Topic: [HOW TO] 2FA durch Keepass generieren lassen (anstatt mit Authenticator App) (Read 168 times)

Da brauche ich dich nicht zu korrigieren, kann es nur noch etwas genauer erklären:

Aus dem Seed und der absoluten Uhrzeit (Sekunden seit 01.01.1970) wird durch entsprechende Hasfunktion (SHA-1 oder besser) ein kryptografischer Hashwert errechnet. Dieser Haswert wird dann auf eine Länge von 31bit abgeschnitten und durch modulo 10d (mit d=6 oder 8 Stellen) das Einmalpasswort gebildet. Dieses Einmalpasswort ist das mit dem man sich einloggt.

Vielen Dank für das ausführliche Tutorial, wusste nicht, dass es dafür ein Plugin gibt!

Nur zur Sicherheit: Der anzugebende Seed ist dann jener, welcher euch bspw. bei Coinbase angezeigt wird, wenn man 2FA dort aktiviert (korrigier mich bitte wenn das nicht stimmt )

Man könnte Keepass so dann ja als Backup für seine Seeds nutzen wenn das Smartphone verloren geht oder gestohlen wird, find ich sehr gut!

Zur Nutzung von 2FA nutzen viele eine Authenticator App zur Generierung eines Time-based One-time Password (TOTP)
Diese Apps sind ganz nett, aber das  geht auch mit Keepass. Das ist insbesondere deswegen toll, da ich Keepass auch auf einem dedizierten autarken PC ohne Internetverbindung benutzen kann. Dafür brauche ich KeePass 2.x für Windows, macOS oder Linux und das Plugin KeeTrayTOTP.

Das Plugin ist ein Fork des seit Längerem nicht mehr weiterentwickelten TrayTOTP. Und kann hier über github https://github.com/victor-rds/KeeTrayTOTP/releases runtergeladen werden. (Anmerkung: Es kann zu inkompatibilitäten aufgrund der Releasedaten (Plural von Datum) kommen. Keepass V.2.4 zum Beispiel wurde am 10.September 2018 veröffentlicht, TrayTOTP Version 0.95-Beta würde dann dazu passen. Ansonsten einfach durchprobieren)

Die Datei KeetrayTOTP.plgx speichert ihr im Keepass-Ordner "plugins". Dann Keepass starten und Keepass sollte dann automatisch das Plugin aktivieren (falls nicht, Version inkompatibel, siehe Anmerkung). Über den Menüpunkt Extra/Plugins die plgx aktivieren. Keepass 1x schließen und wieder neu starten. Euch wird nun eine Hilfedatei angezeigt. Da ist eigentlich alles erklärt. Wer keinen Bock auf Hilfedateien hat oder es später durchlesen soll, findet es über Extras -> Tray TOTP Plugin.


Wer keine Lust auf Hilfedateien hat, kann hier gerne weiterlesen

In den Settings kann man verschiedene Sachen einstellen (deswegen wohl auch der Name…), hier gehe ich aber nicht drauf ein.
Wenn man nun also TOTP einen Eintrag hinzufügen will, klickt man diesen mit Rechtsklick an und geht über "Selected Entries" auf "Setup TOTP"
(Hinweis: Man kann hier auch QR Codes von den Einträgen anzeigen lassen. Einfach ausprobieren, erkläre ich hier nicht.)


Dann kommt das folgende Fenster. Dort gibt man den Seed ein, das Zeitintervall, das Format und wenn man eine Internetverbindung hat, kann man eine URL eines Zeitservers eingeben. Mit Finish wird es dann bestätigt.


TOTP ist nun für einen Eintrag eingerichtet. Benutzt man Keepass mit einer Internetverbindung, dann kann über Rechtsklick auf den Eintrag mit "Copy TOTP" der aktuelle Wert in die Zwischenablage kopiert werden.



Mit Doppelklick auf den jeweiligen Eintrag und im Tab "Erweitert", sieht man die beiden neuen Feldnamen.


Diese Feldnamen können auch direkt bei den Einträgen angezeigt werden. Dazu  geht man über "Ansicht " auf "Spalten konfigurieren" und macht ein Häkchen vor "TOTP Seed", "TOTP Setting" und "TOTP". Damit haben die Einträge drei neue Spalten:


Wer das mal ausprobieren könnte, kann das mit einem TOTP Generator testen: https://duckduckgo.com/?q=totp+generator&t=h_&ia=web
Der aktuell erste Eintrag von danhersam ist ganz gut dafür.
Viel Spaß


Wer nun auch Bock bekommen hat und auch seine Keepass-Datenbank mit 2FA schützen will, der solle sich bitte OtpKeyProv (https://keepass.info/plugins.html#otpkeyprov) anschauen. Bei Gelegenheit schreibe ich da auch mal ein Tutorial dazu.