Willkommen im User-Forum von mailbox.org
 

Unterstützung von U2F (Universal Second Factor) Geräten

DeH hat dies geteilt, 7 Jahren her
vorgeschlagen

U2f biete einige Sicherheitsvorteile gegenüber anderen Second Factor Authentifizierungs Verfahren. Nachzulesen unter anderm auch bei Heinlein Support

https://www.heinlein-support.de/vortraege/u2f-fido-kampf-dem-passwort-die-authentifizierung-der-zukunft

oder bei Yubico:

https://www.yubico.com/about/background/fido/


Da Sicherheit immer nur so stark ist wie die schwächste Komponente, ist es wichtig überall die 2 Faktor Authentifizierung einzusetzen, wo man auf den Account zugreifen will. Yubikey mit OTP kann im Moment nicht an einem Android Tablett ohne NFC Chip benutzt werden. Für U2F gibt es mittlerweile ein Gerät (Digipass secureClick) das über Bluetooth genutzt werden kann.


2. Unterstützung von mehr als ein U2F Gerät pro Account


Damit könnte man auf die Rücksetzung des Accounts über Mobiltelefonnummer verzichten. Das ist vor allem dann wichtig wenn Mail am Smartphone benutzt wird. Wird das Smartphone gestohlen könnte über die Passwort-Reset Funktion 2F Authentifizierung ausgehebelt werden. Benötigt man ein neues Passwort könnte ein zweites Gerät als zusätzliche Legitimierung benutzt werden. Geht ein U2F Gerät verloren könnte mach sich mit dem zweiten U2F Gerät anmelden, und das verlorene deaktivieren.


3. Unterstützung von 2 Faktor Authentifizierung nicht nur für das Webfrontend

An einem Smartphone ist die Benutzung des Webfrontend etwas unhandlich, so das man um die Benutzung einer App und damit um IMAP und SMTP nicht herum kommt. Da IMAP und SMTP keine 2 Faktor Authentifizierung direkt zulassen geht das nur über Umwege.

Vorschlag:

Ein Option das man IMAP und SMTP nur nutzen kann nach dem man sich über Weboberfläche mit 2 Faktor Authentifizierung von dem gleichen Gerät (IP) angemeldet hat. Entweder solange der seesion Key für Oberfläche gültig ist oder für ein bestimmen Zeitraum z.B: für 30 Minuten.


4. Unterstützung von anwendungspezifische Passwörtern

Da der Vorschlag unter 3 das Prüfen nach neuen Mails etwas umständlich macht wäre es gut wenn man für das Prüfen nach neuen Mails ein anwendungspezifische Passwort setzen könnte das nur dazu benutzt werden kann. Anwendungspezifische Passwörter wurden schon öfter nachgefragt, unter anderm hier vor über einem Jahr


https://support.mailbox.org/topic/mehrere-passw%C3%B6rter-f%C3%BCr-unterschiedliche-ger%C3%A4te-app-passw%C3%B6rter-unterst%C3%BCtzen

Leider hat es die Anfrage es noch nicht in den Status „in Prüfung“ geschafft.

U2F Unterstützung wurde schon mal in einem anderem Zusammenhang vor ca. 9 Monaten Angefragt.

https://support.mailbox.org/topic/frage-zu-yubikey-standard-und-edge-zu-u2f-und-secure-element

Dort lautete die Antwort vom Support:

„Mittelfristig wird mailbox.org auch U2F als sichere Authentifizierung anbieten und die Unterstützung durch Browser wird sich verbessern.„

Würde mich freuen zu hören ob es schon konkretere Pläne für U2F gibt.

Dank und Gruß

Antworten (25)

Foto
2

Vielen Dank an 9741163 für diesen Informativen Beitrag.


Von mir auch die Bitte an mailbox.org-Team U2F als 2-Faktor-Login zu unterstützen.

Foto
2

d'accord!


Ich würde es ebenfalls sehr begrüßen wenn u2f - zumindest für den Weblogin - unterstützt würde.

Foto
2

U2F steht definitiv auf unserer Roadmap und wir wollen es wirklich gern anbieten. Es gibt im Moment leider ein Kapazitätsproblem.

