Nextcloud – Zwei-Faktor-Authentifizierung für einen Benutzer deaktivieren

Photo by Rich Smith on Unsplash

Nextcloud bietet seit geraumer Zeit eine Zwei-Faktor-Authentifizierung per Time-Based-Passwort (TOTP), Backup-Codes, Universal 2nd Factor (U2F = Hardwaretoken) an. Nun soll es ja vorkommen, dass der ein oder andere Benutzer seinen zweiten Faktor verliert.

In diesem Fall bleibt nichts anderes übrig, alles die Zwei-Faktor-Authentifizierung für den Benutzer zu deaktivieren.

Der zweite Faktor für die Anmeldung lässt sich in den Nextcloud-Einstellungen für alle Benutzer erzwingen, oder auch für einzelne Gruppen festlegen.

Nextcloud - Zwei-Faktor-Authentifizierung erzwingen
Nextcloud – Zwei-Faktor-Authentifizierung erzwingen

Dann bedeutet das Deaktivieren nicht wirklich deaktivieren, sondern eigentlich ein Reset. Die Zwei-Faktor-Authentifizierung wird für die nächste Anmeldung des Benutzers ausgesetzt und er muss diese neu durchlaufen. Das Passwort ändert sich dabei NICHT.

Nextcloud - Zwei-Faktor-Authentifizierung
Nextcloud – Zwei-Faktor-Authentifizierung

Der Benutzer muss also nach wie vor einen zweiten Faktor für die Anmeldung nutzen, kann aber den angezeigten QR-Code mit der entsprechenden App neu scannen oder seinen Hardwaretoken neu registrieren. Bei einem erneuten Anmelden an der Nextcloud wird dann der Faktor wieder abgefragt und es entsteht keine Sicherheitslücke.


Gib mir gerne einen Kaffee ☕ aus!

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.

PayPal Logo


liberapay.com/strobelstefan.org


Kaffee via Bitcoin

bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj


Wie funktioniert das Zurücksetzten?

Das Zurücksetzen oder das temporäre Deaktivieren funktioniert nur über die Konsole und (aktuell) nicht über den Webbrowser.

Also einmal per Terminal am Server anmelden und durchhangeln bis zum Nextcloud-Verzeichnis

cd /var/www/html/nextcloud

Dort angekommen, können wir die occ-Befehle verwenden. Alle verfügbaren Befehle lassen sich mit auflisten

sudo -u www-data php occ list

In der Liste findet ihr die Einträge:

  1. twofactorauth:disable – Disable two-factor authentication for a user
  2. twofactorauth:enable – Enable two-factor authentication for a user
  3. twofactorauth:enforce – Enabled/disable enforced two-factor authentication
  4. twofactorauth:state – Get the two-factor authentication (2FA) state of a user

Den Benutzernamen des betroffenen Benutzer ist vielleicht schon bekannt, ansonsten lassen sich alle Nutzer auflisten

sudo -u www-data php occ user:list

In der Liste sucht ihr den richtigen Benutzer raus uns lasst euch anzeigen, welche „twofactorauth“ aktiv sind.

sudo -u www-data php occ twofactorauth:state benutzername

Das könnte z.B. so aussehen:

Two-factor authentication is enabled for user benutzername

Enabled providers:
- totp
Disabled providers:
- backup_codes
- u2f

Wir sehen in der Ausgabe, dass der Benutzer nur topt verwendet, also Time-based One-time Password evtl. per App.

Wir setzten also das topt für die nächste Anmeldung zurück, so dass der Benutzer die Möglichkeit hat sich neu anzumelden.

sudo -u www-data php occ twofactorauth:disable benutzername totp

Ihr müsst dabei hinter dem Benutzernamen angeben, was zurückgesetzt werden soll. Da in unserem Beispiel nur topt aktiviert war, konnte nur diese Anmeldemöglichkeit resetet werden.

Photo by Rich Smith on Unsplash

Passwortmanager KeePassXC – Passwörter sicher, schnell und automatisch an den Browser übergeben mit der Browserintegration

Wie funktioniert eine sichere und einfache Passwortverwaltung?

Hier lautet die Antwort natürlich, mit einem Passwortmanager!

Ich verwende den Passwortmanager „KeePassXC“, den ich hier im Blog auch schon einmal kurz in Verbindung mit einem YubiKey (*) vorgestellt habe. In dem Artikel beschreibe ich, wie der Zugriff auf den Passwortmanager zusätzlich zu einem Passwort noch mit einem Hardwaretoken abgesichert werden kann ➡ Passwortmanager mit YubiKey absichern.

YubiKey 02 – Einmalpasswörter (OTPs) speichern

Mittlerweile bieten fast alle großen Dienste eine Zwei-Faktor-Authentifizierung an. Neben Benutzername und Passwort wird ein weiterer, zweiter Faktor für die Anmeldung benötigt, der über eine App oder auch über einen Hardwaretoken, wie den YubiKey, erzeugt werden kann. Der weitere Faktor besteht meistens aus 6 Zahlen und hat jeweils eine Gültigkeit von 30 bis 60 Sekunden. Nach Ablauf der Zeit verliert er seine Gültigkeit und ein neues OTP wir benötigt, deshalb auch Einmalpasswort (= One-Time-Passwort).

Der YubiKey unterstützt OTP auch. Es werden die Informationen zum Erstellen der Einmalpasswörter auf dem YubiKey gespeichert und können dann mit einer kostenlosen Software auf jedem Endgerät ausgelesen werden.