2FA über FIDO2 / WebAuth einrichten

Becker884

Hallo,
ich wollte 2FA über den Fingerabdruck meines S24 einrichten, kriege es aber nicht hin.
Bevor ich weiter rum probiere, wollte ich vorab fragen ob es überhaupt möglich ist oder ich auf dem Holzweg bin.
Windows PC -> Mailcow UI -> WebAuthn-Authentifizierung -> Starte Validierung. Hier soll ein QR Code kommen, den ich mit dem S24 scannen kann, leider kommt immer nur eine Aufforderung einen USB Stick einzustecken.

Ziel ist es mich später am PC einzuloggen und dann (wie beim Online Banking) per Fingerabdruck auf dem S24 zu bestätigen.

Frage: geht das ?

esackbauer

Nein, wie soll denn dein Handy wissen dass es nun den PC authentifizieren soll? WebAuthn wird jeweils lokal gemacht. Man kann aber mehrere einrichten, einen fürs Handy, einen fürn PC.

Becker884

esackbauer wie soll denn dein Handy wissen dass es nun den PC authentifizieren soll?

tja das weiß ich auch nicht, die google-authenticator App weiß es ja auch.. kein Plan.

Also geht das was ich vor hatte nicht !?!

Den USB Stick wollte ich nicht kaufen und Windows Hello nutze ich auch nicht.

Demnach bleibt nur die Authenticator App (Google) oder sehe ich das falsch?

esackbauer

Nein, meines Wissens nach geht das nicht:
https://docs.mailcow.email/de/manual-guides/mailcow-UI/u_e-mailcow_ui-tfa/
Da steht eigentlich nur was von FIDO hardware Tokens.

Ich verwende TOTP mit Bitwarden, der kann auch TOTP Authentikator sein. Der erzeugt die 6-stellige Zahl egal auf welche Gerät ich bin und legt sie in die Zwischenablage. Natürlich füllt der auch user/passwort aus.

Viel einfacher geht es eigentlich nur noch mit Passkey, aber das unterstützt ja mailcow noch nicht.

Becker884

Wenn es sicher sein soll, bleibt also doch nur der USB Stick.
Der günstigste wäre: der für 33€.

mlcwuser

Becker884 Wenn es sicher sein soll, bleibt also doch nur der USB Stick.

TOTP ist nicht per se unsicher. Du musst auch nicht zwingend den Google Authenticator verwenden. Es gibt viele TOTP-Apps. Ich nutze beispielsweise diese: https://getaegis.app/.

Alternativ kannst du auch einen Passwortmanager nutzen, der TOTP unterstützt, wie es @esackbauer macht. Dabei muss man halt abwägen, ob man für mehr Komfort „alle Eier in einem Korb“ haben will oder die TOTP-Codes nicht doch lieber in einer separaten App generiert.

Betreffend passwortloses Login bzw. FIDO2/Webauthn als 2FA-Methode. Ja, da unterstützt Mailcow die neueren, softwarebasierten Passkeys leider noch nicht. Darum wird das via Fingerabdruck auf dem Samsung ziemlich sicher nicht funktionieren, genauso wie Passkeys via Passwortmanager etc. auch nicht mit Mailcow funktionieren.

Im Moment geht also nur Benutzername/Passwort plus TOTP oder HW-Key als 2FA und/oder passwortloses Login mit HW-Key.

Der günstigste wäre: der für 33€.

Nitrokey hat einen für 29€ (Nirokey Passkey): https://www.nitrokey.com/de/produkte/nitrokeys

esackbauer

mlcwuser Alternativ kannst du auch einen Passwortmanager nutzen, der TOTP unterstützt, … muss man halt abwägen, ob man für mehr Komfort „alle Eier in einem Korb“ haben will oder die TOTP-Codes nicht doch lieber in einer separaten App generiert.

Ich sehe keinen Grund für eine separate App, wenn das Öffnen des Passwortmanagers bereits 2FA hat.
Sicher man kann Szenarien aufzeigen die auch Probleme damit zeigen, aber ich bin nicht in der Risikoklasse “staatlicher Whistleblower”, “Geheimdienst” oder “Militär” 😉
zudem verwende ich Authentik als SSO Lösung, die zwangsweise 2FA macht für alle Dienste die darüber bei mir angemeldet werden.
Viel gefährlicher sind Long-lived Token die z.b. die Dienste bei Facebook/Google/Youtube etc. angemeldet halten. Damit lässt sich u.U. die komplette digitale Identität übernehmen.

Becker884

Vielen Dank euch.
Habe mich Aegis entschieden.
So wie ich das verstanden habe, ist das einzigste bei TOTP eine gefälschte URL.

mlcwuser

Ja, wie gesagt, da muss man halt die Risiken abwägen. Ich persönlich sehe es auch nicht so extrem dramatisch. Und 2FA im Passwortmanager schützt dich ja immer noch, wenn dein Passwort auf anderem Wege geleakt wird.

Schafft es hingegen jemand, Zugriff auf den Inhalt deines Passwortmanagers zu erhalten, hat er dadurch natürlich auch Zugriff auf die TOTP-Secrets. Oder anders herum: Wären die TOTP-Secrets nicht im Passwortmanager gewesen, hätte dich das davor bewahren können, dass der Angreifer Zugriff auf diese Accounts erhält.

Ein kompromittierter Passwortmanager ist allerdings per se schon der Super-GAU. So gesehen darf das halt einfach nie passieren. 😉

esackbauer Viel gefährlicher sind Long-lived Token die z.b. die Dienste bei Facebook/Google/Youtube etc. angemeldet halten. Damit lässt sich u.U. die komplette digitale Identität übernehmen.

Ja das ist so, wenn jemand an die kommt, hilft auch die stärkste Authentifizierung nicht mehr.

Becker884

ich habe nur für den admin die 2FA aktiviert, für die Nutzer kann man das jeweils auch noch tun oder?
Wenn ja, dann hat man auf SoGo nur noch Zugriff per 2FA und muss ein s.g. App Passwort erstellen für Thunderbird oder habe ich das falsch verstanden?

DocFraggle

Becker884 Genau so