Andy@Arch Wie soll man denn an den One-Time-Code kommen?

Ich lasse mir den TOTP immer mit KeePassDX erzeugen; gibt es als Desktop-Anwendung oder App für das Smartphone

Andy@Arch Bekomme weder eine E-Mail damit noch eine bekomme ich eine QR-Code oder ähnliches angezeigt!

Der QR-Code für die Einrichtung wurde dir bei der 2FA-Einrichtung angezeigt.

Andy@Arch Kann mich dunkel erinnern das ich da extra mal eine App auf dem Tablet installiert habe, die gibt es aber nicht mehr, weil Android meinte ich brauche sie nicht mehr.

Wenn du den QR-Code noch hast, kannst du ihn für die erneute Einrichtung einer App verwenden. Wenn du ihn nicht mehr hast ist der Account verloren, denn im Gegensatz zu anderen Diensten geben sie bei Arch keine Recovery-Codes raus, mit denen man seinen Account wiederherstellen könnte.

Andy@Arch Also eine klare Botschaft mithilfe ist nicht erwünscht, Probleme werden konsequent ignoriert.

Das sehe ich etwas anders… natürlich ist Mitarbeit erwünscht, aber was kann Arch denn dafür, wenn du den dir bei der Registrierung zur Verfügung gestellten QR-Code nicht mehr hast? Was soll Arch denn deiner Meinung nach noch machen, wenn du trotz des eindringlichen Hinweises

Warning: For security reasons, we may not be able to restore access to accounts with two-factor authentication enabled If you lose your two-factor authentication credentlals. For this reason, It Is highly recommended that you backup your credentials.

deine Zugangsdaten trotzdem nicht gesichert hast? Was kann Arch dafür, wenn du die notwendige App entfernst weil Android dir einredet, dass du sie nicht mehr brauchst, nur weil sie längere Zeit nicht geöffnet wurde?

Registriere dich einfach neu und alles wird gut!

Die 2FA beim Bug Tracker geht mir auch gehörig auf den Geist.
Hatte damit anfangs auch Probleme, welche allerdings nach Kontaktaufnahme durch mich an den zuständigen Admin schnell behoben wurden.
Es ist zwar nervig, aber eine freundliche E-Mail an die richtige Adresse bewirkt hier Wunder.
Auch wenn ich 2FA für einen Bug Tracker nach wie vor für Overkill halte.

schard Auch wenn ich 2FA für einen Bug Tracker nach wie vor für Overkill halte.

Das ist erst seit dem Umzug des Bugtrackers auf GitLab so, seitdem kann man sich nur noch über den "Arch Linux SSO" anmelden, der Zugang zu mehr als nur dem Bugtracker ermöglicht und deshalb wohl durch eine 2FA-Authentifizierung zusätzlich gesichert wurde.

Andy@Arch Es sollte doch genügen wenn einmal festgestellt wurde das man kein Bot ist.

Bei der 2-Faktor-Authentifizierung geht es nicht um eine Bot-Erkennung sondern um eine zusätzliche Absicherung deines Accounts, wenn die Zugangsdaten aus Benutzernamen und Kennwort ausgespäht oder anderweitig erbeutet wurden; ohne die 2-Faktor-Authentifizierung sind diese wertlos, da die Anmeldung erst nach Eingabe des individuellen und zeitlich begrenzten Einmalkennworts möglich ist.

Martin-MS Bei der 2-Faktor-Authentifizierung geht es

........Microsoft, Google & Co. darum, zusätzlich zu deiner E-Mail Adresse auch noch deine Telefonnummer zu erbeuten.

Jedenfalls sind das meine 2 Cent zum Thema.

tuxnix
Bei TOTP taucht die Telefonnummer allerdings nicht einmal auf. Tatsächlich ist das nicht an an Telefon gebunden – kann man genausogut von einem Yubi- oder Nitrokey, einem besseren Passwortmanager oder auch einem kurzen selbstgestrickten Pythonscript generieren lassen. Ist ansich schon nicht verkehrt – wenn man das konsequent nutzt, ist der Code eh nur einen Klick/Tastendruck entfernt, sodass sich der Aufwand in Grenzen hält, auch wenn der Nutzen hier eher fragwürdig ist.

Da würde mir dieser SSO-Kram von Google, MS und Co. mehr Sorgen machen, der einem anstelle der „alten“ Mail/Passwort-Kombi überall aufgedrängt wird.