Die App passwords für Nextcloud/Owncloud nimmt immer mehr Gestalt an und mit dem neuen Release schaut sie in eine sichere Zukunft.
Ich bin ein großer Fan sicherer Passwörter. Sei es eine Tabula Recta, oder auch eine mit GPG geschützte Datei. Seit circa einem Jahr beobachte ich die App passwords unter Nextcloud / Owncloud, welche, wie ich finde, das Management der Passwörter vereinfacht. Mittlerweile gibt es ein funktionierendes Plugin für Mozillas Firefox und der Sourcecode für ein weiteres Plugin für Googles Chrome/Chromium liegt auch schon auf Github. Das neue Release bringt nun eine API mit sich und somit können nun auch Drittanbieter per erlaubten Zugriff die Daten aus der eigenen Wolke nutzen.
Unser Vinz Clortho
Passwords lässt sich ziemlich einfach wie jeder andere App unter Nextcloud / Owncloud via Github und Secureshell installieren und kann dann noch als Administrator global für die Anwender konfiguriert werden. Die direkte Installation via Apps in der administrativen Oberfläche ist noch nicht möglich.
Eine kleine Liste zu den Eigenschaften und Funktionen:
- Pseudogenerierte Passwörter via Javascript Math. random-Funktion, würfeln der Passwörter via Fisher-Yates shuffle.
- Unterstützung von serseitiger, sowie clientseitiger Verschlüsselung, siehe Passwords encryption
- Entschlüsselung nur via Benutzer möglich und mit der gleichen Instanz von Nextcloud / Owncloud, bzw. der Salt in config.php muss der gleiche sein
- Der Administrator kann die Passwörter der Nutzer nicht auslesen
- Ist der Salt nicht mehr vorhanden, sind alle Passwörter verloren
- Kompatible mit KeePass, 1Password, LastPass, SplashID und jeder anderen Anwendung mit der Möglichkeit des Exportes via CSV-File
- Anzeigen der Passwortstärke
- Anzeigen, ab wann ein Passwort wieder geändert werden sollte
- Exportieren der Passwörter in eine Klartextdatei, wenn per administrative Regel erlaubt.
Schlüsselmeister
Für den Benutzer erfolgt das Erstellen der Passwörter sehr transparent. Nach der Eingabe einer URL und dem Anmeldenamen können Passwörter geniert werden und um das Aufsuchen und Filter zu erleichtern bietet das Werkzeug noch das Abspeichern von Notizen und das Anlegen von Kategorien an. Siehe auch die Gallery des Entwicklers.
Wer von einer anderen Anwendung kommt, kann die dort gespeicherter Passwörter als CSV-Datei importieren und hier weiternutzen.
Ein sehr nettes Gimmick ist der automatische Ablauf des Logins nach 60 Sekunden von Nextcloud / Owncloud, wenn man sich in der Anwendung passwords befindet. Ich würde mir eine globale Funktion für Nextcloud / Owncloud in der Form wünschen. Auch das Teilen von Passwörtern mit anderen Nutzern in der eigenen Installation von Nextcloud / Owncloud ist eine gute Lösung, da sich manche Ehepartner/Familien ein Konto bei einem Anbieter teilen.
Wer den Countdown, sowie die Anzeige ändern möchte, kann dies in den Menü persönlich von Nextcloud / Owncloud vornehmen. Hier lassen sich die Anzeige der Benutzernamen, Passwörter und Webseitenfavicons auf Wunsch erlauben und unterbinden.
Addon Firefox
Das Addon unter Firefox bietet bei einem Besuch einer der password Anwendung bekannten Seite den Nutzernamen und das Passwort an. Wenn mehr als ein Nutzername und Passwort gespeichert ist, können diese natürlich ausgewählt werden.
Die Anwendung in Firefox bietet bis das automatische Importieren von Anmeldenamen und Passwörter bei Erstellung eines Konto auf einer neuen Seite noch nicht an.
Das Plugin für Firefox wird nicht mehr angeboten
Hm, das hört sich ja grundsätzlich ganz gut an aaaaber Passwörter in einer Webapplikation speichern?
Bei meinen KeePass Container kann ich mir relativ sicher sein das den keiner mal eben knackt aber hier bin ich mir etwas unsicher.
Wenn sich doch jmd zu meinem Sörver Zugang verschafft hat er auch Zugriff auf den Salt und Zugriff auf die Datenbanken, somit kann er/sie/es alles lesen oder verstehe ich das falsch?
Der KeePass Container der auch hier zentral liegt stellt dann noch eine andere Hürde dar.
Du gehst, akademischer Weise, davon aus, dass sich jemand Zugang zu dem Server verschafft und mit Hilfe des Salts und der Datenbank das Passwort des Users ausliest und dann die Passwörter aus der Datenbank holt um sich dann an anderen Diensten mit deinen Credentials anzumelden?
Ich würde es mir einfach einmal anschauen.
Wirklich interessanter Beitrag. Habe eben auch mal die OwnCloud APP getestet. Funktioniert so weit ausgezeichnet eine Idee ob es das Addon auch für Chrome gibt?
LG Marcel
Hallo Marcel,
Chrome Plugin
Der Link findet sich direkt bei dem Projekt auf Github.
Schau auch mal wegen den Issues vorbei
Vielen Dank!
LG Marcel
Hallo zusammen,
das Plugin ist schon klasse, nur kann ich meine Passwörter nicht von Lastpass korrekt . Jemand einen Schimmer wie das gehen soll?
Hallo Lars, wenn Du nicht richtig fragst, kann ich auch nich trichtig Antworten ;)