[gelöst] Nextcloud - Authentifizierung ohne Passwort mit FIDO2 funktioniert nicht mehr und FIDO + FIDO2

Oder, Beispiel: TrustKey G310H Security Key mit Fingerabdruckscanner.

Dann entstehen wieder höhere Kosten, man benötigt im zwei Sticks.

Mein Favorit für besondere Sicherheit in bei einer Nextcloud:

2 Likes

Trotzdem halte ich es für eine gute Idee 2FA zu verwenden. Passwörter können auch leaken. Malware, Keylogger, Arbeitskollege schaut dir über die Schulter usw…

Habe ich lange verwendet und ist ok. U2F ist bequemer weil nur Knopf drücken anstatt Code copy&pasten und das Plus an der theoretischen zusätzlichen Sicherheit, nehme ich gerne mit. :slight_smile:

Unsicherer ist es vorallem, weil wenn jemand den Code hat, der bei der Aktivierung von TOTP generiert wird, hat er auch deine One Time Codes. Jede App kann die OTP Codes anhand dieses Codes berechnen. Und ja da traut man vielleicht Smartphones und speziell einer App, die von Google kommt nicht unbedingt. Ich nutze diese App für Accounts, die kein U2F unterstützen. Und auf dem Desktop die YubiKey App. Vorteil von TOTP, man kann die TOTP Codes einfach backupen (Ich habe die Codes im Keepass abgespeichert) und auf weitere Apps übertragen.

2 Likes

Das beste Preissicherheitsverhältnis hast du mit einem reinen U2F Stick. Der kann dann aber halt wirklich nur U2F und somit nicht überall verwendet werden. Für wenig mehr gibt es FIDO2 Sticks, die auch FIDO1/U2F könen, aber auch das ist halt immer noch sehr eingeschränkt nutzbar. Viele Services bieten weder das eine noch das andere an.

Ich nutze den YubiKey 5 NFC. Ja ich weiss der ist nicht OpenSource, was mich ehrlich gesagt auch etwas stört. Aber der kann alles und ist mit um die 50€ noch bezahlbar. Es gibt Apps für alle Systeme und man kann damit WebAuth, U2F und TOTP und vieles mehr machen und ihn auf allen Geräten inkl. Handy verwenden. (wenn man nicht wie ich GrapheneOS nutzten würde, und deshalb U2F via NFC nicht funktioniert im Browser :wink: )

Wenn du OSS möchtest und etwas das aus Deutschland kommt, kannst du mal noch hier schauen

https://www.nitrokey.com/

1 Like

Solokeys Solo Tap USB-A mit NFC, Preis €35.00 EUR ist auch eine FOSS Alternative:

Vielleicht nicht ist die Hardware nicht ganz so stabil wie Feitian K9 oder Yubikey 5 NFC, weil nicht vergossen?

1 Like

Da hast du mich vielleicht falsch verstanden. Natürlich stimme ich dir hier in allen Punkten zu.

Geht das wirklich? Kann man den Code erneut verwenden? Kann das jemand bestätigen. Ich nutze aktuell kein TOTP mehr.

Ja geht eigentlich aus deiner Aussage hervor. Wollte es nur auch nochmal gesagt haben und hätte es besser formulieren sollen :wink:

Ja. Also diesen Code schon… (keine Sorge ist meine Testinstanz und wird auch nicht aktiviert :wink: )

2021-10-07_10-43

…und zwar in dem Sinne, dass du ihn backupen kannst und somit auch in mehrerern TOTP-Apps verwenden kannst.

Angezigt wird er danach in der Cloud nicht mehr. Darum ist die erste Aktion, wenn ich irgendwo TOTP aktiviere immer, den Code in meinen KeePass kopieren. Noch bevor ich ihn überhaupt mit der TOTP-App scanne. Einige TOTP Apps, wie das genannte andOTP bieten auch eine Backupfunktion der Codes. Der Google Authentificator, soviel ich weiss aber nicht. Zusätzlich sollte man aber trotzdem noch die Backup Codes speichern. Aber! Nicht alle Anbieter erzeugen Backup-Codes. Auch deshalb, backupe ich immer auch den Einrichtungscode.

