Die digitale Welt wird immer komplexer, und mit ihr wachsen die Anforderungen an die Sicherheit unserer Online-Identitäten. Passwörter, einst der unangefochtene Standard, zeigen zunehmend ihre Schwächen: Sie sind anfällig für Phishing, können geleakt werden oder sind schlichtweg zu schwach. Glücklicherweise gibt es eine Revolution am Horizont, die bereits in vollem Gange ist: die Passkeys, basierend auf dem Webauthn-Standard. Wenn Sie Nextcloud nutzen, haben Sie vielleicht schon festgestellt, wie nahtlos und sicher die Anmeldung mit einem Passkey oder einem FIDO2-Sicherheitsschlüssel funktioniert.
Sie halten Ihren Finger auf den Sensor, Ihr Gesicht vor die Kamera oder tippen eine PIN ein – und schon sind Sie in Ihrer Nextcloud-Instanz angemeldet. Kein Passwort, keine Angst vor Phishing. Ein Gefühl von Erleichterung und Sicherheit breitet sich aus. Doch eine Frage bleibt oft unbeantwortet, ein kleines, aber wichtiges Detail, das viele Nutzer beschäftigt: Wenn ich keinen Benutzernamen und kein Passwort mehr eingebe, wo ist dieser „Passkey” – oder genauer gesagt, der geheime Teil, der mich identifiziert – eigentlich gespeichert? Ist er auf dem Nextcloud-Server? In meinem Browser? In der Cloud? Dieses Rätsel wollen wir heute lüften und Ihnen einen tiefen Einblick in die faszinierende Welt der Webauthn-Technologie und der Speicherung Ihrer digitalen Schlüssel geben.
Was ist Webauthn/Passkey überhaupt? Eine kurze Einführung
Bevor wir uns dem Speicherort widmen, ist es wichtig, die Grundlagen von Webauthn (Web Authentication) zu verstehen. Webauthn ist ein offener Webstandard, der vom World Wide Web Consortium (W3C) und der FIDO (Fast Identity Online) Alliance entwickelt wurde. Er ermöglicht die passwortlose Authentifizierung mithilfe von Kryptografie mit öffentlichen Schlüsseln, auch bekannt als Public-Key-Kryptografie.
Im Kern funktioniert Webauthn mit zwei Schlüsseln: einem privaten und einem öffentlichen Schlüssel. Diese Schlüssel sind mathematisch miteinander verbunden, können aber nicht voneinander abgeleitet werden. Das System ist genial einfach und doch extrem sicher:
- Der private Schlüssel: Das ist Ihr Geheimnis. Er wird niemals den Ort verlassen, an dem er erzeugt wurde, und wird auch niemals an einen Server gesendet. Er wird verwendet, um eine digitale Signatur zu erstellen, die beweist, dass Sie der rechtmäßige Inhaber sind.
- Der öffentliche Schlüssel: Dieser Schlüssel kann öffentlich geteilt werden. Er wird vom Server verwendet, um die digitale Signatur zu überprüfen, die mit Ihrem privaten Schlüssel erstellt wurde.
Wenn Sie sich mit Webauthn bei Nextcloud anmelden, sendet der Server eine zufällige „Challenge” (Herausforderung) an Ihren Browser. Ihr Browser fordert dann Ihren Authentifikator (z.B. Ihr Smartphone, einen Sicherheitsschlüssel oder Ihr Betriebssystem) auf, diese Challenge mit Ihrem privaten Schlüssel zu signieren. Die resultierende digitale Signatur wird zusammen mit Ihrem öffentlichen Schlüssel-ID an den Nextcloud-Server zurückgesendet. Der Server überprüft die Signatur mit dem bei ihm hinterlegten öffentlichen Schlüssel – und wenn alles übereinstimmt, sind Sie angemeldet. Dies alles geschieht im Hintergrund, blitzschnell und ohne Ihr Zutun.
Passkeys sind im Wesentlichen eine Weiterentwicklung und Nutzeroberflächen-Optimierung des Webauthn-Standards. Sie zielen darauf ab, die Nutzung von Webauthn noch einfacher und geräteübergreifender zu gestalten, indem sie oft eine Synchronisierung des privaten Schlüssels über die Ökosysteme (Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator) hinweg ermöglichen, ohne dabei Kompromisse bei der Sicherheit einzugehen.
