auch, ja. WIMRE konnte das nicht so elegant ex- und importieren.
Ich nutze Aegis seit einigen Jahren. Dank der durchdachten Backup/Export-Funktion (verschlüsselt!) hat es bei mir schon etliche Neuinstallationen von Custom-ROMs begleitet und es läuft parallel auf zwei Smartphones - null Problemo.
Übrigens ist auch der Support super (außer dass er eine gmail-Adresse verwendet :-( ).
Ich hatte anfangs ein Problem mit leeren Exporten.
Der Autor fand schnell heraus, dass das an einer bestimmten Einstellung lag, die ich vorgenommen hatte - abweichend vom default. Es sollte so funktionieren, tat es aber nicht. Seitdem verwende ich die Einstellung nicht mehr. Ob das Problem in Aegis inzwischen gelöst ist, habe ich nicht mehr verfolgt.
Wenn du eine andere TOTP App hast, die deine Wünsche erfüllt: nein.
In allen anderen Fällen: FOSS, funktioniert 1a, Support 1a.
Brauchst du mehr? :-)

LG Christoph

--
Bitte keine Mails von USA-Providern wie AOL, me.com(icloud (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.

Und wo kann man es ggf. nutzen?

Michael.

Moin,
Um den TOTP einzurichten, gibt es "Setup TOTP" am Eintrag. Hier muß man
den Seed eintragen und sagen, welche Settings der TOTP haben soll,
zumeist sollte der Default (RFC 6238) zutreffen. Wo kriegt man den Seed
her? Meist wird einem ein QR Code angezeigt, in dem alles drin steht.
Wenn man sich den im Klartext anzeigt, steht dann da:
otpauth://toptp/<string>?secret=<string2>&... <string2> ist dann der
Seed für KeepassXC bzw. für Keepass2 mit Plugin. Meist kann sich den
aber auch direkt im Klartext anzeigen lassen.

Mit YubiKey habe ich keine Erfahrung, ich nutze TOTP meist aus der
KeepassDb heraus. Und ja, man kann sich streiten, ob sich die Sicherheit
erhöht, wenn beide Secrets in derselben Quelle liegen. Zumindest eines
von Beiden erblickt ja (außer bei der Einrichtung) nie das Licht der
Welt. Bei mir gewinnt die Bequemlichkeit, weil man das Ganze auch im
AutoType verwursten kann.

Wo ich das verwende? Es gibt einige Web-Seiten da draußen, die das
anbieten: gitlab, github, Deutsche Bahn.... Die Fritz!Box bietet an
Config Export nur gegen TOTP zu machen.

Hoffe, ich war nicht allzu weit am Thema vorbei.

Hilmar
--
Testmail

Für mein Nutzerverhalten wäre der Stick praktischer, ehrlich gesagt.
Ich sehe aber ich bin eher Teil ner Randgruppe.

Michael.

Ja, aber hat mit Debian nix zu tun. Der Browser muß es können, bzw. die
Webseite muß auch der Meinung sein, daß der Browser es kann.

Beispielsweise funktioniert Salesforce neuerdings mit Chrome und
Firefox, bis vor kurzem war SF der Meinung, daß Firefox das nicht
beherrscht, und hat die Authentifizierung per Yubi nur via Chrome angeboten.

Google und auch das Nextcloud-Plugin hingegen konnten es immer schon
(seit ich es probiere) auch über Firefox.

Microsoft ist dagegen heute noch der Meinung, Firefox könne es nicht,
und bietet es nur bei Chrome an. Chromium geht kurioserweise auch nicht,
oder ich bin zu doof das zu konfigurieren.


Weiter oben im Thread wurde empfohlen, sich sicherheitshalber zwei
Yubikeys einzurichten. Kann man machen, bin aber der Meinung daß das
nicht nötig ist. Dafür reicht auch eine Authenticator-App als Zweit-Weg.
Oder viele bieten auch ein 2FA-Deaktivierungs-Paßwort an, das reicht auch.

Einen zweiten Yubi braucht man also mE nicht unbedingt. Einen zweiten
Login-Weg natürlich schon.