1 Like

Dann also immer schön auf den Code aufpassen. :wink:

Wichtiger ist aber vielleicht - und das verstehen leider viele vielleicht nicht richtig - das die Übertragung - trotz QR-Code - eigentlich manuell auf das Smartphone übertragen wird und dort die Basis für die TOTP-Token ist. Eine Verbindung zum Internet benötigt z. B. Google Authenticator nicht.

1 Like

Yup. Darum sind die in meinem KeePass.

p.S. Habe oben noch etwas ergänzt.

Yup. Übertragen wird eigentlich gar nichts. Die App berechnet völlig autonom, anhand der Uhrzeit (deshalb T(ime based)OTP) und dem einmaligen Einrichtungscode die One Time Codes. Deshalb kann man imho auch bedenkenlos die Google App nutzen (obwohl theoretisch, könnte die ja die Einrichtungscodes… Aber keine Verschwörungstheorien jetzt :wink: ) Andere Apps bieten aber mehr Features wie Backups usw…

1 Like

Man könnte die Codes natürlich auch von Hand auf einen Zettel oder mit einen Taschenrechner berechnen. Ist nicht wirklich schwierig. Eigentlich nehmen die Token-Generatoren bzw. Smartphones einem nur diese Arbeit ab.

Zur Berechnung können im Rahmen des Verfahrens verschiedene kryptografische Hash-Funktionen eingesetzt werden wie der SHA-1 oder auch die sicheren Verfahren aus der Gruppe SHA-2 wie beispielsweise SHA-512. Der so berechnete Hash-Wert wird auf eine Länge von 31 Bit abgeschnitten und daraus dann durch modulo 10 hoch d, mit d = 6 oder d = 8 für sechs oder acht Stellen, das eigentliche und zeitlich limitierte Einmalpasswort gebildet.

Time-based One-time Password Algorithmus – Wikipedia

Folgende Beispielimplementierung in Javascript mit meiner Meinung nach sehr guter Erklärung habe ich gefunden. Keine Ahnung ob die korrekt ist. Aber kann man bestimmt auch auf dem Papier durchführen.

1 Like

Hallo Forum,

wo genau liegt der öffentliche Schlüssel von meinem FIDO2 Login?

MfG
nc-kay

A post was merged into an existing topic: Nextcloud - Sicherheits Test - Security Check - oft katastrohphal

Hast Du einen U2F / FIDO Backup Stick in der Schublade?

Ansonsten, was hälst Du davon:

https://apps.nextcloud.com/apps/eidlogin

Hast Du dein Passwort Login gesperrt?

Ich habe zwei Yubikey 5 NFC. Einen immer dabei und einen, nicht gleich in der Schublade neben dem PC, aber auch nicht in einem feuersicheren Safe verstaut. :wink: Ich nutze den bisher aber nur für selbstgehostete Dinge und SSH. Bei externen Diensten nutze ich nur TOTP (geht auch mit YubyKey) und davon habe ich mehrere Backups.

Aha, genau so habe ich mir vorgestellt, Hosenträger und Gürtel langen nicht.

Vorschau von WebAuthn-eID for Firefox

WebAuthn-eID funtkioniert mit Firefox, Chromium und Chrome.

Naja warum sollte es nicht funktionieren. Fido2 ist ein Standard. Aber im Perso… Ne, muss nicht sein.

Warum machst Du das mit Yubikey?

Weil der mehr kann, als nur FIDO und FIDO2

Ich habe eine Software gedacht, z. B. KeepassXC (Linux, Windows) oder KesspassDX (Android).

Die ist für Passwörter. Der Key ist für den zweiten Faktor. Aber ja Keepass kann auch TOTP. Wobei das habe ich lieber getrennt. Und das brauche ich auch mal woanders als auf meinem PC. Ich nutze eine selbstgehostete Bitwarden Instanz für Passwörter.

Den Yubikey nutze ich bisher für folgendes:

  • TOTP Secrets
  • FIDO U2F
  • SSH Keys sichern mit FIDO U2F

Der Plan wäre, ihn mit auch dem Linux PAM Modul und LUKS zu verheiraten, um mich damit an meinem Laptop und PC anmelden zu können. Da muss ich mich aber zuerst noch eingehnder damit beschäftigen.