KeePass, jako alternatywa dla Google Authenticator, czyli 2-step Verification

Przyznam się bez bicia, że do niedawna jeszcze korzystałem z Google Authenticator, do podwójnej weryfikacji (tzw. 2-step Verification, aka. 2fa). Gdzieś z tyłu głowy siedzi sobie myśl, by uwolnić się od Google, ile tylko się da, a dodatkowo GAuth ma pewien problem – nie da się zrobić kopii zapasowej kluczy. Już raz utraciłem dostęp do kont i musiałem go odzyskiwać. Jedyna opcja na kopię, to przeniesienie kluczy na inne urządzenie i potem powrót na urządzenie właściwe.

To było takim zapalnikiem by poszukać innego rozwiązania. Pierwszym wyborem miał okazać się Aegis Authenticator. W zasadzie tylko dlatego, że rozwiązywał problemy/braki, które posiadał GAuth, czyli:

  1. Możliwość zrobienia kopii zapasowej (nie bez powodu #1 na liście);
  2. Nie jest od Google i/lub jest OpenSource;

Ale gdzieś pomiędzy komentarzami, przewinął się KeePass. I tutaj było moje zdziwienie, bo z ów menadżera haseł korzystam z mniejszymi, lub większymi przerwami od bardzo dawna. Nie wiedziałem, że posiada on taką funkcję wbudowaną. Dodatkowo dzięki niemu jest możliwość korzystania z haseł jednorazowych bezpośrednio na komputerze, z pominięciem telefonu. Rozwiązanie o tyle genialne w swojej prostocie, że:

  1. Nie potrzebuję telefonu by się zalogować;
  2. Jak zgubię telefon, nie tracę dostępu do kont;
  3. Mam bazę w kilku miejscach (czytaj bezpieczeństwo).

Wziąłem się więc za pełną migrację z GAuth na KeePass.

Co potrzebujemy

  • Chwili luźnego czasu, żeby logować się na każde konto, na którym mamy włączone 2fa, lub chcemy je włączyć.
  • KeePass v2 (nie jestem pewien, czy wersja v1 posiada opcję TOTP).

Przechodzimy do generowania

Dla przykładu możemy wziąć sobie konto na Google. Pod adresem https://myaccount.google.com/signinoptions/two-step-verification można zarządzać naszym kontem i 2fa.

Pod opcją „Zmień aplikację” kryje się niezbędna funkcja ;). Na następnym ekranie ukaże się nam kod QR, który powinniśmy zeskanować za pomocą programu, do 2fa (GAuth, Aegis…), my tego nie zrobimy. Pod kodem QR jest napis „Nie możesz zeskanować kodu?” – no jakby to było o nas. Klikamy, kopiujemy do schowka kod base64, dusimy dalej.

Generowanie kodu TOTP w KeePass

Następnie w KeePassie edytujemy lub dodajemy nasz wpis z hasłem. Prawoklikiem wywołujemy funkcję: Edytuj wpis (szybko) > Ustawienia generatora haseł jednorazowych.

W polu Dzielony sekret wklejamy kod Base64 (pamiętaj, że nie może zawierać spacji!).

I już mamy podgląd kodu jednorazowego.

To tyle, działa

Zapisujemy bazę, na stronie z konfiguracją konta przechodzimy dalej, kopiujemy kody bezpieczeństwa do bazy i powtarzamy czynność tyle razy, ile kont chcemy zedytować :).


Komentarze

4 odpowiedzi na „KeePass, jako alternatywa dla Google Authenticator, czyli 2-step Verification”

  1. I jak wrażenia z Keepass do TOTP? Chodzi mi głównie o wygodę korzystania w stosunku do Google Authenticatora. Który zresztą właśnie niedawno dorobił się kopii kluczy w swojej chmurze.

    1. Muszę przyznać, że „zakochałem” się w tym rozwiązaniu. Głównym i zarazem najważniejszym „za” jest fakt, że nie muszę mieć przy sobie telefonu, żeby mieć dostęp do kodów TOTP. Odpalam keepass i mam wgląd w kody. Super sprawa przy logowaniu na komputerze, bo za pomocą Ctrl+T od razu kopiuję sobie kody. Zapewne jest jakaś wtyczka, która to może zautomatyzować, ale na tyle rzadko potrzebuję się logować, że jest mi to zbędne :). Polecam.

  2. Awatar Krzychu

    Problem widzę jeden. 2FA nie bez powodu się tak nazywa. Dwa niezależne faktory. Jak masz wszystko w jednym miejscu, wystarczy, że utracisz master pass (lub co gorsza ktoś je przechwyci) i do widzenia.
    Niestety im wygodniej, tym mniej bezpiecznie. Ja używam keepass do wszystkich haseł, ale póki co do 2FA mam google auth + smsy.

    1. Racja. 100% racji. Jednak tutaj wygoda robi swoje. Mogę zwalić na lenistwo? :P Można pójść jeszcze o krok dalej i zrobić dwie bazy KeePass. Jedna z hasłami, a druga z innym masterem pod 2FA. Aczkolwiek wtedy – wolałbym używać Google Auth, Authy, czy Aegis.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *