Passkey mit Nextcloud und KeePassXC

In den Artikelvorschlägen wird ein Beitrag zu Passkey gewünscht. Dabei geht es um die Absicherung von verschiedenen Betriebssystemen. Leider kann ich dazu nichts sagen, wohl aber über meine ersten Erfahrungen mit Passkey beim Zusammenspiel von KeePassXC und meiner Nextcloud. Selbstverständlich müssen die Beteiligten Passkeys unterstützen, was sowohl bei Nextcloud (Version 29) als auch bei KeePassXC (ab Version 2.7.7) der Fall ist.

Zuerst muss man in den Einstellungen von KeePassXC (Menü: Werkzeuge) die Browser-Integration aktivieren:

Dann kann das Add-on für den gewünschten Browser installiert werden. Für Firefox ist es das Add-on KeePassXC-Browser. Danach öffnet man die Einstellungen des Add-on und schaltet die Unterstützung für Passkeys ein:

Nun kann das KeePass-Add-on geöffnet werden. Beim ersten Mal muss eine Verbindung zur KeePass-Datei hergestellt werden:

Weiter geht es mit Nextcloud als Service, bei dem man sich über einen Passkey anmelden möchte. Dazu öffnet man in Nextcloud die Verwaltungseinstellungen und wählt dort den Menüpunkt Sicherheit aus. Dort fügt man ein WebAuthn-Gerät hinzu und gibt ihm einen Namen.

Der Begriff "Gerät" deutet auf die Verwendung eines Fido2-Sticks hin; in meinem Beispiel übernimmt KeePassXC die Rolle des Gerätes. Dementsprechend habe ich das Gerät mit keepassxc benannt.

An dieser Stelle empfiehlt es sich, den Webbrowser neu zu starten.

Ruft man Nextcloud im Webbrowser auf, erscheint zunächst der normale Login-Dialog:

Wählt man die Option Mit einem Gerät anmelden, erscheint dieser Dialog:

Klickt man auf Anmelden, erscheint ein Fenster von KeePassXC in dem man den Passkey authentifizieren muss. Danach ist man bei Nextcloud angemeldet. Selbstverständlich muss KeePassXC gestartet sein, damit das funktioniert. Die gespeicherten Passkeys sehen in KeePassXC folgendermassen aus:

Unter Windows mit Firefox 115 hatte ich keine Probleme den Passkey für die Nextcloud-Anmeldung zu verwenden. Bei Linux mit Firefox 125 hat es nicht funktioniert. Sobald ich dort auf Anmelden klicke, erscheint diese Browser-Meldung:

Eigentlich sollte an dieser Stelle das Bestätigungsfenster von KeePassXC erscheinen. Mir ist es nicht gelungen, dieses Verhalten abzustellen. Offensichtlich kommt die Abfrage von Firefox. Ob dies eine Funktion ist, die erst nach Firefox 115 eingeführt wurde, oder ob die Kommunikation zwischen Firefox und KeePassXC fehlschlägt, ist mir unklar.

Nach einigem Herumprobieren kann ich meine letzte Vermutung bestätigen. Die Kommunikation zwischen Firefox und KeePassXC funktioniert nicht. Beim Dialog "Berühren Sie Ihren Sicherheitsschlüssel" handelt es sich um das Fallback-Verhalten des KeyPassXC-Browser-Add-on (siehe 2. Abbildung). Schaltet man die Fallback-Option aus, erscheint der Dialog nicht mehr und es passiert gar nichts. Das liegt vielleicht daran, dass ich KeePassXC als Flatpak installiert habe und Firefox nicht mit der Sandbox reden darf. Um das zu Testen habe ich KeePassXC deinstalliert und als natives Paket neu installiert.

Und siehe da, mit dem nativen KeePassXC geht es. Nach dem Anmelden erscheint der Authentifizierungs-Dialog von KeePassXC und man ist in Nextcloud eingeloggt. Damit es auch mit dem Flatpak funktioniert, könnte man mit der Anwendung Flatseal an den Rechten drehen, doch dazu habe ich jetzt keine Lust.

Fazit

Das erstmalige Einrichten für die Verwendung von Passkeys ist ein wenig aufwendig und führt über ein paar Hürden. Geht man von der erhöhten Sicherheit gegenüber Benutzername/Passwort aus, lohnt sich dieser einmalige Aufwand. Die Benutzungsfreundlichkeit von Passkeys gefällt mir im Vergleich mit der alten Methode nicht. Bisher genügte ein Klick auf den KeePassXC-Schlüssel im Feld für den Benutzernamen, Auswahl des Passwort-Eintrages und ein dritter Klick auf die Anmelden-Schaltfläche. Verwendet man Passkeys, sieht der Ablauf am Beispiel von Nextcloud so aus:

1. Umschalten auf "Mit einem Gerät anmelden"
2. Den Anmeldenamen kennen und eingeben
3. Auf "Anmelden" klicken
4. Den Passkey authentifizieren

OK, das ist nur ein Schritt mehr als bei der bisherigen Methode, bedingt jedoch die Kenntnis und das Eintippen des Benutzernamens. Man könnte alt und neu miteinander kombinieren, sodass KeePassXC den Benutzernamen liefert und man anschliessend den Passkey für die Anmeldung verwendet.

Wirklich überzeugt bin ich vom Passkey-Verfahren bislang nicht. Nicht weil ich am Zugewinn an Sicherheit zweifle, sondern weil ich das Handling zu kompliziert finde.