Foto
3

Danke für's Feedback.


Ein Hinweis noch: Wenn das mailbox.org-Team das langersehnte U2F implementiert, dann begeht bitte nicht den Fehler, den die aller meisten anderen Anbieter dieser Zugangsmöglichkeit machen:


Reset nur per Telefon (SMS).


Bitte implementiert beim Verlust des U2F-Sticks die Möglichkeit einen zweiten (Backup-) U2F-Stick hinterlegen zu können.


Viele Grüße

Foto
2

Gibt es eine Abschätzung bis wann das Feature in etwa erwartet werden kann?(Ließe sich das Kapazitätsproblem durch "Sponsoring" beheben?)

Foto
2

+1 für U2F. Gibt es News dazu von Mailbox.org Support?

Foto
2

Wäre immer noch an diesem Feature interessiert!

Foto
2

Wie schaut es mit der Umsetzung dieser Anfrage aus, geehrtes mailbox.org-Team?

Foto
2

+1 für u2f, vielleicht als Weihnachtsgeschenk?

Foto
3

Oh das wäre toll!!

Zumal Firefox Quantum jetzt auch u2f unterstützt ;)

Foto
1

Der U2F Support in Firefox 57.0 ist nicht komplett fertig. Das Feature ist noch nicht freigegeben und sollte in der Praxis auch (noch) nicht genutzt werden.


Bisher sollte man noch das U2F-Support Add-on verwenden.

Foto
4

Das ändert nichts am regen Interesse an diesem Feature ;)

Gibt es dazu eine Aussage von Mailbox.org Support?

Foto
Foto
2

2 Sticks wären auch nicht schlecht , für einen Zuhause und einem im Büro..

Foto
1

Es scheint als könnte man heutzutage schon mehrere Yubikeys registrieren, siehe z.B. https://userforum.mailbox.org/topic/yubikey-defekt-was-nun#comment-20183. Hoffentlich wird das weiterhin möglich bleiben.

Foto
Foto
3

+1 für U2F

Foto
1

gibt es hierzu schon etwas neues??

Das Thema wird von den Verantwortlichen ja gnadenlos totgeschwiegen ...

Eine definitive Antwort wäre wünschenswert!

Foto
1

Das Thema wird von den Verantwortlichen ja gnadenlos totgeschwiegen ...


Empfinde ich als unhöflich, falsch und ist für mich und mein Team wirklich demotivierend. Wie Du sehen kannst, haben wir in diesem Thread zweimal geantwortet.

Foto
1

Das sehe ich genau so.

@5733108 es gibt noch andere in diesem Thread, die sich dieses Feature auch sehr wünschen würden. Trotzdem wissen wir dass man eben warten muss, bis die Entwickler es neben ihren anderen Tätigkeiten (Stabilität und Performance ist eben wichtiger als neue Funktionen) schaffen dieses Feature einzubauen und ordentlich zu testen, denn ich will nicht sehe was Nutzer erst sagen würden wenn es zu früh veröffentlicht werden würde und sich Leute reihenweise aus ihren Mails aussperren würden.

Ich bin mir sicher das Thema hat mit immerhin 23 Wunschmeldungen schon einiges an Gewicht und wird kommen.

Foto
1

Sorry, aber ich sehe das anders (und will sicher niemanden demotivieren):1x vor 8 Monaten "steht auf unserer Roadmap" und 1x eine belanglose Antwort über ein Browser - Add-on.

Nichts von Substanz darüber ob man mit dem Feature in absehbarer Zukunft rechnen kann, obwohl hier eindeutig Interesse besteht.

Auch auf die Frage ob das (vor 8 Monaten bestehende) Kapazitätsproblem durch Spenden/Sponsoring etc überwunden werden kann wird nicht eingegangen.


VG

Foto
1

@DD wenn es wenigstens eine Meldung der Art "wir hören euch, wir sind dabei, es wird noch dauern" gäbe hätte ich kein Problem. Aber nur eine substanzielle Rückmeldung vom Support in 8 Monaten finde ich einfach etwas schwach!

