Ich verwende FIDO2 - aber nur als 2. Faktor, nicht als Passwort-Ersatz; das funktioniert.
Die Lösung:
Ich hatte es mit mit der https://xxx.xx.xx.xxx/login versucht,
Das funktioniert nicht.
Nutze ich https://cloud.nc-kay.net funktioniert es mit FIDO2.
Habe ich evtl. das FIDO2 Prinzip nicht richtig verstanden?
Warum funktioniert das IP-Adress-Login nicht mit FIDO2?
Funktioniert FIDO2 nur mit einer Domain?
Warum nutzt Du nur U2F und nicht FIDO2?
MfG
nc-kay
Könnte das mit den trusted_domains zusammenhängen - ist xxx.xx.xx.xxx in dieser liste in config.php?
Wenn jemand meinen Stick stehlen sollte, könnte er ja dann in meine cloud rein. Nachdem dort mittlerweile ziemlich viele meiner persönlichen Daten liegen möchte ich die einfach so gut wie möglich absichern.
Eigentlich besteht Sicherheit aus Besitz und Wissen. Somit ist das schon ok. Was ich mal gerne wissen würde, ob man irgendwie am Stick erkennen kann, wofür er da ist. Klar wenn ein Bekannter den Stick klaut, dann wäre es einfacher. Aber wenn ein Unbekannter den Stick findet, dann muss man auch die Nextcloud kennen. Auch ist die Frage nach welchem Zeitraum man den Verlust bemerkt.
Beim Smartphone ist es einfacher. Da braucht man eigentlich weder Zahlen, Fingerabdruck noch Muster. Man hat es ja praktisch immer dabei und nach wenigen Sekunden bemerkt man den Verlust beim regelmäßigen Überprüfen von WhatsApp. 
1 Like
Was ist sicherer U2F oder FIDO2 und warum meint Ihr ist es sicherer?
Meine Recherche ergab, FIDO2 ist sicherer, bzw. ich habe es mir so ausgedacht.
1 Like
Bei FIDO2 fällt der zweite Faktor weg, zumindest so wie es bei den meisten Sticks implementiert ist. Wie du schon selbst gesagt hast, wenn dir jemand den Stick klaut, deinen Benutzernamen und die Adresse deiner Cloud kennt, ist er drinn. Rein technisch ist das ganze natürlich sicherer als eine Passwortauthentifizerung ohne 2FA. In der Praxis würde ich aber Passwort plus U2F verwenden. Dann braucht derjenige, der dir den Stick klaut auch noch das Passwort. Sicherer als Passwort plus U2F wäre FIDO2 imho nur dann, wenn zusätlich noch Biometrie implementiert ist. Sprich wenn du dich am Stick noch per Fingerabdruck authentifizeren müsstest.
FIDO2 (WebAuth) kommt in dem Link gar nicht vor. Dort reden sie nur von FIDO (erste Generation), was das gleiche wie U2F ist.
1 Like
Weil du den Key nicht remote bruteforcen kannst und ohne den “zweiten” Faktor (den HW Key) dich nicht einloggen kannst. Hast du aber den HW-Key bist du einfacher drinn als bei Passwort plus FIDO1/U2F.
FIDO2 ist dann für die ganz Bequemen, die Ihren Stick “nie” verlieren?
Wenn ich den FIDO2 (WebAuth) Stick nie/nicht verliere, wo sind dann noch Sicherheitslücken?
Was ist wenn ein FIDO2-Server ausfällt?
Jein. So viel ich weiss, sieht der Standard auch vor, dass man den Stick selbst noch mit einem PIN oder Biometrie schützen kann. Auch ist FIDO2 theoretisch nicht auf USB-Keys beschränkt. Die jetzigen implementierungen bieten diesbezüglich wenig Schutz. Immer vorausgesetzt, jemand hat Zugriff auf deinen HW-Key. Gegen Remote Attacken ist es definitiv sicherer als PW-only. PW plus FIDO1/U2F ist da aber imho gleich auf, einfach etwas weniger komfortabel.
3 Likes
Zu FIDO2 (WebAuthn):
Hallo, was genau sind “Remote Attacken”?
Wie sieht so ein Angriff aus?
MfG
nc-kay
Das Problem an Passwörtern ist, dass sie z. B. mitgelesen und dann von jeden beliebig verwendet werden können. Remote ein Passwort zu hacken findet meiner Meinung nach nicht statt. Das wird von vielen Systemen erkannt.
Passöwörter sind nur Wissen und ein Stick oder auch OTP sind ein Besitz, welcher viel höher zu bewerten ist.
Wenn halt jemand aus dem Internet deine Cloud bruteforcen will bzw. sich aus dem Internet an deiner Cloud anzumelden versucht.
Wenn du Details haben willst, kann ich dir keine geben. Bin kein Hacker.
Aber wenn du Passwörter verwendest, die in irgendwelchen Passwortlisten aus den ganzen Leaks der vergangen Jahren sind, gibt es Tools welche diese automatisiert durchprobieren. Plus gibt es Tools, die auch nach irgendwelchen Abwandlunegen davon probieren. Oder du fängst dir auf deinem PC einen Keylogger oder sonstige Malware ein, die dein Passwort leakt. Gibt viele Möglichkeiten wie “Hacker” an dein Passwort kommen können.