Nextcloud und Webauthn: Eine perfekte Symbiose
Nextcloud, die selbst gehostete Open-Source-Plattform für Dateisynchronisation, Kommunikation und Produktivität, hat die Vorteile von Webauthn frühzeitig erkannt. Da Datensouveränität und Sicherheit zentrale Pfeiler der Nextcloud-Philosophie sind, ist die Integration von Webauthn eine logische Konsequenz. Sie bietet Nutzern eine überlegene Alternative zur traditionellen passwortbasierten Anmeldung und kann auch als robuste Form der Zwei-Faktor-Authentifizierung (2FA) eingesetzt werden, die weit über herkömmliche OTPs (One-Time Passwords) hinausgeht.
Die Einrichtung in Nextcloud ist denkbar einfach: In Ihren persönlichen Sicherheitseinstellungen können Sie neue Webauthn-Geräte registrieren. Während dieses Prozesses wird ein Schlüsselpaar generiert – der öffentliche Schlüssel wird auf dem Nextcloud-Server gespeichert, während der private Schlüssel sicher auf Ihrem Gerät verbleibt oder erzeugt wird. Von diesem Zeitpunkt an können Sie sich mit nur einem Fingerabdruck, einer Gesichtserkennung oder einem Hardware-Sicherheitsschlüssel anmelden.
Das große Rätsel gelöst: Wo ist der Passkey wirklich gespeichert?
Jetzt kommen wir zum Kern der Sache. Die kurze und entscheidende Antwort lautet: Ihr privater Passkey (der private Schlüssel) wird niemals auf dem Nextcloud-Server gespeichert. Das ist ein grundlegendes Sicherheitsmerkmal von Webauthn. Der Nextcloud-Server speichert lediglich den öffentlichen Schlüssel, der öffentlich und ungefährlich ist, sowie einige Metadaten (z.B. eine ID für Ihr Authentifizierungsgerät), um Ihre Anmeldeversuche zu verifizieren.
Wo aber ist der private Schlüssel dann? Er ist sicher auf Ihrem Authentifikator hinterlegt. Ein Authentifikator ist das Gerät oder die Software, die den privaten Schlüssel generiert, speichert und für die Signierung von Anmeldeanfragen verwendet. Hier sind die gängigsten Speicherorte:
1. Im Hardware-Sicherheitselement Ihres Geräts (TPM, Secure Enclave, Titan M)
Dies ist die sicherste und am weitesten verbreitete Methode für moderne Geräte. Viele aktuelle Smartphones, Tablets und Computer verfügen über dedizierte Hardware-Sicherheitselemente, die speziell für kryptografische Operationen und die sichere Speicherung sensibler Daten entwickelt wurden. Beispiele hierfür sind:
- Trusted Platform Module (TPM): In vielen PCs und Laptops integriert. Ein TPM ist ein Kryptoprozessor, der kryptografische Schlüssel sicher aufbewahrt und schützt. Es verhindert, dass private Schlüssel extrahiert oder manipuliert werden.
- Apple Secure Enclave: Ein dedizierter, isolierter Co-Prozessor in Apple-Geräten (iPhones, iPads, Macs). Die Secure Enclave verfügt über einen eigenen kleinen sicheren Bootloader und ist kryptografisch vom Rest des Systems getrennt. Auch wenn das Hauptbetriebssystem kompromittiert würde, blieben die dort gespeicherten Schlüssel sicher.
- Google Titan M Security Chip: Ähnlich der Secure Enclave in Google Pixel-Smartphones, sorgt dieser Chip für eine sichere Schlüsselgenerierung und -speicherung.
Wenn Sie sich mit Biometrie (Fingerabdruck, Gesichtserkennung) oder einer Geräte-PIN authentifizieren, wird die Freigabe des privaten Schlüssels für die Signierung des Challenges durch dieses Hardware-Sicherheitselement verwaltet. Der Schlüssel selbst verlässt das Element nie.
