2-Faktor-Authentifizierung der nächsten Generation

Sicherheit ist weiterhin ein zentrales Anliegen der Nextcloud-Anwender. Um den Schutz von Nextcloud-Servern zu verbessern, ermöglicht diese Version Administratoren, die Zwei-Faktor-Authentifizierung global oder gruppenweise zu steuern und durchzusetzen. Neu sind auch Einmalcodes für Systemadministratoren, die verwendet werden, wenn der 2. Faktor nicht verfügbar ist.

Alle Benutzer werden gewarnt, ihre Einmalcodes so schnell wie möglich zu generieren und an einem sicheren Ort aufzubewahren. Administratoren haben Befehlszeilensteuerung über 2FA, falls sie oder Benutzer aus ihrem Konto ausgesperrt werden.

Um den Aufwand für die Verwendung des zweiten Faktors für die sichere Authentifizierung zu verringern, können Benachrichtigungen von bereits authentifizierten Geräten als zweiter Faktor verwendet werden. Auf diese Weise kann ein mobiles Gerät die Authentifizierung in einem Browser genehmigen, oder der Desktop-Client kann die Authentifizierung auf einem Telefon genehmigen. Der Benutzer erhält einfach eine Benachrichtigung und kann sie genehmigen.

Weitere Härtung von Nextcloud

Um Nextcloud weiter zu härten, bringt diese Version strengere CSP (Content Security Policy) Regeln, die einen noch tieferen Schutz vor Cross-Site Scripting Schwachstellen bieten. Die dritte Generation unserer App-Tokens verbessert das Handling bei externer Passwortänderung. Dies reduziert die Anzahl der Benutzer, die ihre Client-Anwendungen neu autorisieren müssen, da die Clients automatisch neu autorisiert werden können, sofern eines der Benutzer-Logins gültig ist.

Details zu CSP und App Token V3

Unser CSP erlaubt standardmäßig kein unsafe-eval mehr. Dies blockiert die eval-Funktion von Javascript. Entwickler können effektiv nicht mehr
Text als Anweisungen interpretieren. Sie könnten

eval('alert(1)')

Und es würde einfach funktionieren. Jetzt ist das nicht mehr so. Das bedeutet, dass App-Entwickler ihre App aktualisieren und diese Einschränkung berücksichtigen müssen. Aber Code-Injection-Angriffe durch einen Hacker werden mit unserem strengeren CSP deutlich schwieriger.
In den letzten 2 Jahren entwickelte sich unsere App-Token-Technologie von App-Token, die immer dann ungültig wurden, wenn der Benutzer sein Passwort änderte (V1), zu App-Token mit öffentlichem Schlüssel, die bei Passwortänderung aktualisiert wurden (V2). V3 ist angepasst, um mit LDAP oder anderen externen Authentifizierungsmechanismen zu arbeiten. Während wir die App-Token noch nicht aktualisieren können, wenn Sie Ihr LDAP-Passwort ändern, werden bei der ersten Anmeldung im Web oder einem beliebigen Client alle App-Token aktualisiert.

Wenn Sie Fragen haben, wenden Sie sich bitte an unseren Support überIhren Kundenbereich.

©2022 LivSmart

Kontaktieren Sie uns

Senden Sie uns eine Nachricht

Sending

Log in with your credentials

Forgot your details?