wir haben als Schulträger an nahezu allen Schulen eine NextCloud Instanz laufen. Diese greift im Moment nur auf die Daten im Netz der Schüler (da liegt alles, was nicht datenschutzrelevant ist) zu und nicht auf die Daten im Netz der Lehrer (datenschutzrelevante Dokumente). Für einen Zugriff auf das “Lehrernetz” brauchen wir laut Netzbrief eine 2-Faktor-Anmeldung.
Soweit ist das ja kein Problem, aber ich würde einfach nur ungern alle Lehrer zwingen wollen 2FA einzusetzen. Ich weiß ja nicht, ob jede/r ein Smartphone hat…
Daher meine Frage:
Gibt es eine Möglichkeit das Verbinden eines SMB-Shares an eine aktivierte 2FA im jeweiligen Benutzerkonto zu koppeln?
Also —>
Lehrer 1 meldet sich an der NextCloud an und hat Zugriff auf die nicht datenschutzrelevanten, ich nenne es mal “normalen Daten”.
Lehrer 1 aktiviert in seinem Konto das TOTP Plugin und richtet dies komplett ein.
Lehrer 1hat nun zusätzlich Zugriff auf die datenschutzrelevanten Daten in den “Lehrer Laufwerken”
Lehrer 2 ist von diesen Einstellungen unberührt und kann die NextCloud weiterhin auch ohne 2FA nutzen, allerdings eben auch ohne Zugriff auf die datenschutzrelevanten Daten.
Wäre super mir hat da jemand einen Ansatz oder gar eine Lösung für dieses “Feature”.
Laut Anleitung 2FA kann man wohl 2FA für Gruppen erlauben bzw. 2FA für Gruppen erzwingen. Auch kann man SMB/CIFS nur einzelnen Gruppen zuweisen. Am besten du legst mal eine Gruppe Lehrer-2FA an, erzwingst 2FA und ordnest der Gruppe einen Testbenutzer zu. Wird nun 2FA erzwungen kann sich der Testbenutzer nur noch per 2FA anmelden. Nun ordnest du dem Testbenutzer SMB/CIFS zu. Wenn das funktioniert, kannst du mehr Benutzer in die Gruppe aufnehmen.
Ich gehe davon aus, dass alle Admins auch 2FA nutzen müssen.
Das wäre ein Ansatz, wobei ich damit ja dann aktiv abfragen müsste wer denn 2FA nutzen möchte, um damit den Zugriff auf die “Zusatzlaufwerke” steuern zu können.
Mir wäre es anders herum deutlich lieber gewesen, dass eben “wenn 2FA aktiv, dann ist zusätzlich SMB/CIFS Laufwerk X und Y zu sehen”.
Das wäre die beste Variante, Sicher ist Sicher. Dass solche Dinge immer noch ein Diskussionspunkt sind im Jahhr 2022, verstehe ich ehrlich gesagt nicht. Und genau diese “Spezialisten”, welche sich dagegen auflehnen, sind meistens auch diejenigen, die Password1234 auf allen Accounts nutzen und garantiert noch irgendeine selbsterstellte Liste mit sensitiven Daten in ihrem Acconut horten.
Ich denke nicht dass du das so koppeln und automatisieren kannst. Die Gruppen sind der definierbare gemeinsame Nenner und deshalb dürfte der Vorschlag von @devnull die effizeinteste Variante sein, wenn du nicht beides einzeln jedem User manuell zuweisen willst.
auch wenn es heute vermutlich keine Frage mehr ist… bist du nicht zwingend auf ein Smartphone angewiesen - man kann 2FA auch mit einem USB Gerät nutzen (Yubikey, Nitrokey). Diese sind vermutlich sicherer als Smartphones - und die Kosten sind vernachlässigbar. Du gibst jedem Lehrer einen Key und erzwingst 2FA, fertig.
Die Frage bzgl. Sicherheit ist immer die Frage des Levels.
Normale Passwörter sind ganz unten.
2FA wie z. B. TOTP mit Google Authenticator ist schon ganz weit oben.
Der Zusatznutzen weiterer Hardware ist in dem Verhältnis sehr gering.
Leider wird oft Smartphone mit Unsicherheit gleichgesetzt und dann wieder nur Passwort verwendet. Das ist leider ein ziemlicher Irrglaube, da das Smartphone nur als eine Art Taschenrechner genutzt wird, um bei z. B. bei TOTP (Wikipedia) aus Anfangswert und Uhrzeit einen zweiten Faktor zu errechnen, was die Nextcloud auch unabhängig davon macht. Übertragen wird z. B. Richtung Internet gar nichts.
Und wenn man nicht den Google Authenticator verwenden will, gibt es auch Open Source Alternativen (zumindest für Android, für iOS weiss ich es nicht) wie z.B. Aegis, mit denen man die Einträge auch backupen kann.
Wie gesagt der Google Authenticator ist nur eine Art Taschenrechner-App. Wer Probleme mit Google hat, sollte besser erst gar kein Android einsetzen. Aber natürlich kann man auch alternative TOTP-Apps verwenden. https://play.google.com/store/search?q=totp
Das kann sein. Bis jetzt habe ich 2FA auch nur mal kurz ausprobiert. Kannst du mir sagen, warum man ein Backup bei der App brauchen könnte? Nur damit sich der Anwender selbst helfen kann?