Foto
1

Ich kann hier ebenfalls kein totschweigen erkennen, habe ich im übrigen noch bei keinem Thema erlebt. Im Gegenteil, hier wird sich zu Themen in einem Detailgrad und einer Offenheit geäußert bei denen du bei der Konkurenz nur Textbaustein A38 bekommen würdest, wenn überhaupt.

Es hat sich halt in den letzten Monaten bei dem Thema (FIDO U2F) auch wenig getan. Der einzige Browser der U2F out-of-the box unterstützt ist Chrome. Das ganze 2FA Prozedere bei Mailbox.org (PIN+OTP hintereinander) lässt auch nicht vermuten, dass sich FIDO U2F super einfach integrieren ließe.

Manchmal sind keine neuen Antwort eben nicht totschweigen sondern einfach das: keine Antwort = keine Neuigkeiten.

Bevor nicht Firefox und Safari FIDO U2F nativ unterstützen wird sich hier überhaupt nichts tun. Für Firefox ist das glaube ich Ende dieses Jahres geplant.

Foto
1

Spekulieren kann ich auch viel... . Eine definitive Aussage des Supports wäre hier einfach hilfreich, zumal hier mehrfach danach gefragt wurde!

Foto
1

Firefox hat seit Version 57 U2F unterstützung, es ist allerdings erstmal noch deaktivert, lässt sich aber in der about:config aktivieren.

Firefox will das aber erst mit Version 59 oder 60 standardmäßig aktivieren und dann den FIDO 2 Standard unterstützen.

Foto
1

Die Implementierung von U2F in Firefox 57 ist noch unvollständig und nicht abgeschlossen. Deshalb ist das Feature standardmäßig deaktiviert und wenn man keine Ahnung davon hat, was noch fehlt, dann sollte man es deaktiviert lassen.

Wenn die U2F Implementierung abgeschlossen und für Endanwender einsetzbar ist, dann wird Mozilla das Feature standardmäßig aktivieren und die Option unter "about:config" wahrscheinlich wieder entfernen. Das macht Mozilla immer so bei neuen Features.

Also: aus meiner Sicht hat Firefox 57 noch kein funktionierendes U2F dem man als Endwanwender vertrauen könnte.

Foto
2

Ja, da hast du natürlich Recht, das würde ich auch so sehen. Vielleicht hätte ich meinen Beitrag selbst nochmal lesen sollen, ich wollte damit keine Empfehlung geben, dass das jetzt jeder aktivieren sollte.


Aber es kommt und wird voraussichtlich noch dieses Jahr zur Verfügung stehen. Weiter oben schrieb jemand dass sich hier nichts tun würde, bevor Firefox das nicht unterstützt – dieser Meinung möchte ich vehement widersprechen. Nicht nur, weil die Unterstützung im Firefox jetzt absehbar ist und die Entwickler sich darauf jetzt schon vorbereiten könnten, sondern vor allem weil Chrome U2F schon seit Jahren unterstützt!

Schaut man sich die aktuellen Browserstatistiken an, dann liegen Firefox und Chrome in Deutschland ungefähr gleich auf bei ~30% (Mit leichten Unterschieden je nach Quelle). Das sind 30% Nutzer, denen man U2F jetzt schon anbieten könnte.


Auch wenn die ursprüngliche Nachfrage sehr konfrontierend war, und ich mich der Unterstellung nicht anschließen möchte … auch ich würde mich sehr über ein kleines Update freuen. Vor 8 Monaten hieß es das sei auf der Roadmap. Dann gab es eine weitere Stellungnahme, dass Firefox 57 das ja noch nicht vollständig unterstützt … aber was ist nun der aktuelle Status? Immer noch auf der Roadmap? Oder lässt sich vielleicht schon absehen ob oder wann das vielleicht angeboten werden kann?

Foto
1

Sehr geehrter Heinlein Support,


es währe ihren (zahlenden!) Kunden gegenüber durchaus entgegenkommend wenn es dazu ein offizielles Statement geben würde. Der Wunsch danach wurde ja mehrmals eindeutig formuliert.


