Auf Mastodon ansehen
Nextcloud bietet bereits von Hause aus verschiedene Optionen, einen zweiten Faktor für die Anmeldung zu hinterlegen. Im App Store der Nextcloud sind aber auch weitere Optionen verfügbar, auf die wir ebenfalls eingehen.
Wozu das ganze?
Ein zweiter Faktor ist bei vielen Diensten bereits Standard. Im Grunde geht es immer darum, dass sich ein Angreifer nicht einfach mit Benutzername und Kennwort beim jeweiligen Dienst anmelden kann.
Zusätzlich zum Benutzernamen/Kennwort wird dabei immer ein zweiter Faktor abgefragt, den nur ihr besitzt – zum Beispiel:
-
SMS-Code
-
E-Mail-Code
-
App-Benachrichtigung
-
TOTP (6-stelliger Einmalcode)
-
Hardware-Schlüssel (z. B. NitroKey)
-
Zertifikat (Datei, Smartcard)
-
Biometrie (Fingerabdruck, FaceID, …)
-
Einmalcodes
Es gibt also viele Möglichkeiten, aber immer dasselbe Prinzip:
„Etwas, das du weißt, etwas, das du hast oder bist.“
2FA in Nextcloud
Nextcloud bietet von Haus aus neben TOTP (zeitbasierten Einmalcodes) auch die Option, über eine App-Benachrichtigung die Anmeldung abzuschließen.
Wie wird das ganze aktiviert?
Zuerst muss der Administrator der Nextcloud-Instanz die 2FA-Funktion aktivieren bzw. die jeweilige 2FA-App installieren.
Hier gibt es z. B. die App „Two-Factor Authentication via Nextcloud Notification“ …
Nicht jede dort aufgelistete Option ist offiziell supported, daher würde ich nur die als „Vorgestellt“ markierten Apps nutzen, um späteren Problemen bei Updates vorzubeugen.
Grundsätzlich können darüber E-Mail, TOTP, App-Benachrichtigung und WebAuthn/FIDO als zweiter Faktor hinterlegt werden.
2FA Einrichtung
Die endgültige Einrichtung erfolgt im Benutzerkonto selbst. Dort findet man in den Sicherheitseinstellungen die hinterlegten Optionen.
- Nextcloud Benachrichtigung:
- Hier kommt bei der Anmeldung eine Benachrichtigung auf dem Verknüpften Gerät über die Nextcloud App. Diese muss dann bestätigt werden.
- TOTP:
- Hier wird ein TOTP QR-Code generiert, welche dann mit der TOTP App der Wahl gescannt wird (bei mir Bitwarden). Anschließend wird der Code immer beim Anmelden abgefragt.
Hier sollten unbedingt die Backup-Codes erstellt und sicher abgelegt werden. Verliert man den Zugriff auf die 2FA-Methode, ist sonst keine Anmeldung mehr möglich.
Lediglich über die occ-Kommandos lässt sich die jeweilige 2FA-App für den Benutzer deaktivieren, wodurch eine Anmeldung wieder möglich ist.
Hat man also keinen Shell-Zugriff – z. B. bei einer „Managed Nextcloud“ –, sind die Backup-Codes unerlässlich.
Probleme
Clientanmeldung
So gut die 2FA-Anmeldung auch ist, ergeben sich Probleme, wenn Client-Apps diese nicht unterstützen.
Die mobilen Nextcloud-Apps unterstützen sie beim Anmeldeprozess und speichern die Sitzung.
Andere Programme wie z. B. Thunderbird, das auf Kalender oder Kontakte zugreift, können das nicht – hier ist bei jedem Abruf der Daten eine neue Anmeldung notwendig.
Verlust der 2FA Methode
Hat man den Zugriff auf alle hinterlegten 2FA-Methoden verloren, kommen die Backup-Codes ins Spiel.
Diese lassen sich einmalig für die Anmeldung verwenden. Optimalerweise hat man sie sicher verwahrt (vielleicht im Banktresor? 😄).
Sind auch diese verloren, geht der Zugriff nur über den Shell-Benutzer oder den Nextcloud-Administrator.
Beide können die 2FA-App deaktivieren, wodurch eine Anmeldung mit Benutzername und Kennwort wieder möglich wird.
App Passwörter
Um das Problem zu umgehen, gibt es weiter unten in den Einstellungen die Möglichkeit der „App-Passwörter“.
Damit erstellt man für jede App, die auf Nextcloud zugreifen soll, ein eigenes und sicheres Kennwort. Dieses ist von der 2FA-Abfrage ausgenommen.
Das ist ohnehin empfehlenswert: Bei Geräteverlust muss man dann nur das jeweilige App-Passwort widerrufen und nicht überall das Hauptkennwort ändern.
Fazit
2FA ist – oder sollte – heutzutage eigentlich Standard sein, zumindest wenn halbwegs sensible Daten auf dem Dienst liegen.
Es ist eine relativ einfache Möglichkeit, auch beim Bekanntwerden des Kennworts weiterhin geschützt zu bleiben.
Durch die Option der App-Passwörter sind auch hier kaum Probleme zu erwarten.
Quellen
Hauptbild -> Nextcloud Logo
Evtl. könnt ihr ja eine Frage beantworten, die bei uns in der Firma auftrat: Wir überlegen, NextCloud in unserer DMZ zum Datenaustausch mit Externen Dienstleistern zu nutzen. Intern soll auch ein Zugriff auf die Nextcloud möglich sein. Nun der besondere Featurewunsch: Interne User dürfen von außen (also aus dem Internet von Nicht-Firmen-Geräten) entweder a) gar nicht oder b) nur mit 2FA zugreifen, während der Zugriff von intern über LDAP-Anbindung oder sogar per SSO möglich sein muss. Hat die irgendjemand einen Ansatz, wie sich das lösen lässt?
Bisher habe ich den Vorteil der App Passwörter noch nicht verstanden: Wenn ich das richtig sehe, ist der Zugriff auf die NC über ein App-Passwort nicht beschränkt, oder? Wenn so ein App-Passwort jetzt in falsche Hände gelangt, hat diese Person doch dieselben Möglichkeiten wie wenn man sich mit dem eigentlichen Login über 2FA anmeldet? Oder hab' ich da was grundsätzlich übersehen bzw missverstanden?
Schon. Aber Du kannst ja eine sehr lange Zeichenkette - z. B. bestehend aus 128 Zeichen - vergeben, die - je nach Anwendung - lokal in der App gespeichert wird. Für den automatisierten Mail-Abruf meines Paperless-ngx habe ich diese App-Passwörter vergeben. Da habe ich persönlich keine Sicherheitsbedenken. Die Sache mit den App-Passwörtern nutzen die meisten Dienste, die eine 2FA anbieten.
Falls ein Gerät abhanden kommt, kannst du das Gerät einfach abmelden, und der Dieb/Finder hat keiner Zugriff. Das App-Passwort hat einfach keinerlei Wert mehr.