E-Mail Benachrichtigung bei Login bekommen

🌐 Non-english support 🇩🇪 Deutsch (german)
1

Hallo,

ich hätte eine Frage:

Gibt es eine Möglichkeit, eine E-Mailbenachrichtigung zu bekommen, sobald sich jemand anderes als ich über meinen Account einloggt?

Danke!

2

wenn du mir verrätst wie das system erkennen soll/kann, dass nicht DU deine login-daten eingibst, dann ja :wink:

3

Hallo,

also eine E-Mail Benachrichtigung zu bekommen, das wenn sich jemand mit einen nicht Autorisierten Login/IP/Gerät eingeloggt hat, gibt es als APP nicht, soweit mir bekannt ist. Was Du aber eventuell einschränken kannst, sind die IP-Range.

Siehe dazu diese APP: https://apps.nextcloud.com/apps/limit_login_to_ip
Zitat: Mit dieser App können Administratoren die Anmeldung an ihren Nextcloud-Server auf bestimmte IP-Bereiche beschränken. Beachten Sie, dass bestehende Sitzungen geöffnet bleiben.

Damit könntest Du das einschränken so weit wie es Dir passt. :slight_smile: Wenn Du sogar eine Standard IP hast bei deinen DSL Anbieter, kannst zB. alles Sperren als Login bis auf deine IP. :wink:

4

das ist eine nette idee.
aber ob die das problem löst, dass sich “zuhause” jemand von deinem computer aus mit deinen credentials einloggt - also zb frau/mann/sohn/tochter/wer auch immer?
und auch für die von dir empfohlene app gilt: zunächst einmal müssen ja username/passwort irgendwie geleakt sein, sogar nach “draußen” - um das einschränken zu müssen.

das beste ist: passwort ändern und NIEMANDEM sagen (und auch nirgends speichern). dann ist die wahrscheinlichkeit sehr gering, dass sich überhaupt jemand unter deinem namen einloggt.

5

Keine Frage, es aber ein Ansatz wie man es Online gesehen einschränken könnte, bei fremden IP-Adressen zb. :slight_smile:

6

Bei anderen Diensten gibt es dieses Feature, wenn man sich von einem ungewöhnlichen Gerät oder IP-Adresse anmeldet, gibt es eine Nachricht. Ist zwar schon nett, aber ein großes Problem ist dabei, dass wissen müssen, was normal ist (viele sensible Informationen müssen gespeichert werden).

Zum Teil siehst du das schon jetzt auf deiner persönlichen Seite, welche Geräte zuletzt auf deinem Account angemeldet waren.

Wenn es dir um Sicherheit geht, würde ich mir eher noch die 2-Faktor-Authentifizierung anschauen.

aber trotzdem, ich würde mir eher mal die 2-Faktor-Authentifizierung anschauen.

7

Ich hab mir selbst die 2-Faktor-Auth bisher nicht angesehen. Da kann ich leider nicht mitreden :slight_smile:

8

Hi,
das Thema wird nie alt!

Eine

  • 2-Faktor-Auth. ist ein Muss und
  • Verdächtige-Anmeldung-Anwendung, wenn die zuverlässig und intelligent funktioniert (bin noch am Testen (60 Tage Erfassung)).
  • Weitere Beschränkungen bezüglich der IP, vielleicht noch auf Deutschland, könnte ich mir vorstellen, mache ich momentan aber nicht.

Viel wichtiger ist doch die gesamte System-Sicherheit:

  • Webserver, denn dort können die nextcloud-Daten über z.B. indirekt, WebFTP, xFTP usw. im Klartext gelesen werden, wenn der Webserver falsch konfiguriert ist oder eine Sicherheitslücke hat. Vielleicht ist hier ein “Profi-Webhosting-Paket” nicht verkehr, dann hat man es primär “nur” mit Nextcloud zu tun.
  • Datentransfer, hier können Daten abgegriffen werden, wenn z.B. kein SSL-Zertifikat besteht, oder die TLS-Version veraltet ist.
  • evtl. sogar die gesamten Nextcloud verschlüsseln oder ein externes Verschlüsselungsprogramm verwenden, um eine E2E-Verschlüsselung vom Client zu einem Tresor in der Nextcloud sicherzustellen.

Es gibt so viele Szenarien, die ich gar nicht in der Lage bin hier alle aufzuzählen, da ist in meinen Augen die IP-Beschränkung pillepalle, denn ein Cracker nimmt nicht solche Wege.

So nebenbei, haltet ihr ein A+ von scan.nextcloud eigentlich für ausreichend, denn von cdn77 oder ssllabs erhalte ich wegen TLSv1 und TLSv1.1 aktiv ein B, TLSv2 ist aktiv.

Gruß

9

Hi @rheadi

schließe mich deiner Rede vollumfänglich an - besonders bezüglich der 2FA. Habe einen ganzen Satz Solokeys bestellt und an die Familie verteilt, inklusive eines Vortrags mit Slides zum “warum?” und “wie?”.

Deine letzte Frage: Ich denke nicht, dass der NC-Scan ausreicht, da er nicht deinen ganzen Stack testet sondern nur NC. Was ich mache:

  • scan.nextcloud.com für Nextcloud selbst (wobei man sich das auch schenken kann, wenn man das einmal aufgesetzt hat und regelmäßig updated) -> A+
  • ssllabs.com (Qualys) für den Webserver und eingesetztes TLS. Hier kannst du vermutlich die veralteten TLS-Versionen recht bedenkenlos abschalten, es sei denn ud hast user mit einem vorsinnflutlichen IE oder Android 4.0 -> A+
  • https://tls.imirhil.fr/https (CryptCheck) bietet noch ein paar Zusatzinfos an, ist aber nicht ganz so übersichtlich wie Qualys -> A+
  • https://securityheaders.com/ zum checken den HTTP-Response-Headers (wieder Webserver-Konfiguration). Sind meistens recht einfache Fixes, die direkt vorgeschlagen werden -> A (wegen CSP “unsafe-inline”, das Nextcloud immer noch benötigt)
  • https://observatory.mozilla.org/ (Mozilla Observatory) als recht übersichtliche Kombination verschiedener Checks. Hält auch Beispielkonfigurationen für verschiedene Webserver und verschiedene Zielszenarien bereit (maximale Sicherheit, maximale Kompatibilität, was dazwischen) -> A+

All das checke ich natürlich nicht andauernd sondern so 1-2x im Jahr, wenn mich jemand (oder ein Thread… :wink: ) daran erinnert.

/S

1 Like
10

danke @simonspa
für die zusätzlichen Links.
Habe wertvolle Hinweise von https://securityheaders.com/ bezüglich cookies bekommen!
Sonst bin ich mit meinem Webhoster in Verhandlung wegen TLSv1 und TLSv1.1 aktiv auf einem shared Web-Server. Wenn er die Protokolle nicht sehr bald deaktiviert, kündige ich meinen Vertrag innerhalb meiner Testphase. Ich selber kann die nicht deaktivieren, schon versucht mit SSLProtocol +ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1, Apache macht da wohl nicht mit.