert meinst Du, es wird schon mitgeloggt?

Korrekt. Gehen wir einfach mal vom Worst-Case-Szenario aus: Rechner mit Trojaner / Keylogger infiziert. Dann sind htaccess und Backend-Login erledigt.

Für den OTP hat man meist eine App auf dem Handy.

Damit der "Schutz" also endgültig bricht müssten sowohl Rechner als auch Smartphone kompromittiert sein.

Google oder andere Anbieter können rein mit Deinem OTP nichts anfangen, sie kennen somit nur den einen Faktor.

**thymian** · 03.12.2021, 20:07

Ok, verstehe. Aber irgendwie traue ich Google und Microsoft nicht. Warum bloß...?

***lucina*** · 04.12.2021, 10:31

Musst du ja auch nicht. Es gibt diverse Implementierungen von diversen Anbieter:innen, auch als Open Source (zb https://freeotp.github.io). All diesen Implementierungen ist es gemeinsam, dass sie das Passwort (bzw den Faktor nicht kennen).

Die meisten meiner Kund:innen empfinden es als wichtig, mehrere Plattformen benutzen zu können. Authy hat da am meisten Zustimmung. Manche setzen da auch Nectcloud (https://apps.nextcloud.com/?search=OTP+) ein.

Gesendet von iPhone mit Tapatalk

**thymian** · 04.12.2021, 19:37

Danke für die Infos, Lucina. Ja, FreeOTP hätte ich jetzt auch empfohlen, habe aber mal Authy für die Kunden-Demo verwendet, weil sie auch auf dem Desktop funktioniert. Das sind dann zwar keine zwei Geräte mehr, aber besser als nichts, nicht jede:r hat ein Diensthandy.

Ich glaube, ich habe einfach ein prinzipielles Unbehagen, wenn das Handy schon wieder mit einem neuen Online-Dienst verknüpft ist, der nicht nur Telefonnummer/Mailadresse kennt, sondern auch die Plattformen, bei denen man sich anmeldet. Daraus entsteht dann auch wieder ein User-Profil. Und irgendwann wird Authy dann an XY verkauft. Oder so.