Neue Anmeldung mit verdächtiger IP trotz 128-stelligem Passwort und 2-Faktor-Auth?

aceventura · May 13, 2023, 7:35am

Liebe Nextcloud-Gemeinde,

ich habe mich hier angemeldet, weil ich zu meinem Problem im Internet keine Lösung gefunden habe. Über Hetzners Storage Share nutze ich eine Nextcloud-Instanz. Vor zwei Wochen erhielt ich über den Desktop-Client die Meldung, dass sich eine verdächtige IP in meine Nextcloud eingeloggt hätte. Klicke ich die IP an, zeigt mir Firefox mittels Geotool einen Ort an, der 400 KM weiter liegt. Ich finde das Ganze seltsam, denn bis vor zwei Wochen hatte ich ein 64stelliges Passwort.

Nun habe ich die Nextcloud umgestellt, sodass man nach 3 erfolglosen Login-Versuchen gesperrt ist, das Passwort is 128 Stellen lang (inklusive Sonderzeichen) und 2-Faktor-Authentifizierung ist auch aktiviert. Und trotzdem zeigt mir der Nextcloud-Client erneut eine neue Anmeldung mit der gleichen IP wie vor zwei Wochen an.

Ich bin jetzt wirklich ratlos, denn ich weiß nicht, ob sich wirklich jemand trotz der Sicherheitsmaßnahmen einloggen konnte, ob die Anzeige Nextclouds fehlerhaft ist, ob das Geotool die IP meines Arbeitgebers nicht 400 km weiter verfrachtet hat oder ob es vielleicht mit Hetzner zu tun hat?

Hat jemand von euch ähnliche Erfahrungen gemacht?
Für Hilfe wäre ich euch sehr dankbar!

Mornsgrans · May 13, 2023, 10:18am

Wenn es sich um eine deutsche IP eines Providers handelt, kannst Du der Geo-Lokalisation eh nicht trauen. Laut dieser bin ich meist im Norden Deutschlands angesiedelt, mein Standort liegt aber im Südwesten.

Wenn Dein Routerlog noch Einwahl-Ereignisse aus dieser Zeit enthält, vergleiche die IP Deines Routers mit der durch Nextcloud protokollierten.

ToastWave · May 13, 2023, 9:51pm

Bei den meisten Providern ist bei Stino Geolocation APIs es entweder nur genau auf deren Regionsdatacenter oder die Stadt des Kunden.

devnull · May 14, 2023, 5:56am

@aceventura
Es ist praktisch unmöglich, dass sich jemand mit deinem 128 stelligen Passwort (im Übrigen ziemlich sinnlos) und dann noch mit 2FA anmeldet. Bei 2FA kannst du praktisch ein beliebig schlechtes Passwort verwenden. Eigentlich könnte man ganz darauf verzichten, um sich unnötige Tipparbeit zu ersparen.

Geolokation vs. autonomes System (AN)
Interessanter als die Geolokation der IP-Adresse ist die zugehörige ASN bzw. der zugehörige Provider, was aber nicht unbedingt dasselbe ist.

Ruf mal https://ipinfo.io/8.8.8.8 (erst mal wird dir AS15169 Google Inc. angezeigt). An der linken Seite kannst du nun die IP-Adresse eingeben. Welches ASN wird dir nun angezeigt? Ist das das ASN deines Providers (Festnetz, Mobilfunknetz)?

aceventura · May 15, 2023, 3:58pm

Ich danke euch für eure Tipps. Auf den naheliegendsten Gedanken, im Browser erstmal die IP’s auf der Arbeit mit der Meldung in Nextcloud gegenzuprüfen, bin ich zunächst nicht gekommen. Die IP’s sind tatsächlich heute Morgen gleich gewesen. Der angezeigt Ort über https://iplookup.flagfox.net/? war tatsächlich falsch.