TUXEDO Cloud mit 2FA und TOTP oder Sicherheitstoken verwenden - TUXEDO Computers

Als Kunde von TUXEDO Computers erhalten Sie pro gekauften Gerät 10 GByte Speicherplatz in der TUXEDO Cloud. Wenn Sie mehrere Geräte erworben haben, können Sie diesen Speicherplatz auch zusammenlegen. In diesem Hilfeartikel wollen wir Ihnen erklären, wie Sie die myTUXEDO Cloud und damit Ihre Daten gegen unbefugten Zugriff besser schützen können. Hier kommen die Begriffe 2FA und TOTP ins Spiel. Falls Ihnen das spanisch vorkommt, folgt hier eine kurze Begriffserklärung, bevor wir in die Praxis übergehen. 

2FA und TOTP Hand in Hand

2FA steht für Zwei-Faktor-Authentifizierung und bedeutet, dass die Anmeldung bei damit abgesicherten Anwendungen und Diensten neben dem üblichen Passwort einen zweiten Faktor verlangt, ohne den Sie sich nicht anmelden können. Das kann ein Sicherheits-Token wie etwa ein Nitro- oder Yubikey sein oder auch ein zeitlich begrenztes Einmalpasswort (TOTP), das per Mail oder SMS versendet oder über eine App wie „Google Authenticator“ oder das bei F-Droid verfügbare Open-Source-Pendant „FreeOTP Authenticator“ auf einem Smartphone bei Bedarf erzeugt wird. 

Bei der Anmeldung mit einem 2. Faktor wird zwischen Wissen und Besitz unterschieden, wobei Besitz als sicherheitstechnisch höher bewertet wird. Ihr Passwort wissen Sie, aber es kann entwendet oder mitgelesen werden. Einen Nitrokey oder eine App auf Ihrem Smartphone besitzen Sie. Der Aufwand für einen Dieb, beide Faktoren in seinen Besitz zu bringen, ist wesentlich höher, als ein Passwort zu erlangen. Eine jedermann bekannte Umsetzung dieses dualen Konzepts ist etwa die Kombination aus Bankkarte und PIN.

2FA und TOTP einrichten

Falls Sie als Kunde von TUXEDO Computers Ihre myTUXEDO-Cloud noch nicht eingerichtet haben, beginnen wir von vorne. Zunächst registrieren Sie sich auf myTUXEDO, indem Sie den Freischaltcode verwenden, der hinten auf dem im Lieferumfang Ihres Geräts befindlichen Heftchen „Startklar mit Tux“ zu finden ist. Nach dem Erhalt der Bestätigungs-Mail können Sie sich in Ihrer Tuxedo-Cloud anmelden, hinter der eine angepasste Nextcloud steht.

Sicherheitstoken: Nitrokey oder Yubikey

Der von der Anwendung her komfortabelste Weg, 2FA zu nutzen ist die passwortlose Anmeldung mittels eines Sicherheitstokens nach dem FIDO2-Standard. Dafür müssen Sie beim erstmaligen  Einrichten unter Umständen zwei zusätzliche Schritte gehen. Es können hierzu unter anderem Token der Hersteller Nitrokey oder Yubikey verwendet werden. 

Sind Sie im Besitz eines solchen Tokens, dann richten Sie diesen in den Einstellungen Ihrer Cloud im Untermenü „Sicherheit“ unter „Authentifizierung ohne Passwort“ ein. Stecken Sie Ihr USB-Token in das Gerät, auf dem Sie myTUXEDO nutzen möchten. Dann klicken Sie auf den Schalter „WebAuthn-Gerät hinzufügen“. Daraufhin erscheint ein Fenster mit der Aufforderung, auf Ihren Sicherheitsschlüssel zu tippen. Damit ist Ihr Token gemeint, auf das Sie nun im eingesteckten Zustand kurz mit dem Finger tippen. Daraufhin können Sie einen Namen vergeben und klicken anschließend auf „Hinzufügen“. Daraufhin sollte die passwortlose Anmeldung bereitstehen. Dabei gleichen beim Anmelden die Anwendung und das Token einen bei der Einrichtung erstellten Schlüssel ab.

Bei der Anmeldung geben Sie nun nicht mehr Nutzernamen und Passwort ein, sondern klicken zunächst auf „Mit einem Gerät anmelden“. In der sich öffnenden Maske tragen Sie Ihren Nutzernamen oder die verwendete E-Mail-Adresse ein und klicken auf „Anmelden“. Nun erscheint ein Popup, dass Sie auffordert, Ihr Sicherheits-Token anzustecken und kurz darauf zu tippen. Daraufhin werden Sie ohne Passwort eingeloggt. Sollte dies bei Ihnen nicht auf Anhieb funktionieren, müssen Sie noch eine Udev-Regel importieren. Folgen Sie dazu bitte der ausführlichen Anleitung in diesem YouTube-Video. Alternativ folgen Sie dieser Anleitung ab der Kapitelüberschrift „Hardware-Einrichtung unter Linux“. Falls Sie Firefox verwenden, müssen Sie zusätzlich das Paket pamu2fcfg installieren und einmalig ausführen.

2FA per TOTP in Verbindung mit SMS oder Authenticator-App einrichten

Die Einrichtung von 2FA in Verbindung mit TOTP per SMS oder einer der oben erwähnten Authenticator-Apps findet ebenfalls in den Einstellungen unter dem Reiter „Sicherheit“ statt. Aber zunächst installieren Sie auf Ihrem Smartphone eine der oben erwähnten Authenticator-Apps. Dann setzen Sie unter Einstellungen | Sicherheit einen Haken bei „TOTP aktivieren". Daraufhin wird Ihr TOTP-Schlüssel erzeugt und angezeigt. Am einfachsten ist es, diesen mit der QR-Scan-Funktion der installierten Authenticator-App einzulesen, um die Verbindung von myTUXEDO und der App herzustellen. Sie können den Code aber auch manuell in der App eintragen. 

Wenn das erledigt ist, können Sie anhand des in der App angezeigten 2. Faktors überprüfen, ob die Verbindung funktioniert, indem Sie den 2. Faktor in das Eingabefeld vor dem Schalter „Überprüfen“ eingeben und darauf klicken. Wenn das erfolgreich war, dann ist der Vorgang abgeschlossen. Wenn Sie sich künftig in Ihrer myTUXEDO-Cloud anmelden, wird neben Ihrem Passwort auch die Eingabe des 2. Faktors abgefragt. 

Achtung: Bitte erzeugen Sie abschließend die angebotenen Backup-Codes und verwahren diese an einem sicheren Ort. Sollte Ihr Rechner streiken oder Sie Ihr Smartphone zurücksetzen müssen, so haben Sie mit den Codes immer noch Zugriff auf ihre TUXEDO Cloud.