E-Mail Benachrichtigung bei Login bekommen

Hallo,

ich hÀtte eine Frage:

Gibt es eine Möglichkeit, eine E-Mailbenachrichtigung zu bekommen, sobald sich jemand anderes als ich ĂŒber meinen Account einloggt?

Danke!

wenn du mir verrÀtst wie das system erkennen soll/kann, dass nicht DU deine login-daten eingibst, dann ja :wink:

Hallo,

also eine E-Mail Benachrichtigung zu bekommen, das wenn sich jemand mit einen nicht Autorisierten Login/IP/GerÀt eingeloggt hat, gibt es als APP nicht, soweit mir bekannt ist. Was Du aber eventuell einschrÀnken kannst, sind die IP-Range.

Siehe dazu diese APP: https://apps.nextcloud.com/apps/limit_login_to_ip
Zitat: Mit dieser App können Administratoren die Anmeldung an ihren Nextcloud-Server auf bestimmte IP-Bereiche beschrÀnken. Beachten Sie, dass bestehende Sitzungen geöffnet bleiben.

Damit könntest Du das einschrÀnken so weit wie es Dir passt. :slight_smile: Wenn Du sogar eine Standard IP hast bei deinen DSL Anbieter, kannst zB. alles Sperren als Login bis auf deine IP. :wink:

das ist eine nette idee.
aber ob die das problem löst, dass sich “zuhause” jemand von deinem computer aus mit deinen credentials einloggt - also zb frau/mann/sohn/tochter/wer auch immer?
und auch fĂŒr die von dir empfohlene app gilt: zunĂ€chst einmal mĂŒssen ja username/passwort irgendwie geleakt sein, sogar nach “draußen” - um das einschrĂ€nken zu mĂŒssen.

das beste ist: passwort Ă€ndern und NIEMANDEM sagen (und auch nirgends speichern). dann ist die wahrscheinlichkeit sehr gering, dass sich ĂŒberhaupt jemand unter deinem namen einloggt.

Keine Frage, es aber ein Ansatz wie man es Online gesehen einschrÀnken könnte, bei fremden IP-Adressen zb. :slight_smile:

Bei anderen Diensten gibt es dieses Feature, wenn man sich von einem ungewöhnlichen GerĂ€t oder IP-Adresse anmeldet, gibt es eine Nachricht. Ist zwar schon nett, aber ein großes Problem ist dabei, dass wissen mĂŒssen, was normal ist (viele sensible Informationen mĂŒssen gespeichert werden).

Zum Teil siehst du das schon jetzt auf deiner persönlichen Seite, welche GerÀte zuletzt auf deinem Account angemeldet waren.

Wenn es dir um Sicherheit geht, wĂŒrde ich mir eher noch die 2-Faktor-Authentifizierung anschauen.

aber trotzdem, ich wĂŒrde mir eher mal die 2-Faktor-Authentifizierung anschauen.

Ich hab mir selbst die 2-Faktor-Auth bisher nicht angesehen. Da kann ich leider nicht mitreden :slight_smile:

Hi,
das Thema wird nie alt!

Eine

  • 2-Faktor-Auth. ist ein Muss und
  • VerdĂ€chtige-Anmeldung-Anwendung, wenn die zuverlĂ€ssig und intelligent funktioniert (bin noch am Testen (60 Tage Erfassung)).
  • Weitere BeschrĂ€nkungen bezĂŒglich der IP, vielleicht noch auf Deutschland, könnte ich mir vorstellen, mache ich momentan aber nicht.

Viel wichtiger ist doch die gesamte System-Sicherheit:

  • Webserver, denn dort können die nextcloud-Daten ĂŒber z.B. indirekt, WebFTP, xFTP usw. im Klartext gelesen werden, wenn der Webserver falsch konfiguriert ist oder eine SicherheitslĂŒcke hat. Vielleicht ist hier ein “Profi-Webhosting-Paket” nicht verkehr, dann hat man es primĂ€r “nur” mit Nextcloud zu tun.
  • Datentransfer, hier können Daten abgegriffen werden, wenn z.B. kein SSL-Zertifikat besteht, oder die TLS-Version veraltet ist.
  • evtl. sogar die gesamten Nextcloud verschlĂŒsseln oder ein externes VerschlĂŒsselungsprogramm verwenden, um eine E2E-VerschlĂŒsselung vom Client zu einem Tresor in der Nextcloud sicherzustellen.

Es gibt so viele Szenarien, die ich gar nicht in der Lage bin hier alle aufzuzÀhlen, da ist in meinen Augen die IP-BeschrÀnkung pillepalle, denn ein Cracker nimmt nicht solche Wege.

So nebenbei, haltet ihr ein A+ von scan.nextcloud eigentlich fĂŒr ausreichend, denn von cdn77 oder ssllabs erhalte ich wegen TLSv1 und TLSv1.1 aktiv ein B, TLSv2 ist aktiv.

Gruß

Hi @rheadi

schließe mich deiner Rede vollumfĂ€nglich an - besonders bezĂŒglich der 2FA. Habe einen ganzen Satz Solokeys bestellt und an die Familie verteilt, inklusive eines Vortrags mit Slides zum “warum?” und “wie?”.

Deine letzte Frage: Ich denke nicht, dass der NC-Scan ausreicht, da er nicht deinen ganzen Stack testet sondern nur NC. Was ich mache:

  • scan.nextcloud.com fĂŒr Nextcloud selbst (wobei man sich das auch schenken kann, wenn man das einmal aufgesetzt hat und regelmĂ€ĂŸig updated) -> A+
  • ssllabs.com (Qualys) fĂŒr den Webserver und eingesetztes TLS. Hier kannst du vermutlich die veralteten TLS-Versionen recht bedenkenlos abschalten, es sei denn ud hast user mit einem vorsinnflutlichen IE oder Android 4.0 -> A+
  • https://tls.imirhil.fr/https (CryptCheck) bietet noch ein paar Zusatzinfos an, ist aber nicht ganz so ĂŒbersichtlich wie Qualys -> A+
  • https://securityheaders.com/ zum checken den HTTP-Response-Headers (wieder Webserver-Konfiguration). Sind meistens recht einfache Fixes, die direkt vorgeschlagen werden -> A (wegen CSP “unsafe-inline”, das Nextcloud immer noch benötigt)
  • https://observatory.mozilla.org/ (Mozilla Observatory) als recht ĂŒbersichtliche Kombination verschiedener Checks. HĂ€lt auch Beispielkonfigurationen fĂŒr verschiedene Webserver und verschiedene Zielszenarien bereit (maximale Sicherheit, maximale KompatibilitĂ€t, was dazwischen) -> A+

All das checke ich natĂŒrlich nicht andauernd sondern so 1-2x im Jahr, wenn mich jemand (oder ein Thread
 :wink: ) daran erinnert.

/S

1 Like

danke @simonspa
fĂŒr die zusĂ€tzlichen Links.
Habe wertvolle Hinweise von https://securityheaders.com/ bezĂŒglich cookies bekommen!
Sonst bin ich mit meinem Webhoster in Verhandlung wegen TLSv1 und TLSv1.1 aktiv auf einem shared Web-Server. Wenn er die Protokolle nicht sehr bald deaktiviert, kĂŒndige ich meinen Vertrag innerhalb meiner Testphase. Ich selber kann die nicht deaktivieren, schon versucht mit SSLProtocol +ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1, Apache macht da wohl nicht mit.