Nextcloud – FIDO2 und WebAuthn zur Anmeldung nutzen

Das Update auf die Version 19 von Nextcloud ist zwar schon ein wenig her, aber es gibt eine sehr coole neue Funktion bei der Anmeldung.
Habt ihr euch schon mal gefragt, was diese Zeile in der Anmeldemaske bedeutet?

Log in with a device
Nextcloud - Login with a device
Nextcloud – Login with a device

Seit der Version 19 unterstütz Nextcloud WebAuthn nach dem FIDO2-Standard. Damit kann der User sich mit einem Hardwaretoken anmelden, ohne das Nextcloud-Passwort einzugeben.


Auf der Nextcloud-Seite habe ich den Hinweis, der ein wenig versteckt ist hier gefunden:

FIDO2 and WebAuthn compatibility
FIDO2 and WebAuthn compatibility

Quelle des Screenshots: https://nextcloud.com/usermanagement/

Wie funktionierts?

Hier im Blog habe ich bereits mehrfach über den YubiKey 5Ci geschrieben und genau diesen Hardwaretoken verwendet man zu passwortlosen Anmeldung. ( ➡ YubiKey-Beiträge hier im Blog)

YubiKey vorbereiten

Bevor es an die Konfiguration geht, sollte auf dem YubiKey zwingend eine sogenannte “FIDO2 PIN“. Diese PIN wird zuerst abgefragt, bevor der Hardwaretoken für die Anmeldung an der Nextcloud verwendet werden kann. Dadurch wird verhindert, dass Dritte die sich im unautorisiert im Besitz eures YubiKeys befinden sich in eurem Namen an der Nextcloud anmelden können.


Der PIN ist vergleichbar mit dem Masterpasswort für einen Passwortmanager, ohne die PIN erhält Nextcloud keinen Zugriff auf den YubiKey zum Auslesen der Anmeldedaten.
Wenn man es also genau nimmt, dass ist die Anmeldung nicht ganz passwortlos, sondern erst nach Eingabe des FIDO2 PINs, erfolgt eine passwortlose Anmeldung an der Nextcloud.


Ihr könnt mit dem neuen Tool “YubiKey Manager” von yubico sehr einfach einen FIDO2 PIN für euren Hardwaretoken setzen.
Das bisherige Tool “YubiKey Personalization Tool” wird nicht mehr aktiv weiterentwickelt und wurde durch den neuen, aufgeräumteren YubiKey Manager ersetzt.


Ladet euch das Programm von der offiziellen Seite herunter und installiert es auf eurem PC.
https://www.yubico.com/products/services-software/download/yubikey-manager/


Nach der Installation könnt ihr es sofort starten.
Achtung ggf. benötigt das Tool Administratorenrechte zum fehlerfreien Betrieb.

FIDO2 PIN
FIDO2 PIN

Nachdem ihr den PIN gesetzt habt, könnt ihr den YubiKey zur WebAuthn-Anmeldung in der Nextcloud hinterlegen.

YubiKey zur WebAuthn-Anmeldung in Nextcloud hinzufügen

Meldet euch an eurer Nextcloud_Instanz wie gewohnt an. Anschließend hangelt ihr euch bis zu den Sicherheitseinstellungen durch:


Euer Benutzer (oben rechts) –> Einstellungen –> Sicherheit


Dort fügt ihr über den Button “WebAuthn-Gerät hinzufügen” euren YubiKey für die Anmeldung hinzu, indem ihr den Anweisungen folgt.

WebAuthn konfigurieren
WebAuthn konfigurieren

Nach erfolgreicher Konfiguration könnt ihr euch sofort passwortlos an eurer Nextcloud anmelden.

Eure eignene Nextcloud – hier gehts zur Installationsanleitung

Möchtet ihr eure eigene Nextcloud-Instanz auf einem Raspberry Pi betreiben?
Dann findet ihr hier im Blog eine Schritt-für-Schritt-Anleitung für die Installation.
Nextcloud auf dem Raspberry Pi

Meine verwendete Hardware

Amazon Affiliate Link (Werbelinks)

YubiKey 5Ci Kauf auf Rechnung

Weiterführende Links

  1. FIDO2: Web Authentication (WebAuthn)
  2. FIDO2: WebAuthn & CTAP

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.