Ich finde aber nix dies gleich als Administrator zu tun. Was aber eigentlich ganz Hilfreich wäre da die meisten Benutzer keinerlei Ahnung haben dies zu erstellen.
Ein Traum wäre dies auch gleich per Email an den betreffendem Benutzer zu senden
Ich kenne keine Möglichkeit. Aber vielleicht wäre das ein schönes Feature, was man mal als Issue vorschlagen könnte. Ich denke möglich ist es jedoch deswegen nicht, weil es eher eine Funktion des Anwenders ist, der nach Anmeldung mit Benutzername/Passwort dieses zusätzlich verwendet.
Das Konzept des App-Passwortes habe ich auch noch nicht ganz verstanden. Der QR-Code enthält eigentlich auch nur eine Benutzer/Passwort-Kombination. Diese lässt sich - habe ich extra noch mal gerade getestet - auch auf mehreren Geräten gleichzeitig nutzen. Wenn man nun auf dem einen Gerät den Account entfernt, so kann das andere Gerät auch nicht mehr zugreifen.
Spätestens wenn man 2FA verwendet, könnte das meiner Meinung nach ein Sicherheitsrisiko darstellen. Wobei ich 2FA auch noch nicht in Verbindung der “normalen” Anmeldung an der Android-App verwendet habe. Aber dort erwarte ich, dass eine Benutzer/Passwort-Kombination bei Aktivierung von 2FA nicht dauerhaft funktionsfähig ist. Es also für jede authentisierte Sitzung eigene “Schlüssel” gibt. Ich befürchte aber, dass selbst bei 2FA die Benutzer/Passwort-Kombination des QR-Codes weiterhin genutzt werden kann. Wenn dann nicht 2FA gefragt wird, wäre das wohl schlecht. Vielleicht kann das mal jemand ausprobieren.
Die App Passwörter sind für Apps gedacht, die Login-Flow nicht unterstützen und deshalb auch kein 2FA machen können. Also, ja, es wird nicht nach dem 2FA Token gefragt, wenn man ein App Passwort nutzt. Sicherheitstechnisch sehe ich da keinen Nachteil, da man ja eingeloggt sein muss, um ein App Passwort zu generieren. Wenn so ein Passwort leakt sieht es natürlich anders aus. Aber warum sollte ein App Passwort leaken? Im Idealfall speichert man das nirgendwo, und wenn man eine App neu authorisieren muss, loggt man sich regiulär mit Benutzername, Passwort und 2FA in die Nextcloud ein und generiert ein neues App Passwort für diese App.
Das stimmt und damit gibt es gar kein 2FA-Problem. Könnte aber sein, dass @Nanu und ich diese Funktion zur Vereinfachung der Anmeldeprozesse bei Smartphones und Tablets verwendet haben. Anwender scannen lieber QR-Codes (bei meinem Smartphone direkt mit der Kamera ohne zuvor Öffnen der Nextcloud-App) als komplizierte Nextcloud-Servernamen, Benutzernamen und Passwörter einzugeben. Aber dafür ist das QR-Code-Login wohl eigentlich gar nicht gedacht.
Auch da sehe ich keinen Nachteil, aus den gleichen Gründen wie oben, ausser du verschickst diesen QR Code oder specherst ihn irgendwo. Falls nicht, ist es evtl. sogar sicherer, als das App Passwort einzutippen, so wegen Keylogger und so.
Stimmt. Passwort bleibt Passwort. Man muss nur wissen, dass der QR-Code das Passwort in Klartext enthält. Ist aber bei einer E-Mail mit Benutzername/Passwort auch nicht anders. Wobei Passwörter kann man ganz gut mit der Nextcloud-App Secrets (Passwort innerhalb des Textfeldes nicht des optionalen Passwort-Feldes) verschicken.
Ich denke wenn ich einen Keylogger auf dem PC oder Smartphone habe, habe ich ganz andere Probleme. Da hilft im Übrigen nicht mal 2FA, da der Schadcode nach der Anmeldung mit 2FA Zugriff auf die Daten hat oder haben könnte.
Ja, und deshalb sollte man meiner Meinung nach die App Passwörter, wie bereits gesagt, nur direkt eintippen oder abscannen (eines pro Gerät / App), und nirgendwo speichern und auch nicht verschicken, weder im Klartext, noch als QR-Code. Denn wenn so ein App-Passwort in die falschen Hände gerät, können sich diese falchen Hände ohne 2FA direkt einloggen.
Doch, das geht. Leider unterstützt die Nextcloud-App Secrets noch keine Dateianhänge. Aber man kann https://privatebin.net (am besten eine selbst gehostete Instanz) mit der Option “Nach dem Lesen löschen” mit einem Dateianhang (QR-Code) verwenden.
Ich habe da halt eine relativ strikte Meinung, nämlich dass niemand ausser der betroffene Benutzer selbst irgendwelche Credentials jemals zu Gesicht bekommen sollte, und im Idealfall nicht mal der. Stichwort: (Passwordless)
Aber ja klar, so wie du es beschreibst, kann man es sicher machen, wenn man der anderen Seite traut.
Trotzdem, wäre es besser wenn es die Benutzer selbst machen würden. Wenn man ihnen diese Dinge immer abnimmt, lenen sie es nämlich nie. Und ein gewisses Restrisiko bleibt, gerade bei unbedarften Benutzern, weil den QR Code speichern oder screenshoten und ihn dann an einem unsichern Ort ablegen, kriegen sie dann trotzdem noch hin
Na das erklär mal Menschen über 60 Jahren. Aber auch Jüngere. Ich seh das so wie devnull. Ein QR-code zu scannen ist für viele einfacher. Klar muss man bei ein Passwort Verlust dem Admin vertrauen. Doch jeder hat die Wahl sich ein neues zu setzen.
Ich glaub auch eher das es viele Private Nutzer gibt die die Cloud für sich nutzen.
Das wird aus meiner Ansicht nach auch die Zukunft werden. Da das vertrauen zu fremden unbekannten Server immer mehr wächst. Wer schickt schon gern seine Daten nach Afrika oder Indien
Um zurück auf den QR-Code zu kommen. Ich könnte mir auch vorstellen das neben den neuen Passwort ein Passwort Generator ist mit QR-Code Ausgabe ist.
