Nextcloud - FIDO2 und WebAuthn zur Anmeldung nutzen

Das Update auf die Version 19 von Nextcloud ist zwar schon ein wenig her, aber es gibt eine sehr coole neue Funktion bei der Anmeldung. Habt ihr euch schon mal gefragt, was diese Zeile in der Anmeldemaske bedeutet?

"Log in with a device"

Nextcloud - Login with a device

Seit der Version 19 unterstütz Nextcloud WebAuthn nach dem FIDO2-Standard. Damit kann der User sich mit einem Hardwaretoken anmelden, ohne das Nextcloud-Passwort einzugeben.

Auf der Nextcloud-Seite habe ich den Hinweis, der ein wenig versteckt ist hier gefunden:

FIDO2 and WebAuthn compatibility

Wie funktionierts?

Hier im Blog habe ich bereits mehrfach über den YubiKey 5Ci geschrieben und genau diesen Hardwaretoken verwendet man zu passwortlosen Anmeldung.

👉 YubiKey-Beiträge hier im Blog

YubiKey vorbereiten

Bevor es an die Konfiguration geht, sollte auf dem YubiKey zwingend eine sogenannte "FIDO2 PIN". Diese PIN wird zuerst abgefragt, bevor der Hardwaretoken für die Anmeldung an der Nextcloud verwendet werden kann. Dadurch wird verhindert, dass Dritte die sich im unautorisiert im Besitz eures YubiKeys befinden sich in eurem Namen an der Nextcloud anmelden können.

Der PIN ist vergleichbar mit dem Masterpasswort für einen Passwortmanager, ohne die PIN erhält Nextcloud keinen Zugriff auf den YubiKey zum Auslesen der Anmeldedaten. Wenn man es also genau nimmt, das ist die Anmeldung nicht ganz passwortlos, sondern erst nach Eingabe des FIDO2 PINs, erfolgt eine passwortlose Anmeldung an der Nextcloud.

Ihr könnt mit dem neuen Tool "YubiKey Manager" von yubico sehr einfach einen FIDO2 PIN für euren Hardwaretoken setzen. Das bisherige Tool "YubiKey Personalization Tool" wird nicht mehr aktiv weiterentwickelt und wurde durch den neuen, aufgeräumten YubiKey Manager ersetzt.

Ladet euch das Programm von der offiziellen Seite herunter und installiert es auf eurem PC.

👉 https://www.yubico.com/products/services-software/download/yubikey-manager/

Nach der Installation könnt ihr es sofort starten. Achtung ggf. benötigt das Tool Administratorenrechte zum fehlerfreien Betrieb.

FIDO2 PIN

Nachdem ihr den PIN gesetzt habt, könnt ihr den YubiKey zur WebAuthn-Anmeldung in der Nextcloud hinterlegen.

YubiKey zur WebAuthn-Anmeldung in Nextcloud hinzufügen

Meldet euch an eurer Nextcloud_Instanz wie gewohnt an. Anschließend hangelt ihr euch bis zu den Sicherheitseinstellungen durch:

Euer Benutzer (oben rechts) --> Einstellungen --> Sicherheit

Dort fügt ihr über den Button "WebAuthn-Gerät hinzufügen" euren YubiKey für die Anmeldung hinzu, indem ihr den Anweisungen folgt.

WebAuthn konfigurieren

Nach erfolgreicher Konfiguration könnt ihr euch sofort passwortlos an eurer Nextcloud anmelden.

Codeberg

Dein Weg zur eigenen Nextcloud

👉 https://codeberg.org/sst/nextcloud-installation-configuration

Weiterführende Links

Gib mir gerne einen Kaffee ☕ aus ❗️

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.

•

Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj

Follow Me❗️

Mastodon • Mastodon RSS • codeberg.org/sst • RSS

Source

👉 FIDO2: Web Authentication (WebAuthn)
👉 FIDO2: WebAuthn & CTAP