2. In dedizierten Hardware-Sicherheitsschlüsseln (FIDO2-Sticks)
Spezielle USB-, NFC- oder Bluetooth-Hardware-Schlüssel, wie die von Yubico (YubiKey), SoloKeys oder Google Titan Security Key, sind ebenfalls Authentifikatoren. Diese Geräte verfügen über einen eigenen, manipulationssicheren Chip, der die Schlüsselpaare generiert und speichert. Der private Schlüssel wird direkt auf diesem Hardware-Schlüssel erzeugt und verbleibt dort. Er kann nicht ausgelesen werden. Wenn Sie diesen Schlüssel zum Anmelden verwenden, erfolgt die Signatur direkt auf dem Stick, und nur die Signatur wird an den Computer gesendet.
3. Im Betriebssystem-eigenen Credential Manager/Passkey Manager
Moderne Betriebssysteme wie Windows, macOS, Android und iOS bieten integrierte Manager für Anmeldeinformationen (Credentials). Diese Systeme haben begonnen, Webauthn-Passkeys zu unterstützen und zu synchronisieren:
- Windows Hello: Unter Windows 10/11 können Sie Passkeys im Zusammenhang mit Windows Hello (Biometrie, PIN) speichern. Die Schlüssel liegen dann sicher im TPM oder in einem softwarebasierten, verschlüsselten Container des Betriebssystems.
- macOS Schlüsselbund (Keychain): Auf Apple-Geräten werden Passkeys sicher im Schlüsselbund gespeichert, der durch die Secure Enclave geschützt ist. Über die iCloud-Synchronisierung können diese Passkeys verschlüsselt und sicher auf andere Apple-Geräte synchronisiert werden, ohne dass Apple selbst Zugriff auf die unverschlüsselten privaten Schlüssel hat.
- Android Credential Manager / Google Password Manager: Android bietet eine ähnliche Funktionalität, bei der Passkeys sicher im System gespeichert und optional über den Google Password Manager synchronisiert werden können. Auch hier erfolgt die Synchronisierung Ende-zu-Ende-verschlüsselt.
- iOS Passwords: Auf iOS-Geräten werden Passkeys ebenfalls sicher über den Geräte-eigenen Mechanismus verwaltet und können via iCloud-Schlüsselbund synchronisiert werden.
Diese Manager nutzen oft die unter Punkt 1 genannten Hardware-Sicherheitselemente, um ein Höchstmaß an Schutz zu gewährleisten. Die Synchronisierung über Cloud-Dienste ist dabei Ende-zu-Ende-verschlüsselt, was bedeutet, dass selbst der Dienstanbieter (Apple, Google) keinen Zugriff auf die unverschlüsselten privaten Schlüssel hat.
4. Im Browser (seltener für dauerhafte Passkeys)
Einige Browser könnten theoretisch auch eigene, softwarebasierte Speicher für Webauthn-Anmeldeinformationen bieten, allerdings sind diese in der Regel weniger sicher als Hardware-Lösungen oder Betriebssystem-Integrationen. Für Passkeys, die über Ökosysteme hinweg synchronisiert werden, greifen Browser typischerweise auf die Betriebssystem-Mechanismen (z.B. Google Chrome auf den Google Password Manager oder Windows Hello) zurück.
Zusammenfassend: Das Nextcloud-Server speichert nur den öffentlichen Schlüssel
Der Nextcloud-Server ist lediglich der Empfänger und Prüfer der Signaturen. Er speichert eine Liste Ihrer öffentlichen Schlüssel, die Sie bei der Registrierung generiert haben. Wenn Sie sich anmelden, sendet Ihr Authentifikator eine mit dem privaten Schlüssel signierte Nachricht an den Server. Der Server nutzt den gespeicherten öffentlichen Schlüssel, um zu prüfen, ob die Signatur gültig ist und ob sie vom korrekten privaten Schlüssel stammt. Dieses Design ist extrem sicher, da ein Diebstahl von Daten auf dem Nextcloud-Server niemals zu einem Diebstahl Ihres privaten Schlüssels führen kann.
Sicherheit und Komfort im Einklang
Die Speicherung des Passkeys (genauer gesagt des privaten Schlüssels) auf dem Endgerät oder in einem spezialisierten Hardware-Sicherheitsschlüssel ist der Grundstein für die überlegene Sicherheit von Webauthn gegenüber Passwörtern. Hier sind die Hauptvorteile:
- Phishing-Resistenz: Da der private Schlüssel niemals den Authentifikator verlässt und der Authentifikator während des Anmeldevorgangs die genaue URL der Website überprüft, ist es nahezu unmöglich, Sie durch eine gefälschte Website (Phishing) zur Preisgabe Ihrer Anmeldedaten zu verleiten.
