[gelöst] Nextcloud - Authentifizierung ohne Passwort mit FIDO2 funktioniert nicht mehr und FIDO + FIDO2

Yup. Darum sind die in meinem KeePass.

p.S. Habe oben noch etwas ergänzt.

Yup. Übertragen wird eigentlich gar nichts. Die App berechnet völlig autonom, anhand der Uhrzeit (deshalb T(ime based)OTP) und dem einmaligen Einrichtungscode die One Time Codes. Deshalb kann man imho auch bedenkenlos die Google App nutzen (obwohl theoretisch, könnte die ja die Einrichtungscodes… Aber keine Verschwörungstheorien jetzt :wink: ) Andere Apps bieten aber mehr Features wie Backups usw…

1 Like

Man könnte die Codes natürlich auch von Hand auf einen Zettel oder mit einen Taschenrechner berechnen. Ist nicht wirklich schwierig. Eigentlich nehmen die Token-Generatoren bzw. Smartphones einem nur diese Arbeit ab.

Zur Berechnung können im Rahmen des Verfahrens verschiedene kryptografische Hash-Funktionen eingesetzt werden wie der SHA-1 oder auch die sicheren Verfahren aus der Gruppe SHA-2 wie beispielsweise SHA-512. Der so berechnete Hash-Wert wird auf eine Länge von 31 Bit abgeschnitten und daraus dann durch modulo 10 hoch d, mit d = 6 oder d = 8 für sechs oder acht Stellen, das eigentliche und zeitlich limitierte Einmalpasswort gebildet.

Time-based One-time Password Algorithmus – Wikipedia

Folgende Beispielimplementierung in Javascript mit meiner Meinung nach sehr guter Erklärung habe ich gefunden. Keine Ahnung ob die korrekt ist. Aber kann man bestimmt auch auf dem Papier durchführen.

1 Like

Hallo Forum,

wo genau liegt der öffentliche Schlüssel von meinem FIDO2 Login?

MfG
nc-kay

A post was merged into an existing topic: Nextcloud - Sicherheits Test - Security Check - oft katastrohphal

Hast Du einen U2F / FIDO Backup Stick in der Schublade?

Ansonsten, was hälst Du davon:

https://apps.nextcloud.com/apps/eidlogin

Hast Du dein Passwort Login gesperrt?

Ich habe zwei Yubikey 5 NFC. Einen immer dabei und einen, nicht gleich in der Schublade neben dem PC, aber auch nicht in einem feuersicheren Safe verstaut. :wink: Ich nutze den bisher aber nur für selbstgehostete Dinge und SSH. Bei externen Diensten nutze ich nur TOTP (geht auch mit YubyKey) und davon habe ich mehrere Backups.

Aha, genau so habe ich mir vorgestellt, Hosenträger und Gürtel langen nicht.

Vorschau von WebAuthn-eID for Firefox

WebAuthn-eID funtkioniert mit Firefox, Chromium und Chrome.

Naja warum sollte es nicht funktionieren. Fido2 ist ein Standard. Aber im Perso… Ne, muss nicht sein.

Warum machst Du das mit Yubikey?

Weil der mehr kann, als nur FIDO und FIDO2

Ich habe eine Software gedacht, z. B. KeepassXC (Linux, Windows) oder KesspassDX (Android).

Die ist für Passwörter. Der Key ist für den zweiten Faktor. Aber ja Keepass kann auch TOTP. Wobei das habe ich lieber getrennt. Und das brauche ich auch mal woanders als auf meinem PC. Ich nutze eine selbstgehostete Bitwarden Instanz für Passwörter.

Den Yubikey nutze ich bisher für folgendes:

  • TOTP Secrets
  • FIDO U2F
  • SSH Keys sichern mit FIDO U2F

Der Plan wäre, ihn mit auch dem Linux PAM Modul und LUKS zu verheiraten, um mich damit an meinem Laptop und PC anmelden zu können. Da muss ich mich aber zuerst noch eingehnder damit beschäftigen.

Hat hier niemand eine Antwort?

ich glaube das ist das falsche Forum für diese Frage… eventuell helfen dir folgende Artikel:

https://www.heise.de/ct/artikel/Passwortloses-Anmelden-dank-FIDO2-4494951.html

https://www.heise.de/select/ct/2019/18/1566918784264546

Hallo, meine Frage bezieht sich nur auf die Nextcloud.

Was passiert bei meiner Nextcloud Instanz in Bezug auf Fido2?

Nach dem Update stand ich ohne Schlüssel vor der Nextcloud Tür.
Das ist ziemlich doof, nur nach einem Nextcloud Update.

Ich nutze Webauthn (FIDO2) nur als 2FA. Unabhängig von der Art des 2nd Faktor ist es sinnvoll zusätzliche Login Optionen anzulegen (Backup codes, zusätzlich TOTP). FIDO2 ohne Passwort ist bei Nextcloud komisch bzw falsch gelöst so dass ich es nicht nutze (und keinem empfehlen würde).

Ich hatte vor einiger Zeit auch ein Problem mit den Keys

ich glaube damals war Webauthn defekt oder nicht kompatibel. Mein Problem hat sich durch Updates irgendwann gelöst… Aus diesem Grund habe ich eine Test Instanz, so dass ich alle wichtigen Funktionen vor dem Update der “produktiven” Instanz durchspiele …

4 Likes

Du musst unterscheiden zwischen Fido / U2FA und Fido2, das ist dir klar?

Ich weiss die Details nicht aus dem Kopf, aber von dem was ich gelesen habe läuft es für mich als User auf das gleiche hinaus… ich verlasse mich auf dieses Statement:

Im Endeffect ist es aber egal - FIDO2 verfolgt die Idee paswortloses Login mit einem “Ding” (Key,Smartphone, Fingerabdrucksensor im Laptop) umzusetzen. Man kann die gleichen "Ding"e aber auch als 2. Faktor für klassische Passwort-basierte Anmeldung nutzen, und das ist was ich bei Nextcloud praktiziere… Nicht weil ich die Passwortlose anmeldung grundsätzlich ablehne sondern weil die Umsetzung bei NC unlogisch/unergonomisch war als ich das getestet habe…

Das ist nicht ganz richtig, man kann auch noch einen PIN setzen oder Biometriefreischaltung.
Dein Problem bestätigt sich aber mit dem meinem, siehe hier No. 1 im Thread.

Zur Zeit sehe ich das, in Bezug auf Fido2 genauso.
Deswegen dieser Thread.

Für mich ist jetzt hier alles gelöst, danke.
Es war eine znzulänglichkeit von dem Release.

Ein fader Beigeschmack bleibt.

Fazit: Verlasse dich auf nix bei einem Update.