Nextcloud zweifaktor mit Papier

Hallo zusammen,

weiß jemand, ob es auch ein Addon für die Nextcloud gibt mit zweitem Faktor auf Papier?
Wir planen Zweifaktorauth zu erzwingen: aber wir wissen, dass es einen Lehrer gibt, der dann ein Diensthandy haben will für die TOTP App.
Kann ich dem den zweiten Faktor auf Papier liefern, so wie bei ASV-Neo (Noteneingabe Online).

Ich hab gesehen dass es auch 2FU gibt: mit einem ubikey: das wäre sonst auch noch eine Möglichkeit…

LG

Holger

Hallo Holger,

das ist jetzt eine Frage, die du sicher nicht hören willst. Dennoch: Was versprichst du dir von 2FA?

  • Über die App geht das sowieso nicht. - Hier würde ich App-Passwörter aktivieren
  • Über den Browser legst du die Hürde für eine Nutzung höher. - Hmmmm
  • Um personenbezogenen Daten unverschlüsselt in der Cloud zu speichern? - Hmmmm

Das Problem mit der Papierliste ist ja gerade, dass die Nummern nie ungültig werden. Geraten sie in falsche Hände, kann beliebig lange Missbrauch getrieben werden.

Für Admin-Konten oder Gruppenadministratoren kann ich 2FA verstehen. Da muss ja aber viellieicht nicht gerade so Jemand gesetzt sein.

Auf deine Frage habe ich leider keine konstruktive Antwort.

LG mcteefax

Hallo McTeefax,

das ist jetzt eine Frage, die du sicher nicht hören willst. Dennoch: Was
versprichst du dir von 2FA?

  • Über die App geht das sowieso nicht. - Hier würde ich App-Passwörter
    aktivieren
  • Über den Browser legst du die Hürde für eine Nutzung höher. - Hmmmm

genau das ist das Ziel.

  • Um personenbezogenen Daten unverschlüsselt in der Cloud zu
    speichern? - Hmmmm

Genau: um Daten zu schützen.

Das Problem mit der Papierliste ist ja gerade, dass die Nummern nie
ungültig werden.

warum nicht?
Ich dachte die Listen sind genau dafür da: die nächste Liste muss man
mit einem PIN der vorherigen aktivieren: so war das früher mal bei
meiner Bank …

Geraten sie in falsche Hände, kann beliebig lange
Missbrauch getrieben werden.

wenn die PINs nie ablaufen, dann ist das doof, da hast du recht.
Aber das will ich ja auch nicht.

Hintergrund ist, dass ich zwei Schulleitungen gerade erklären mußte, was
passieren kann, wenn Schülker Lehrerlogins bekommen.
Ein Schüler hatte am Lehrerrechner im Computerraum einen
Hardwarekeylogger für 30 EUR zwischen Tastatur und Rechner gesteckt.
Das sieht man nicht: schau mal:

https://smile.amazon.de/KeyGrabber-Forensic-Keylogger-16MB-Hardware-Keylogger/dp/B07SRDP6MP/ref=sr_1_1?__mk_de_DE=ÅMÅŽÕÑ&keywords=keylogger&qid=1564081560&s=gateway&sr=8-1

Und bei meiner Analyse kam heraus, dass moodle keien personenbezogenen
Daten enthält: größte Gefahr ist eigentlich die Nextcloud der einzelnen
Kollegen.

Natürlich kannst du den Kollegen sagen, dass sie ihre Daten dort
verschlüsseln, oder wenigstens Passwörter auf ihre odt Dateien machen:
aber was meinst du wie viele das machen?

Also hab ich gesagt: F2A. Ich selbst nutze TOTP seit bald zwei Jahren in
der Nextcloud: das geht wunderbar.
Die Schulleitung sagte, dann kommen der ein oder andere Kollege mit:
dann will ich aber ein Diensthandy haben. Deswegen die Suche nach einem
zusätzlichen Weg.

Dass F2A nicht vor allem Schützt ist mir schon klar: aber es deswegen
nicht zu machen ist doch auch quark.
Der Zaun um meinen Garten ist 1m Hoch: da kommt eigentlich jeder drüber
der Will: trotzdem hat es noch nie jemand gemacht…

Und wenn die Kollegen bei uns kapieren wie das geht, dann aktivieren sie
das vielleicht auch mal in ihrem Amazon Konto oder bei FaceBook oder
google oder was weiß ich wo.

Und wenn doch irgend wann mal eine SchulCloud kommt, dann wird die F2A
haben: dafür werden die Datenschützer sorgen und ich finds richtig.

