nextcloud tipps tricks

nextcloud 21: Authentifizierung ohne Passwort (FIDO2) und 2-Faktor-Authentifizierung (2FA)

nextcloud 21: Authentifizierung ohne Passwort (FIDO2) und/oder 2-Faktor-Authentifizierung (2FA)

Wer eine eigene nextcloud betreibt, seine Daten nicht mehr den Daten-Kraken zur Verfügung stellen möchte, der kommt um das Thema sicherer Zugang (SSL-Verschlüsselung) und sichere Passwörter nicht herum.

Heute möchte ich mich um sichere Passwörter kümmern und einen kurzen Abriss über FIDO2 und 2FA geben und wie diese Techniken einzeln oder in Kombination bei nextcloud eingesetzt werden können.

Authentifizierung ohne Passwort (FIDO2)

Ich möchte mich hier nur darauf beschränken, wie die Authentifizierung ohne Passwort bei der nextcloud realisiert werden kann. Wer es genauer wissen möchte, dem empfehle ich den Artikel FIDO2 auf Wikipedia.

Dafür benötigt ihr ein Gerät, mit dem ihr dieses realisieren könnt. Als Beispiel möchte ich den Yubikey nennen, den ich verwende. Es gibt aber auch noch weitere Hersteller wie zum Beispiel den Nitrokey.

Habt ihr einen dieser Keys, dann müsst Ihr in der nextcloud die App „Two-Factor Webauthn von Michael Blumenstein“ installieren und aktivieren.

Jeder Benutzer hat jetzt unter „Einstellungen“ > „Sicherheit“ die folgenden Punkte auf der Seite:

  • Zwei-Faktor-Authentifizierung
  • Authentifizierung ohne Passwort

FIDO2 01

Als Erstes kümmern wir uns um den zweiten Punkt > Authentifizierung ohne Passwort.

Klickt auf „WebAuthn Gerät hinzufügen“ und steckt euren Yubikey/Nitrokey in den USB-Slot des Rechners. Wenn ihr einmal auf den leuchten Punkt am Key gedrückt habt, werdet ihr aufgefordert, einen Namen für den Key einzutragen. Das war es eigentlich schon. Wenn ihr Euch jetzt abmeldet, seht Ihr folgende Anmeldemaske:

FIDO2 02

Hier muss der Punkt „Mit einem Gerät anmelden“ ausgewählt werden. Dann öffnet sich die nächste Maske.

FIDO2 03

Bitte hier den Benutzernamen eingeben und auf Anmelden klicken > folgende Maske erscheint dann.

FIDO2 04

Nun noch auf den Sicherheitsschlüssel tippen und ihr seid angemeldet.

Zusammenfassung:

Man kann sich immer noch mit der Kombination Benutzername und Passwort anmelden, aber auch zusätzlich mit Benutzername und Sicherheitsschlüssel (Yubikey/Nitrokey). Das erachte ich aber noch nicht als zusätzlichen Sicherheitsgewinn – eher als Vereinfachung der Anmeldung.

Im zweiten Schritt soll nun auch noch die Sicherheit erhöht werden, da zum Einloggen jetzt zwangsweise auch der Sicherheitsschlüssel mit einer PIN benötigt wird (2FA).

Zwei-Faktor-Authentifizierung (2FA)

Die Einrichtung ist wieder sehr einfach. Als Erstes muss auf dem Sicherheitsschlüssel eine PIN erstellt werden. Diese könnt Ihr mit den Tools, die die Hersteller zur Verfügung stellen, einrichten. Beim Yubikey ist es der Yubikey-Manager (Download yubico) beim Nitrokey wird es etwas Ähnliches geben.

FIDO2 05

Wenn der PIN eingetragen ist, sollte als Erstes in der nextcloud unter „Einstellungen“ > „Sicherheit“ der Backup-Code erzeugt und sicher weggeschlossen werden (das, ist die Notfall-Option wenn der Stick verloren geht oder beschädigt ist). Es werden 10 Codes erzeugt.

Danach den Stick wider in den USB-Port stecken und auf „Add webauthn Device“ klicken. Dann wird die PIN abgefragt und der Stick wird aufgenommen. Zum Schluss erhält der Stick wieder einen Namen.

Der Anmeldeprozess sieht dann wie folgt aus:

 

Anmeldeprozess

Es kann immer noch in der Kombination Benutzername + Passwort oder auch Benutzername + Sicherheitsschlüssel die Erste Hürde genommen werden. Danach kommt aber eine zweite Abfrage – diese Anmeldehürde kann nur genommen werden, wenn der Sicherheitsschlüssel und die PIN verwendet werden.

Nun werdet ihr allerdings bemerken, dass Apps die per webdav verbunden sind keine Berechtigungen mehr haben und deshalb keine Daten austauschen können.

Hier kommt ein weiterer Mechanismus zum Tragen > die sogenannten APP-Passwörter. Ich empfehle pro App-Zugriff (Kalender/Kontakte und ähnliches) pro Gerät und pro Zugriff ein eigenes hochsicheres Passwort zu benutzen.

Angelegt werden dies auch auf der Sicherheitsseite ganz unten.

FIDO2 06

Hier einfach einen Namen in „App-Name“ vergeben und auf „Neues App-Passwort erstellen klicken. nextcloud erzeugt jetzt ein hochsicheres Passwort, dieses sollte man sich notieren und wegsichern, da es nur einmal angezeigt wird. Mit der Kombination Benutzername + „hochsicheres Passwort“ können die Apps nun auch wieder per webdav auf die Daten zugreifen.

Zugegeben die Einrichtung, speziell in Hinsicht der Clientzugriffe ist etwas umständlich, aber glaubt mir es lohnt sich 😉 – Sicherheit gibt es leider nicht umsonst. Viel Spaß und Erfolg bei der Umsetzung.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.