Gibt es Hinweise zur Einrichtung der 2 Faktor Authentifizierung (2FA)?

🌐 Non-english support 🇩🇪 Deutsch (german)
1

Hallo Anwender,

zur Sicherheit möchte ich 2FA nun einrichten. Mein System ist ein Raspberry 4 mit Debian Bullseye, Apache2, php8.0 und alles soweit aktuell.
Ich würde TOPT mittels App auf dem Handy und zur Sicherheit auch Backup-Codes erstellen/einrichten wollen. Neben den Installationshinweisen findet man auch viele Fragen zur Funktion.
Viel Zeit verbringe ich auswärts und bin darauf angewiesen, mittels Handy (Android) und Notebooks (Win10 sowie Linux Debian 11) darauf zuzugreifen. Die Notebooks synchronisieren alles (Datenbestand, Kontakte, Kalender etc.). Die Handys synchronisieren die Kontakte, den Kalender, ein Kochbuch usw. und geben mir bei Bedarf über die Nextcloud App auch den Zugriff auf alle Dateien. Diese Funktionalität habe ich über die Zeit sehr zu schätzen gelernt und kann auch nicht darauf, speziell im Ausland, verzichten.

Die eigentliche Einrichtung sollte mir keine Schwierigkeiten machen. Mir geht hier mehr um die Anbindung der Clients (Win10, Linux, Android) mit den verschiedenen Apps und Synchronisationen.

Geht die Client-Anbindung problemlos? Muss diese neu eingerichtet werden und läuft diese sofort stabil? Muss man bei Apps etwas beachten?

Es wäre schön, Eure Erfahrungen und Hinweise zu erfahren. Danke.

Thomas

2

Für TOTP schau dieses wirklich gute Video.

Schau auch:

Using client applications with two-factor authentication

Once you have enabled 2FA, your clients will no longer be able to connect with just your password unless they also have support for two-factor authentication. To solve this, you should generate device specific passwords for them. See Manage connected browsers and devices for more information on how to do this.

Link

Hier findest du Infos zu deinen Devices:
https://cloud.server.tld/settings/user/security

3

Vielen Dank @devnull. Das Video gibt eine gute Zusammenfassung, wobei man noch die Backup-Codes mit ansprechen sollte.

Zu den Clients habe ich schon mal kurz den ersten Link verfolgt. Ok, danach sollte alles funktionieren. Ist es in der Praxis wirklich so?

Der zweite Link/URL läuft ins Leere. Habe aber im Moment nur Handy, schaue morgen nochmal.

Thomas

4

Hallo @devnull, hallo @JimmyKater,

meine NC läuft schon mal für einen User mittels 2FA. Ich möchte hier kurz meine Erfahrungen mitteilen.

Die Einrichtung über die Weboberfläche im Dashboard war relativ einfach:

  • TOTP App installieren
  • 2FA und TOTP aktivieren
  • QR-Code scannen mittels Handy-App (FreeOTP+)
  • Test 2FA mittels Code aus FreeOTP+ (sollte man direkt auf der gleichen Seite machen, ohne sich abzumelden)
  • Backup-Codes erstellen lassen
  • Backup-Codes ausdrucken und in den Safe legen
    Fertig!

Na ja, über die Website läuft 2FA ohne Probleme. Aber: Man nutzt ja nicht nur die Website, sondern auch Handys (Android) und Notebooks (Linux und Windows). Da gibt es schon Probleme! Nach Anleitung muss man für einige Apps bzw. Programme ein App-Kennwort erzeugen. Vielmehr muss man für jeweils ein Gerät (Device) und nicht für jede App ein App-Kennwort erzeugen. Ja, das nehme ich genau. Die Hürde war noch einfach und schnell liefen die Handys unter Android. Die Android-Apps wie Nextcloud, Talk, Aufgaben, Kochbuch und Sync brauchen das App-Kennwort aber nicht, diese beherrschen wohl schon TOTP. DAVx5, News, KeyPass usw. musste ich neu einrichten.

Hurra bei den Handys und kein Hurra bei den Notebooks, weil unter Thunderbird alle Kontakte, Kalender und Aufgaben nicht mehr synchronisieren wollten. Ok, da muss man also auch das App-Kennwort verwenden, dachte ich jedenfalls. Nach der Neueinrichtung ging es aber trotzdem nicht. Alle Kalender und Kontakte wurden zwar bei der Einrichtung gefunden und übernommen, konnten aber nicht aktiviert werden. Nach einem Hinweis zu einem Bug bei Thunderbird, seit V16, muss man die Thunderbird-Konfiguration anpassen:

Wir öffnen das about:config des Thunderbird unter Einstellungen > Erweitert > Konfiguration bearbeiten. Dort suchen wir nach “network.cookie.same-site.enabled” und setzen diesen Wert dann durch doppeltes daraufklicken auf false.

Nach einem Neustart und erneuter Einrichtung aller Verbindungen war auch dies ok.

Die Probleme mit Thunderbird sind bei Linux aufgetreten. Win10 mit Thunderbird habe ich noch nicht umgestellt, wird aber wahrscheinlich das gleiche Problem haben.

Nun werde ich sicherheitshalber eine Woche warten und testen. Kommen noch Probleme? Wenn nicht, dann werden danach alle User und Geräte umgestellt.

Thomas

1 Like