App-Passwörter sind separate Passwörter, die nur eine bestimmte App oder ein Gerät verwenden darf — nicht Dein Account-Passwort. Sie sind die richtige Lösung für Desktop-Client, Mobile-App, WebDAV-Mounts, CalDAV-Sync und alles andere, das automatisiert auf Nextcloud zugreift.
Warum App-Passwörter
Drei Gründe:
1. 2FA-Kompatibilität
Wenn Du 2FA aktiviert hast, kann ein Sync-Client nicht jedes Mal nach 2FA-Code fragen — wäre nervig. App-Passwörter umgehen 2FA für die spezifische App, halten aber den 2FA-Schutz für interaktive Logins am Browser.
2. Gezielter Widerruf
Wenn Du Smartphone verlierst, willst Du nur die Sitzung dieses Smartphones beenden — nicht alle anderen Geräte mit Logout zwingen. App-Passwort beenden = nur das eine Gerät trennen.
3. Audit-Sichtbarkeit
In Persönliche Einstellungen → Sicherheit siehst Du alle aktiven App-Passwörter mit Beschriftung. Du kannst nachvollziehen, was wo läuft.
App-Passwörter erstellen
Variante A: Automatisch beim App-Login
Wenn Du Desktop-Client oder Mobile-App verbindest, läuft der Login-Flow durch den Browser:
- App fragt nach Server-URL
- Browser öffnet sich, Du loggst Dich normal ein (mit 2FA falls aktiv)
- Browser fragt: „App soll Zugriff bekommen?” → Bestätigen
- App erhält ein App-Passwort, speichert es lokal
Du brauchst nichts Manuelles zu tun.
Variante B: Manuell (für WebDAV, CalDAV, fremde Tools)
- Browser → Persönliche Einstellungen → Sicherheit → Apps und Sitzungen
- App-Name eintippen (sprechend wählen: „Mac CalDAV”, „Linux Backup-Script”, „Outlook am Büro-PC”)
- Neues App-Passwort erstellen
- Passwort kopieren — wird nur einmal angezeigt
Mit dem App-Passwort und Deinem Username dann in der jeweiligen App einloggen.
App-Passwort widerrufen
Wenn Gerät verloren / gestohlen / nicht mehr genutzt:
Persönliche Einstellungen → Sicherheit → Apps und Sitzungen → Mülleimer-Symbol neben der Sitzung → bestätigen.
Ab sofort kann diese App / dieses Gerät keine Daten mehr abrufen oder ändern.
Der Rest Deiner Sitzungen bleibt unberührt.
Wann ist eigene Benennung wichtig
Wir sehen oft Setups, wo alle App-Passwörter „Nextcloud Client” heißen, weil Default-Name. Bei 5 Geräten weißt Du dann nicht, welches Du widerrufen willst.
Empfehlung: bei jedem Login-Setup einen Geräte-Namen vergeben, der eindeutig ist:
- „MacBook Pro privat”
- „iPhone 13 Mike”
- „Backup-Script Server-VPS”
- „Outlook Büro-PC”
Bei Mobile-/Desktop-Client kannst Du den Namen in den Client-Settings ändern.
Sitzungen vs App-Passwörter — der Unterschied
In Apps und Sitzungen stehen zwei Arten:
- Aktive Browser-Sitzungen — wo Du gerade über Browser eingeloggt bist
- App-Passwörter — Sync-Clients, Mobile-Apps, WebDAV-Tools
Beide kannst Du beenden, aber sie machen nicht ganz dasselbe:
- Browser-Sitzung beenden = der Browser-Tab wird ausgeloggt
- App-Passwort beenden = das Token wird ungültig, App muss neu authentifizieren
In der GUI ist das in einer Liste. Achte beim Beenden, was Du wirklich treffen willst.
Browser-Login — geht der über App-Passwort?
Nein. Browser nutzt Dein normales Account-Passwort plus 2FA (wenn aktiv). App-Passwörter sind nur für nicht-interaktive Apps.
Wenn Du im Browser ein App-Passwort eingibst, wird’s nicht akzeptiert.
Was tun, wenn jemand mein Account-Passwort hat
Account-Passwort ändern:
- Persönliche Einstellungen → Sicherheit → Passwort ändern
- Bei Account-Passwort-Änderung werden alle App-Passwörter automatisch widerrufen — alle Sync-Clients und Mobile-Apps müssen neu einloggen
Das ist Absicht: Bei kompromittiertem Account-Passwort soll niemand mehr existierende Sitzungen nutzen können.
Wenn nur ein App-Passwort kompromittiert (z.B. eine Datei mit Backup-Script-Login wurde geleakt): einfach das eine App-Passwort widerrufen, neues erstellen, im Script eintragen. Account-Passwort bleibt unverändert.
Häufige Fragen
Wie lange sind App-Passwörter gültig? Unbegrenzt — bis Du sie manuell widerrufst oder Dein Account-Passwort änderst. Wir können auf Wunsch automatische Ablauf-Zeiten konfigurieren (z.B. 6 Monate), aber Standard ist „forever”.
Was, wenn ich das App-Passwort verloren habe? Du kannst es nicht wiederherstellen — Nextcloud zeigt es nur einmal beim Erstellen. Lösung: neues App-Passwort generieren, in der App neu eintragen, altes widerrufen.
Kann jemand mit App-Passwort meinen Account übernehmen? Nein. App-Passwörter dürfen nicht ins Admin-Backend, Account-Passwort nicht ändern, 2FA nicht ausschalten. Nur normale Datei- und Sharing-Operationen plus die spezifische App-Funktion.
Ist 2FA nötig, wenn ich App-Passwörter nutze? Empfehlenswert ja. 2FA schützt den Login im Browser und das App-Passwort-Erzeugen — ohne 2FA könnte ein Angreifer mit Account-Passwort weitere App-Passwörter generieren.
Sind App-Passwörter im Browser sichtbar nach Erstellung? Nein. Wir sehen das Passwort selbst nirgends — nur den Namen, das Erstellungsdatum, das letzte Nutzungsdatum.
App-Passwort lässt sich nicht erstellen — Permission denied? Bei Read-only-Accounts oder bestimmten Federation-Setups kann das passieren. Schreib uns ein Ticket, dann checken wir die Account-Konfig.
Push-Notifications und App-Passwörter — Zusammenhang? Mobile-App-Passwort enthält automatisch Push-Token-Berechtigungen. Beim Widerruf der Sitzung verstummt auch Push.
Was sieht der Server-Admin (Ihr) bei App-Passwörtern? Server-Admin sieht: Name des App-Passworts, Erstellungsdatum, letzte Nutzung, IP-Adresse der letzten Nutzung. Nicht: das Passwort selbst.
Weiter geht’s
Erste Anmeldung als Nextcloud-Admin
Was Du nach der Bereitstellung Deiner Nextcloud machst — Login, Profil, wichtige erste Einstellungen, was wir machen und was Du machst.
Admin-GUI Übersicht — was Du wo findest
Die Verwaltungs-Einstellungen in Nextcloud sind groß. Hier eine Tour durch die wichtigsten Bereiche und was sie tun.
Benutzer und Gruppen anlegen
User für Familie, Verein oder Team anlegen, Gruppen organisieren, Quotas setzen, Login-Verhalten kontrollieren.
Sharing — Files mit anderen teilen, intern und extern
Files in Nextcloud teilen — innerhalb Deiner Cloud mit anderen Usern, mit Gruppen, oder extern per Sharing-Link.