- Keine Server-Side-Secrets: Selbst wenn der Nextcloud-Server gehackt wird, sind Ihre privaten Schlüssel sicher. Es gibt keine Passwörter oder privaten Schlüssel, die Cyberkriminelle stehlen könnten.
- Benutzerfreundlichkeit: Die Anmeldung ist oft schneller und einfacher als das Eingeben eines komplexen Passworts. Ein Fingerabdruck, eine Gesichtserkennung oder das Antippen eines Sicherheitsschlüssels sind intuitive Gesten.
- Starke Kryptografie: Die zugrunde liegende Public-Key-Kryptografie ist extrem robust und widerstandsfähig gegen Brute-Force-Angriffe.
Praktische Tipps für Nextcloud-Nutzer
Nachdem wir das Rätsel um den Speicherort gelöst haben, hier noch ein paar praktische Ratschläge, um Ihre Nextcloud-Sicherheit mit Webauthn/Passkeys optimal zu nutzen:
- Registrieren Sie mehrere Authentifikatoren: Für den Fall, dass Sie Ihr Hauptgerät verlieren oder es beschädigt wird, ist es ratsam, mindestens einen weiteren Webauthn-Schlüssel zu registrieren. Das kann ein zweiter Hardware-Schlüssel, Ihr Smartphone oder ein anderes Gerät sein. Dies dient als wichtige Wiederherstellungsoption.
- Verstehen Sie die Backup-Strategie Ihres Authentifikators: Wenn Sie Passkeys nutzen, die über Cloud-Dienste (iCloud Keychain, Google Password Manager) synchronisiert werden, stellen Sie sicher, dass diese Konten gut geschützt sind (starke Passwörter und ggf. 2FA für diese Konten selbst). Die Synchronisierung ist zwar Ende-zu-Ende-verschlüsselt, aber ein Verlust des Zugriffs auf Ihr primäres Cloud-Konto könnte den Zugriff auf Ihre synchronisierten Passkeys erschweren.
- Bewahren Sie Hardware-Schlüssel sicher auf: Wenn Sie dedizierte FIDO2-Sicherheitsschlüssel verwenden, behandeln Sie diese wie physische Schlüssel zu Ihrem Haus – verlieren Sie sie nicht und lassen Sie sie nicht unbeaufsichtigt.
- Alternative Anmeldemethoden bereithalten: Auch wenn Webauthn die primäre Methode sein sollte, ist es oft ratsam, eine Notfallmethode (z.B. TOTP-App als Backup-2FA oder einmalige Wiederherstellungscodes) in Nextcloud zu hinterlegen, für den unwahrscheinlichen Fall, dass alle Ihre Authentifikatoren unerreichbar sind.
Fazit
Die Einführung von Webauthn und Passkeys markiert einen Wendepunkt in der digitalen Authentifizierung. Die Tatsache, dass Ihr privater Schlüssel niemals den Authentifikator verlässt und niemals auf dem Nextcloud-Server gespeichert wird, ist nicht nur ein technisches Detail, sondern die Grundlage für eine fundamental sicherere und benutzerfreundlichere Online-Erfahrung. Sie müssen sich keine Sorgen mehr machen, dass Ihr Passwort von einem Server gestohlen wird, denn es gibt keines, das gestohlen werden könnte.
Ihr Nextcloud Webauthn/Passkey ist sicher in den Tiefen eines Hardware-Sicherheitselements Ihres Geräts, in einem dedizierten Sicherheitsschlüssel oder im verschlüsselten Bereich Ihres Betriebssystems gespeichert. Dieser dezentrale Ansatz macht es für Angreifer exponentiell schwieriger, Ihre Identität zu kompromittieren. Genießen Sie die erhöhte Sicherheit und den Komfort, den diese Technologie bietet, und wissen Sie nun genau, wo Ihr digitaler Schlüssel – Ihr Passkey – sein sicheres Zuhause gefunden hat.