LG

Holger

Hallo Holger!
2-F-A sehe ich für die cloud in der personenbezogene Daten liegen können als alternativlos. Rechtlich gibt es hier vermutlich auch keinen Spielraum (siehe Netzbrief für B-W).
Für die Anmeldung ohne App (z.B. freeotp+ ) für Nutzer ohne eigenes Gerät aktivieren wir die 2-F-A mit irgendeinem Gerät und löschen auf dem Gerät gleich wieder den Schlüssel. Für alle weiteren Anmeldungen müssen die Backup-Codes verwendet werden.
Die Backup-Code-Liste verliert nach meiner Kenntnis ihre Gültigkeit, sobald eine Neue erzeugt wird.
Gruß - Rainer

Hallo Rainer,

Für die Anmeldung ohne App (z.B. freeotp+ ) für Nutzer ohne eigenes
Gerät aktivieren wir die 2-F-A mit irgendeinem Gerät und löschen auf dem
Gerät gleich wieder den Schlüssel. Für alle weiteren Anmeldungen müssen
die Backup-Codes verwendet werden.

ha: geniale Idee :slight_smile:

Die Backup-Code-Liste verliert nach meiner Kenntnis ihre Gültigkeit> sobald eine Neue erzeugt wird.

ja: die verliert erst dann die Gültigkeit.
Das bedeutet aber wir hätten die unschöne Situation der „ewig haltbaren
Codes“.
Dann müßte man die Kollegen alle 6 Monate mal dran erinnern die Codes zu
erneuern.

LG

Holger

Hallo Holger,

würden da evtl. auch günstige OTP-Hardware-Token funktionieren, die es teilweise für weniger als 20€ gibt? Falls ja, wäre das imho durchaus etwas, was man den Kollegen zukommen lassen könnte. Deutlich günstiger als ein Diensthandy, was dafür ziemlich “mit Kanonen auf Spatzen geschossen” wäre!?

Aber davon abgesehen: wir hatten an anderer Stelle ja das Thema personenbezogene Daten im Lehrernetz, welches unter gar keinen Umständen physikalisch wie auch immer von Klassenräumen aus erreichbar sein darf. Wenn diese Daten nun aber in der Nextcloud liegen (sollen), die ja von überall erreichbar ist, dann ist das aber doch ein Widerspruch dazu!??? 2FA hin oder her!?

Viele Grüße,
Jochen

Hallo Jochen,

würden da evtl. auch günstige OTP-Hardware-Token funktionieren, die es
teilweise für weniger als 20€ gibt? Falls ja, wäre das imho durchaus
etwas, was man den Kollegen zukommen lassen könnte.

schau ich mir an: Danke für den HInweis.
noch kann ich mir nicht erklären, wie das Token das individuelle Secret
erhalten soll: das wird normalerweise per QR Code übergeben.

Aber davon abgesehen: wir hatten an anderer Stelle ja das Thema
personenbezogene Daten im Lehrernetz, welches unter gar keinen Umständen
physikalisch wie auch immer von Klassenräumen aus erreichbar sein darf.
Wenn diese Daten nun aber in der Nextcloud liegen (sollen), die ja von
überall erreichbar ist, dann ist das aber doch ein Widerspruch dazu!???
2FA hin oder her!?

Ella wäre auch erlaubt gewesen und da gab es eben wegen der pers. Daten
die F2A.
Ich denke nicht, dass das ein Problem ist.

LG

Holger

Hallo Holger,

ist die Benutzung der Cloud Pflicht? Wenn nein, dann soll er/sie halt ohne…
Wenn doch, kriegt die Lehrperson dann auch einen PC für daheim?
Aus meiner Sicht doch eine haltlose Jammerposition…
LG
Max

Hm, ich bin da zwiegespalten:
ich weiß natürlich nicht, was bei dem Kollegen dahintersteckt!? Für mich klingt das nicht so, als wolle er auf Biegen und Brechen ein Diensthandy loseisen, eher danach, dass er vielleicht prinzipiell gegen dieses ganze Digitalisierungsdingens ist und nun versucht, sich durch irgendwelche Forderungen davor zu drücken? Dem sollte man imho durch sanften Druck entgegenwirken, denn es kann heutzutage nicht mehr sein, dass man sich solchen Dingen versperrt, wo gerade wir die Kinder und Jugendlichen auf die (digitale) (Berufs-)Welt da draußen vorbereiten sollen.
Auf der anderen Seite sehe ich aber auch folgendes Argument: die Schule zwingt an der ein oder anderen Stelle die Nutzung verschiedener Dienste auf, sei es Email, Intranet, elektronisches Tagebuch oder Cloud und verlangt ganz klammheimlich, dass dafür selbstverständlich private Geräte eingesetzt werden, „weil die ja eh jede/r hat“…
Nun mag das in 99,9% der Fälle stimmen. Es mag aber immer noch einzelne Analoggallier geben, die nicht über eines der Geräte verfügen und ich kann verstehen, wenn die sich nicht aufzwingen lassen wollen, ein solches extra für die Schule kaufen zu müssen.
Aber noch viel schwerwiegender: ich verwende bis jetzt auch (freiwillig) mein Laptop und Smartphone auch für die und in der Schule. Wenn das aber (beim dienstlichen Gebrauch) mal kaputt gehen sollte oder geklaut wird, wird mir die Schule das Gerät sicherlich nicht ersetzen! Und das ist imho ein tatsächliches Problem, welches dafür spricht, die KuK von schulischer Seite aus mit den notwendigen Digitalisierungsapparillos auszustatten, wie es jetzt bei uns durch die Verteilung von Laptops geschieht.

