TOTP für unterschiedliche Subdomains?

[HJOrtmann]

Ich benutze bisher Passwörter als Authenticator-App, um die TOTP-Tokens via iCloud auf meinen mobilen Endgeräten zur Verfügung zu haben. Jetzt muss ich für unterschiedliche Subdomains unterschiedliche Token nutzen (sub1.domain.de und sub2.domain.de gehen auf unterschiedliche Systeme). Hier komme ich mit Passwörter anscheinend nicht weiter. Es gibt zwar unterschiedliche Webseiten pro Passwort/Token, aber ich habe keine Möglichkeit gefunden, unterschiedliche Subdomains getrennt anzulegen bzw. zu verwalten.
Übersehe ich da etwas, habe ich irgendwas falsch verstanden, oder geht das einfach nicht ? Und falls das von Passwörter nicht unterstützt wird: welche Alternativen dazu gibt es, ohne auf jedem Gerät den Zugriff über eine eigene Authenticator-App zu organisieren ? Mein aktueller Workaround ("dummy" Einträge in Passwörter mit ungenutzten URLs, um dort die Tokens anzulegen, und wildes hin-und-herspringen zwischen initialem einloggen und Benutzung von 2FA, je nach verbundenem System) ist kein Zustand...

 

[lisanet]

... wenn du subdomains jeweils unterschiedliche Portnummern haben, dann werden separate Einträge angelegt. Man kann auch auf 1 domain mehrere Dienste mit unterschiedlichen Portnummern laufen lassen und dafür ebenso separate Einträge anlegen lassen.

Was auch gehen sollte ist, wenn der User jeweils unterschiedlich ist je subdomain.

 

[tehabe]

Dieses Verhalten habe ich auch bemerkt. Ein Grund wieso ich aktuell Passwörter nicht benutzen kann.

 

[HJOrtmann]

Danke für die Antwort.
Mhm - Mist. Ich kann meine Firma schlecht zwingen, die Server auf unterschiedlichen Ports laufen zu lassen. Zumal die Services ja auch direkt via normalem http(s) zugänglich sind.

@tbo: hast du eine gute Alternative gefunden - die optimalerweise auch noch geräteübergreifend synchronisiert, damit man nicht alle eigenen Endgeräte manuell verwalten muss ?

 

[lisanet]

Mhm - Mist. Ich kann meine Firma schlecht zwingen, die Server auf unterschiedlichen Ports laufen zu lassen. Zumal die Services ja auch direkt via normalem http(s) zugänglich sind.

... unterschiedliche User gehen dann wohl auch nicht.

 

[tehabe]

@tbo: hast du eine gute Alternative gefunden - die optimalerweise auch noch geräteübergreifend synchronisiert, damit man nicht alle eigenen Endgeräte manuell verwalten muss ?

Nutze Strongbox/KeePass und die Datei liegt bei mir auf dem NAS.

... unterschiedliche User gehen dann wohl auch nicht.

Bringt leider auch nicht immer etwas, selbst unterschiedlichen Nutzernamen können dazu führen, dass Einträge einfach überschrieben werden.

 

[lisanet]

Bringt leider auch nicht immer etwas, selbst unterschiedlichen Nutzernamen können dazu führen, dass Einträge einfach überschrieben werden.

ist mir noch nicht passiert und ich habe es extra vor meinem Posting mit einer subdomain einer meiner domains getestet. Wenn ein anderer User vorliegt wird nicht einfach der PW-Eintrag eines anderen Users überschrieben. Da wird sogar bei identischer Domain ein eigener Eintrag angelegt.

 

[HJOrtmann]

... unterschiedliche User gehen dann wohl auch nicht.

Nee, leider nicht. LDAP (firmenweit) und Systeme mit eigenem 2FA auf unterschiedlichen subdomains - das beisst sich dann wohl mit der aktuellen Apple Philosophie, Credentials zusammen mit 2FA-Tokens nur pro domain zu verwalten. Mit passkeys hätte man das Problem nicht mehr - nur das hilft mir jetzt leider auch nicht weiter. Na gut, was nicht geht, geht eben nicht