Nicht nur bei Banking-Anwendungen sollte man den Zugang über einen zweiten Faktor absichern. Bei den Banken wird dieser zweite Faktor in der Regel erzwungen, wobei es verschiedene Verfahren gibt. Andere Dienste, die mit Geld umgehen, wie zum Beispiel PayPal, lassen einen Zugriff auch ohne 2FA zu, wobei das keine gute Idee ist.
In diesem Artikel möchte ich am Beispiel erklären, wie man bei PayPal die Zwei-Faktor-Authentisierung (2FA) einrichtet, wobei TOTP und KeePassXC zum Einsatz kommen. Wie ihr dem Titelbild entnehmen könnt, handelt es sich bei TOTP um ein einmaliges Wegwerf-Passwort, welches bei jeder Authentisierung neu generiert wird. Ausserdem hat dieses Passwort eine Gültigkeit von ein paar Sekunden - meistens sind es 30 Sekunden - bevor es ungültig wird. Es ist völlig unabhängig vom ersten Faktor, der meist aus Anwendername und Passwort besteht.
Grundlage für TOTP ist ein Schlüssel, der sowohl bei euch, als auch beim Dienstleister hinterlegt ist. Ein solcher Schlüssel sieht z. B. so aus: FAHI GRNM QBTX WKLJ. Ausserdem wird eine synchrone Zeit auf den beteiligten Systemen benötigt. Damit das wegen Abweichungen bei Sekundenbruchteilen nicht schiefgeht, wird die Zeit auf 30 Sekunden gerundet. Nun wird aus dem Schlüssel und dem Zeitwert ein Hashwert ermittelt, auf eine bestimmte Bitlänge gekürzt und durch eine Modulo-Operation als 6- oder 8-stellige Zahl ausgegeben, das ist der TOTP.
Wer 2FA bei PayPal einrichten möchte (bei anderen Diensten geht es ähnlich) meldet sich mit dem ersten Faktor beim PayPal-Konto an und klickt auf Einstellungen (Zahnrad), Sicherheit, Zweistufige Verifizierung. Dort gibt es zwei Varianten, von der man Authentifizierungs-App verwenden auswählt. Man sieht dann einen QR-Code und einen Schlüssel, der so ähnlich aussieht wie der oben gezeigte. Diesen Schlüssel kopiert man in die Zwischenablage und öffnet den Passwort-Manager KeePassXC (andere Passwort-Manager bieten vermutlich eine ähnliche Option). PayPal empfiehlt im selben Fenster den QR-Code mit der Google- oder Microsoft-Authenticator App zu scannen. Das könnt ihr ignorieren, weil diese App dasselbe machen wie KeePass.
Dort macht ihr einen Rechtsklick auf den PayPal-Eintrag, den ihr hoffentlich in KeePass abgelegt habt. Wählt dort den Menüpunkt TOTP und TOTP einrichten. Daraufhin erscheint ein Fenster, in das ihr den Schlüssel hineinkopieren könnt.
Nach einem Klick auf OK kennt KeePass den geheimen zweiten Schlüssel von eurem PayPal-Konto und kann daraus und mit der Zeit den TOTP-Wert berechnen.
Nun logt ihr euch bei PayPal aus und gleich wieder ein. Nach der Eingabe von E-Mail und Passwort erscheint die Abfrage des zweiten Faktors:
Dann wählt ihr in KeePass den PayPal-Eintrag und kopiert den TOTP-Wert. Das geht entweder mit der Maus, wie im Screenshot gezeigt oder mit STRG+T.
Den kopierten TOTP-Wert fügt ihr in die PayPal-Abfrage mit STRG+C ein und klickt auf Weiter. PayPal berechnet auf der Grundlage des Schlüssels und der Zeit ebenfalls den TOTP-Wert und vergleicht ihn mit dem von euch eingegebenen. Falls beide übereinstimmten, seid ihr angemeldet.
Ich gehe davon aus, dass sich das oben beschriebene Verfahren auch auf andere Dienste anwenden lässt, bei denen ihr einen zweiten Faktor einrichten möchtet. Wer sich für die Details von TOTP interessiert, kann diese z. B. hier nachlesen.
Quelle: keine
Aus sicherheitstechnischer Sicht ist diese Variante schlecht, da die Faktoren nicht mehr unabhängig sind. Einfaches Beispiel: KeePassXC Zugang gehackt, ergiebt automatisch Zugang zu den Services = 1 Faktor. Mittels unabhängiger App/Tool müsste diese auch gehackt werden = 2 Faktoren.
Gut immerhin ist es noch etwas besser geschützt, als nur Passwort alleine, aber dennoch keine 2 unabhängigen Faktoren mehr.
Ich würde es 1.5 Faktor nennen. Wie du sagst, das Passwort alleine reicht nicht mehr, hilft somit gegen Keylogging oder BruteForce. Aber es ist natürlich nicht mehr völlig unabhängig.
Unterscheiden kann man je nach Belieben/Anwendung noch zwischen den beiden Varianten: a) nur eine KeePass Datenbank mit PW und TOTP -> etwas einfacher zu nutzen b) zwei verschiedene Datenbanken für PW und TOTP -> etwas mehr Sicherheit
Guter Punkt. Hatte ich nicht erkannt.
Man könnte auch eine TOTP App auf dem Handy nutzen, z.B. FreeOTP+ oder den Aegis Authenticator.
Danke, jetzt hab ich auch mal verstanden wie das funktioniert. Ist ja gar nicht so kompliziert.
Danke! Jetzt nutze ich KeePassX(C) schon seit Jahren, wusste aber bis eben noch nicht, dass das auch (fast) TOTP kann! Verwende den Rechtsklick dort fast nie.
kann es sein, dass diese schöne funktion seit ein paar tagen nicht mehr funktioniert, da sich paypal-seitig etwas geändert hat? (bei mir hat sich nichts geändert)
Das funktioniert nicht wie beschrieben!!!
JA, ich weiss wie man TOPT einrichtet (funktioniert problemlos auf anderen Seiten!)
Bei PAYPAL wird während man TOPT einrichtet direkt ein CODE abgefragt, um zu prüfen ob TOPT korrekt eingerichtet wurde, was auch sinnvoll ist, allerdings erscheint dann bei mir dort IMMER direkt eine Fehlermeldung:
"Wir konnten ihre Identität nicht bestätigen" (oder so ähnlich)
Wer jetzt an Tippfehler usw. denkt: NEIN Ich habe gebe den jeweiligen Schlüssel einmal manuell in Keepass ein und scanne ihn einmal per QR-Code mit einer APP und die angezeigten Codes (Keepass+App) sind identisch und das Ganze habe ich schon mehrfach an unterschiedlichen Tagen (man erhält auch immer neue Schlüssel) erfolglos versucht!
TOTP bei PAYPAL lässt sich bei mir schlicht und einfach nicht einrichten!
Das ist absolut lächerlich, denn a) der eingegebene Code ist 100% korrekt und b) bin ich ja bereits eingeloggt (2Fa per SMS) und dennoch meint das PayPal-System das etwas nicht stimmt und(JA, ich habe es auch schon mit diversen Browsern und mit neu eingerichteten Profilen versucht ("default"-Settings also ohne Addons usw..)
Geht es nur mir so oder lässt sich bei Euch TOPT bei PAYPAL NEU einrichten? (ich denke wenn man es einmal geschafft hat es einzurichten funktioniert es danach auch, aber soweit komme ich leider nicht)
Irgendwelche Tipps??? (Paypal kontaktieren hilft NICHT)