Viele Grüße,
Jochen

Hallo,

die Cloud ist nicht vorgeschrieben: man kann auch ohne: aber alle wollen
halt den Kalender sehen, der von den Sekretärinnen gepflegt wird.
Man kann natürlich auch im Lehrerzimmer auf den Zettel schauen …
Elektronische Tagebuch haben wir nicht (will ich auch nicht: ich denke,
die haben da etliche Datenschutzbeauftragte besoffen gemacht, dass die
da drüber hinweg sehen).

Was es bei uns “mit mildem Zwang” gibt, ist die dienstliche email
Adresse: 98% der Kollegen sehen das als super Service an.
Zwei nicht… die finden es scheiße.

Wir brauchen aber gar nicht so viel darüber nachdenken, wer was warum
nicht mag.
Manche sind brunsdumm und manche sind einfach Arschlöcher: die finden
auch die Kaffeemaschine im Lehrerzimmer den reinsten Kommunismus: weil
sie von der Schule vorgestreckt wurde und jetzt nach und nach durch die
Tassenpreise abbezahlt wird.

Wie sagte mein Vater öfters mal?
“Nicht ärgern … nur wundern”

LG

Holger

Hallo Holger,

ich habe das so verstanden, dass die Codes nach der Benutzung nicht mehr gültig sind.

Gerade getestet. Zweimal verwenden geht nicht.

Aber: Was ist, wenn man alle Codes aufgebraucht hat und keine neue mehr erstellt. Wie kommt man dann an seinen Account?

Gruß

Alois

Hallo Alois,

ja: die verliert erst dann die Gültigkeit.

ich habe das so verstanden, dass die Codes nach der Benutzung nicht mehr
gültig sind.

Gerade getestet. Zweimal verwenden geht nicht.

um so besser: dann müssen die selbst rechtzeitig dafür sorgen neue Codes
zu erstellen.

LG

Holger

Hallo Holger,

das birgt die Gefahr der Mehrarbeit für den Admin, da keine Mitteilung erfolgt dass alle Codes aufgebraucht sind. Wo tauchen die Kollegen auf, wenn sie sich nicht mehr anmelden können? Richtig, beim Admin!

Gruß

Alois

Hallo Alois,

bislang habe ich bei uns wohl bei uns als einziger 2FA in der NC aktiviert, weil bislang nur optional und nicht verpflichtend.

Ich nutze die TOTP-App von NC in Verbindung mit AndOTP am Smartphone. Für den Fall der Fälle habe ich auch ein Set Einmalcodes („Papiercodes“) erstellt und in meinen Passwort-Safe gelegt.

Für den NC-Admin habe ich auch per 2FA abgesichert, nutze selbst die Smartphone-App und die Einmalcodes als „Backup“ sind auch für die SL hinterlegt, falls sich mal jemand anderes als ich als Admin an NC anmelden muss.

So weit so gut.

Was ich aber noch nicht herausgefunden habe: Wie kann ich als Admin denn einem User, der sich durch 2FA ausgesperrt hat, wieder Zugang zur NC geben? Passwortänderung allein nützt ja nichts.

Wie man 2FA für einen User wieder deaktiviert oder für einen User neue Codes generiert, habe ich noch nicht gefunden.

Vielleicht kann man die Datenbank manipulieren und 2FA für den User dort deaktivieren, aber elegant (und einfach) ist anders.

Wenn also jemand weiß, wie das geht…

Viele Grüße
Steffen

Hallo Steffen,

die Antwort findest Du hier:

https://nimmerland.berlin/blog/2019/01/totp-zweifaktorauthentifizierung/

Stichwort: App-Passwort.

Viele Grüße

Alois

Hallo Alois,

das ist mir bekannt, dient aber ja nur dazu, externen Apps wie Thunderbird/Lightning, DAVx5 oder dem NC-Sync-Client wieder Zugriff auf die Nextcloud zu geben.

Meine Frage war aber: Was passiert, wenn ein KuK 2FA aktiviert, z.B. nur die „Papiereinmalpasswörter“ nutzt, alle aus der Liste verbraucht und keine neuen erzeugt hat? Dann ist er nach Verbrauch des letzten OTP ausgesperrt aus NC und kommt eben zum Admin.

Doch der macht dann was?

Mir fällt eigentlich nur „Datenbankmanipulation“ oder Benutzer löschen und neu anlegen ein.

Viele Grüße
Steffen

Hallo Steffen,

du kannst die 2FA für den User deaktivieren –

sudo -u www-data php occ twofactorauth:disable USERNAME

–, dann sollte der User es wieder aktivieren und neue Codes erstellen können.

Viele Grüße
Christoph

Hallo Christoph,

danke, das ist das, was ich gesucht habe.
Ich sollte mir doch noch mal genauer die ganzen occ-Befehle zu Gemüte führen :slight_smile:

Viele Grüße
Steffen