seit Nextcloud 21.0.5 funtkioniert die Authentifizierung ohne Passwort mit FIDO2 nicht mehr.
Das Bassissystem ist eine Debian 10, Nextcloud wurde mit dem c-rieger Script installiert.
Vor dem Update Nextcloud 21.0.5 konnte ich mich mit dem Fido2 Stick ohne Passwort einloggen.
Der Stick war anfÀnglichst auch bei 21.0.5 zu sehen, weil dieser nicht funktionierte, wollte ich diesen neu einrichten, was jedoch nicht mehr funktioniert.
Nextcloud 21.0.4.1, eine andere Intallation hat hat das Problem nicht,
Liegt das Problem bei meiner Installation oder an Nextcloud 21.0.5?
Wie löse ich das Problem?
MfG
nc-kay
Edit: jetzt bin ich bei Nextcloud 22.2.0, das Problem ist nicht gelöst.
Könnte das mit den trusted_domains zusammenhÀngen - ist xxx.xx.xx.xxx in dieser liste in config.php?
Wenn jemand meinen Stick stehlen sollte, könnte er ja dann in meine cloud rein. Nachdem dort mittlerweile ziemlich viele meiner persönlichen Daten liegen möchte ich die einfach so gut wie möglich absichern.
Eigentlich besteht Sicherheit aus Besitz und Wissen. Somit ist das schon ok. Was ich mal gerne wissen wĂŒrde, ob man irgendwie am Stick erkennen kann, wofĂŒr er da ist. Klar wenn ein Bekannter den Stick klaut, dann wĂ€re es einfacher. Aber wenn ein Unbekannter den Stick findet, dann muss man auch die Nextcloud kennen. Auch ist die Frage nach welchem Zeitraum man den Verlust bemerkt.
Beim Smartphone ist es einfacher. Da braucht man eigentlich weder Zahlen, Fingerabdruck noch Muster. Man hat es ja praktisch immer dabei und nach wenigen Sekunden bemerkt man den Verlust beim regelmĂ€Ăigen ĂberprĂŒfen von WhatsApp.
Bei FIDO2 fĂ€llt der zweite Faktor weg, zumindest so wie es bei den meisten Sticks implementiert ist. Wie du schon selbst gesagt hast, wenn dir jemand den Stick klaut, deinen Benutzernamen und die Adresse deiner Cloud kennt, ist er drinn. Rein technisch ist das ganze natĂŒrlich sicherer als eine Passwortauthentifizerung ohne 2FA. In der Praxis wĂŒrde ich aber Passwort plus U2F verwenden. Dann braucht derjenige, der dir den Stick klaut auch noch das Passwort. Sicherer als Passwort plus U2F wĂ€re FIDO2 imho nur dann, wenn zusĂ€tlich noch Biometrie implementiert ist. Sprich wenn du dich am Stick noch per Fingerabdruck authentifizeren mĂŒsstest.
FIDO2 (WebAuth) kommt in dem Link gar nicht vor. Dort reden sie nur von FIDO (erste Generation), was das gleiche wie U2F ist.
Weil du den Key nicht remote bruteforcen kannst und ohne den âzweitenâ Faktor (den HW Key) dich nicht einloggen kannst. Hast du aber den HW-Key bist du einfacher drinn als bei Passwort plus FIDO1/U2F.
Jein. So viel ich weiss, sieht der Standard auch vor, dass man den Stick selbst noch mit einem PIN oder Biometrie schĂŒtzen kann. Auch ist FIDO2 theoretisch nicht auf USB-Keys beschrĂ€nkt. Die jetzigen implementierungen bieten diesbezĂŒglich wenig Schutz. Immer vorausgesetzt, jemand hat Zugriff auf deinen HW-Key. Gegen Remote Attacken ist es definitiv sicherer als PW-only. PW plus FIDO1/U2F ist da aber imho gleich auf, einfach etwas weniger komfortabel.
Das Problem an Passwörtern ist, dass sie z. B. mitgelesen und dann von jeden beliebig verwendet werden können. Remote ein Passwort zu hacken findet meiner Meinung nach nicht statt. Das wird von vielen Systemen erkannt.
Passöwörter sind nur Wissen und ein Stick oder auch OTP sind ein Besitz, welcher viel höher zu bewerten ist.
Wenn halt jemand aus dem Internet deine Cloud bruteforcen will bzw. sich aus dem Internet an deiner Cloud anzumelden versucht.
Wenn du Details haben willst, kann ich dir keine geben. Bin kein Hacker.
Aber wenn du Passwörter verwendest, die in irgendwelchen Passwortlisten aus den ganzen Leaks der vergangen Jahren sind, gibt es Tools welche diese automatisiert durchprobieren. Plus gibt es Tools, die auch nach irgendwelchen Abwandlunegen davon probieren. Oder du fĂ€ngst dir auf deinem PC einen Keylogger oder sonstige Malware ein, die dein Passwort leakt. Gibt viele Möglichkeiten wie âHackerâ an dein Passwort kommen können.
2FA verhindert halt dann, dass man sich direkt mit diesem Passwort einloggen kann. Und WebAuth/FIDO2 verhindert, dass man sich ĂŒberhaupt mit einem Passwort einloggen kann.
Ich halte es fĂŒr fast ausgeschlossen, dass eine Nextcloud ge-brute-forced wird.
Ich weiĂ nicht, nach wie wenigen Versuchen bei der Anmeldung die ZeitrĂ€ume hochgesetzt werden. Aber ein Angriff ĂŒber den Anmeldeweg halte ich fĂŒr vollkommen ausgeschlossen. Vielleicht bei der Ausnutzung von bekannten SicherheitslĂŒcken. Aber niemand errĂ€t selbst Trivialpasswörter in 3 bis 10 Versuchen. Das ist vollkommen unrealistisch.
Wer nicht Geld fĂŒr einen Stick investieren will, kann sich mal mit TOTP beschĂ€ftigen. Das erhöht Ă€hnlich wie ein Stick die Sicherheit extrem. Leider wird das aufgrund der Verwendung von Smartphones (Android, iOS) und z. B. Google Authenticator oft als unsicher gesehen. Das liegt aber wohl daran, dass TOTP nicht verstanden wurde. Die Generierung der TANs auf Android oder iOS nutzt nĂ€mlich Google und Apple fĂŒr einen Angriff praktisch gar nicht. Es hĂ€lt aber die ĂŒbrigen 99,9999% Angreifer fern.
Gegen Remote Attacken (Leute, die deinen HW-Key nicht haben und von irgendwo versuchen sich einzuloggen) ist beides Àhnlich oder gleich sicher. Weil der Angreifer in beiden FÀllen deinen HW-Key braucht, um sich erfolgreich authentifizieren zu können
Wenn jemand deinen HW-Key hat, kommt es darauf an ob dein Key noch mit PIN geschĂŒtzt ist oder nicht. Ist der Stick nicht PIN-geschĂŒtzt kann FIDO2 theoretisch unsicherer sein, weil der Dieb des Sticks sich dann direkt einloggen kann, wenn er deinen Benutzernamen kennt. Bei U2F muss er auch noch dein Passwort kennen.
FIDO2 ist von daher sicherer. Aber nur wenn du den Stcick noch mit einem PIN schĂŒtzt. Und nochmal. In beiden FĂ€llen, FIDO2 und U2F, braucht der Angreifer deinen Stick, um sich einloggen zu können!