2FA verhindert halt dann, dass man sich direkt mit diesem Passwort einloggen kann. Und WebAuth/FIDO2 verhindert, dass man sich überhaupt mit einem Passwort einloggen kann.
Ist das und die Bequemlichkeit der Hauptvorteil von FIDO2?
So wie ich das sehe, was evtl. falsch ist, ist FIDO (U2F) sicherer, wenn nein, warum nicht?
Ich halte es für fast ausgeschlossen, dass eine Nextcloud ge-brute-forced wird.
Ich weiß nicht, nach wie wenigen Versuchen bei der Anmeldung die Zeiträume hochgesetzt werden. Aber ein Angriff über den Anmeldeweg halte ich für vollkommen ausgeschlossen. Vielleicht bei der Ausnutzung von bekannten Sicherheitslücken. Aber niemand errät selbst Trivialpasswörter in 3 bis 10 Versuchen. Das ist vollkommen unrealistisch.
Wer nicht Geld für einen Stick investieren will, kann sich mal mit TOTP beschäftigen. Das erhöht ähnlich wie ein Stick die Sicherheit extrem. Leider wird das aufgrund der Verwendung von Smartphones (Android, iOS) und z. B. Google Authenticator oft als unsicher gesehen. Das liegt aber wohl daran, dass TOTP nicht verstanden wurde. Die Generierung der TANs auf Android oder iOS nutzt nämlich Google und Apple für einen Angriff praktisch gar nicht. Es hält aber die übrigen 99,9999% Angreifer fern.
2 Likes
Nachteil von FIDO (U2F):
Evlt. speichert ein User sein nicht empfohlenes Standdardpasswort, in einer Datenbank sind Passwörter dann gespeichert.
Bei FIDO2 ist das nicht möglich, ein Passwort gibt es nicht.
Es kommt auf den Angriffsvektor an.
Gegen Remote Attacken (Leute, die deinen HW-Key nicht haben und von irgendwo versuchen sich einzuloggen) ist beides ähnlich oder gleich sicher. Weil der Angreifer in beiden Fällen deinen HW-Key braucht, um sich erfolgreich authentifizieren zu können
Wenn jemand deinen HW-Key hat, kommt es darauf an ob dein Key noch mit PIN geschützt ist oder nicht. Ist der Stick nicht PIN-geschützt kann FIDO2 theoretisch unsicherer sein, weil der Dieb des Sticks sich dann direkt einloggen kann, wenn er deinen Benutzernamen kennt. Bei U2F muss er auch noch dein Passwort kennen.
1 Like
FIDO2 ist von daher sicherer. Aber nur wenn du den Stcick noch mit einem PIN schützt. Und nochmal. In beiden Fällen, FIDO2 und U2F, braucht der Angreifer deinen Stick, um sich einloggen zu können!
Oder, Beispiel: TrustKey G310H Security Key mit Fingerabdruckscanner.
Dann entstehen wieder höhere Kosten, man benötigt im zwei Sticks.
Mein Favorit für besondere Sicherheit in bei einer Nextcloud:
2 Likes
Trotzdem halte ich es für eine gute Idee 2FA zu verwenden. Passwörter können auch leaken. Malware, Keylogger, Arbeitskollege schaut dir über die Schulter usw…
Habe ich lange verwendet und ist ok. U2F ist bequemer weil nur Knopf drücken anstatt Code copy&pasten und das Plus an der theoretischen zusätzlichen Sicherheit, nehme ich gerne mit. 
Unsicherer ist es vorallem, weil wenn jemand den Code hat, der bei der Aktivierung von TOTP generiert wird, hat er auch deine One Time Codes. Jede App kann die OTP Codes anhand dieses Codes berechnen. Und ja da traut man vielleicht Smartphones und speziell einer App, die von Google kommt nicht unbedingt. Ich nutze diese App für Accounts, die kein U2F unterstützen. Und auf dem Desktop die YubiKey App. Vorteil von TOTP, man kann die TOTP Codes einfach backupen (Ich habe die Codes im Keepass abgespeichert) und auf weitere Apps übertragen.
2 Likes
Das beste Preissicherheitsverhältnis hast du mit einem reinen U2F Stick. Der kann dann aber halt wirklich nur U2F und somit nicht überall verwendet werden. Für wenig mehr gibt es FIDO2 Sticks, die auch FIDO1/U2F könen, aber auch das ist halt immer noch sehr eingeschränkt nutzbar. Viele Services bieten weder das eine noch das andere an.
Ich nutze den YubiKey 5 NFC. Ja ich weiss der ist nicht OpenSource, was mich ehrlich gesagt auch etwas stört. Aber der kann alles und ist mit um die 50€ noch bezahlbar. Es gibt Apps für alle Systeme und man kann damit WebAuth, U2F und TOTP und vieles mehr machen und ihn auf allen Geräten inkl. Handy verwenden. (wenn man nicht wie ich GrapheneOS nutzten würde, und deshalb U2F via NFC nicht funktioniert im Browser 
)
Wenn du OSS möchtest und etwas das aus Deutschland kommt, kannst du mal noch hier schauen
1 Like