Grundsätzlich würde ich mir als Admin überlegen, wie ich mit Personen umgehen muss, die sich per 2FA nicht mehr anmelden können. Ein Einstieg könnte diese Dokumentation sein. Und es ist wichtig das alles auch mal wirklich auszuprobieren.
Wenn du dein Telefon verlierst, zerstörst, es nicht mehr staret, du es zurücksetzt oder ganz einfach die Codes auf ein zweites oder ein neues Gerät übertragen willst. Klar im Notfall hast du hoffentlich die Backup Codes irgendwo sicher gespeichert. Aber wenn du TOTP nicht nur bei deiner eigenen Nextcloud aktiviert hast, sondern auch sonst überall wo es geht, ist es schon sexy, wenn du alle Einträge einfach auf ein neues Gerät übertragen oder im Notfall wieder zurückspielen kannst. Und ich habe auch schon Dienste gesehen, die keine Backup Codes anbieten.
@bb77
Da habe ich nun eine Rückfrage. Wenn man sich als Anwender selbst helfen will, dann sind sowohl wie von dir beschrieben das Backup der App als auch die von Nextcloud angebotenen Backup Codes gut. Aber wenn ich den Admin kenne oder sogar selbst Admin bin, dann sollte ich doch sehr leicht in der Lage sein 2FA für den Benutzer zurückzusetzen, oder?
BTW: Bei den meisten Diensten, so auch bei der Nextcloud, wird das TOTP-Secret, welches man für die Einrichtung in der Authenticator App braucht nicht nur als QR Code, sondern auch im Klartext angezeigt. Ich habe alle Secrets noch separat im KeePass gespeichert. So kann ich im Notfall auch ohne Backup, alle Accounts wieder manuell in Aegis hinzufügen.
Das ist der Grund warum ein FIDO Stick in der Praxis sicherer ist als TOTP. Der Stick kann nicht kopiert werden und der Zugriff ist ultimativ an ein Gerät gebunden. Das hat Nachteile in der Usability - neuer Key muss überall neu registriert werden, man braucht mehrere um sich nicht auszusperren - in etwa die gleiche Situation wenn mann die TOPT Codes nicht sichert - aber gleichzeitig die Gewissheit dass niemand den 2. Faktor stehlen kann. Bei TOTP kann der 2. Faktor relativ einfach kopiert werden - einige TOTP Apps erstellen für gespeicherte Secrets sogar den QR Code wieder (ich glaube sogar Google Authenticator).
Ich stimme @devnull zu dass im “normalen” privaten, schulischen und einfachen kommerziellen Umfeld TOTP “gut genug” ist weil der Aufwand den Key zu stehlen vermutlich nicht lohnt und damit nur die Sicherheit des TOTP Verfahren an sich relevant ist.
Und aus diesem Grund dürfte es für den Admin einfacher (und wirtschaftlicher) sein jedem User einen Webauthn Stick in die Hand zu drücken, statt mit jedem einzeln über die Sicherheit der Lösung, Nutzung privater Smartphones usw zu diskutieren.
Yup und erst noch bequemer als Smartphone entsperren, App starten, Code ablesen und eintippen. Leider unterstützen immer noch viel zu wenige Dienste im Internet U2F oder Webauth, so dass man in der Praxis dann doch noch TOTP braucht, wenn man möglichst überall 2FA nutzen will. Mit der Nextcloud funktioniert aber beides sehr gut.
Dafür warscheinlich andauernd verlorene Sticks ersetzen Ernstahaft: Ich halte beides für valable Optionen aber man könnte den Lehrern ja diesbezüglich die Wahl lassen. Supportaufwand werden sowieso beide Varianten generieren.
Die Schlussfolgerung sehe ich als falsch an. Dann kann man auch behaupten, dass E-Mail oder gleich das ganze Internet unsicher ist und verbietet den Firmeneinsatz. Das gilt bei TOTP mit dem Smartphone nicht und nur um nicht zu disktieren Zusatzhardware zu kaufen? Dann sollte man aber auch mal E-Mail endlich auf einen höheren Level heben (S/MIME, GPG, …). Aber das macht natürlich niemand, da das Gegenüber es auch nicht macht.
Wie besagt bzgl. Sicherheit ist TOTP mit Smartphone schon ein ganz anderes Level als ein Passwort, welches jede Malware eben kurz ausliest und wo der Zugang dann von jedem anderen Ort auf der Welt vom Angreifer verwendet werden kann. Das gilt bei TOTP oder einem anderen 2FA nicht.
Ja ich denke @wwe meint hier einfach, dass es den Usern einfacher “zu verkaufen” ist, als wenn sie ihr persönliches Smartphone dafür nutzen müssen und er rechnet denke ich auch mit einem geringeren Supportaufwand bei den Sticks. Und wenn einer tatsächlich kein Smartphone hat, bleibt ja nichts anderes übrig als ihm einen FIDO Stick zu geben, wenn man 2FA erzwingen will. Die Technik und die Sicherheit von dieser ist das eine, die Akzeptanz bei den Usern plus der Supportaufwand, wenn man jedem die Authenticator App auf dem Handy einrichten und evtl. noch Grundsatzdiskussionen führen muss, das andere. Aber @schulnetz wird diesbezüglich wohl seine Pappenheimer am besten kennen.