Besten Dank!

Foto
3

So langsam werden die Rahmenbedingungen im Internet für U2F so, dass man über eine Implementierung nachdenken muss.

Wenn ich das richtig verstanden habe, warten alle auf den neuen W3C Standard Web Authentication (WebAuthn) alias FIDO2 anstatt auf das "alte" U2F alias FIDO1 zu setzen, mit dem bisher z.B. Google mit Chrome U2F gemacht haben. Mit WebAuthn funktionieren die U2F Sticks auch, aber halt über eine andere API als früher.


Seit gestern ist Firefox 60 ESR fertig. Das enthält standardmäßig aktiviert WebAuthn. U2F direkt kann man zwar in den erweiterten Einstellungen aktivieren aber das soll mittelfristig raus fliegen und wird deshalb nie standardmäßig aktiviert werden.

Und am 29.05.2018 soll Chrome 67 stable werden mit dem ebenfalls WebAuthn kommt. U2F kann Chrome ja schon lange.

Microsofts Edge soll auch WebAuthn bekommen (Zeitplan mir unbekannt) und Apple ist immerhin bei der Standardisierung von FIDO2 dabei gewesen. Auch wenn ich von denen wirklich gar nichts zu dem Thema finden konnte.

Also wäre jetzt die Frage ob und wann Mailbox.org genügend Manpower mobilisieren kann und will um ihr Login Backend umzuschreiben..

Foto
4

WebAuthn ist inzwischen offiziell (https://www.w3.org/TR/webauthn/) und wird von allen verbreiteten Webbrowsern nativ unterstützt. Wäre toll, wenn man es bei mailbox.org nutzen könnte.

Foto
Foto
5

Vor zweieinhalb Jahren hatte ich diesen Vorschlag gemacht, bedauerlicherweise wurde U2F nicht umgesetzt.

Mittlerweile gibt es mit Webauth/FIDO2 ein Nachfolger der alle Vorteile von U2F beinhaltet und darüber hinaus einiges mehr bietet. Eine Realisierung von U2F mach jetzt keine Sinn mehr.

Somit unterstütze ich jetzt den Vorschlag "Webauth Support"

https://userforum.mailbox.org/topic/webauthn-support

Foto
1

Ich denke nicht, das das in absehbarer Zeit Kommt

Foto
Foto
3

Wird die Möglichkeit einer U2F oder FIDO2 Authentifizierung noch umgesetzt? Sie gehört zu der technisch sichersten und komfortabelsten Lösung und ich finde gerade ein EMail Konto, an dem ja auch die eigene Identität hängt und als Ausweis genutzt wird, muss bestmöglich abgesichert sein.

Foto
1

Ich hätte das auch gerne, aber in absehbarer Zeit wird das wohl nix. Ich habe mal kurz recherchiert (etwas oberflächlich, zugegebenermaßen), es scheint bei OX keine FIDO2 Unterstützung zu geben. U2F gibt es zwar, aber auch nur teilweise, nicht für alle Apps. Man hätte wohl die gleichen Einschränkungen bezügl. Einbindung externer Konten / Laufwerke, wie sie schon jetzt bei aktivierter 2FA vorhanden sind. Und ohne Unterstützung in OX wird mailbox.org wohl kaum dafür Zeit investieren...

Foto
4

Die Umsetzung hat uns 3 Tage Implementierung gekostet (einem Entwickler)...

Foto
1

Gibt es wirklich noch immer kein U2F???????? Regt mich auf, muss dann halt wechseln, OTP ist halt nicht sicher......

Foto
8

Auch wenn der eine oder andere ehemalige(?) Kunde recht autoritär aufgetreten ist, muss die Frage gestattet sein, weshalb die Betreiber zum Thema FIDO U2F (und/oder FIDO2) keine Stellung beziehen, sondern das Thema seit 5 Jahren in der Luft hängen lassen.


Man kann nun spekulieren, dass das Thema gar nicht mehr umgesetzt wird - denn was soll heute anders als vor 5 Jahren sein - allerdings ist die Kommunikation zum Thema seitens der Betreiber IMHO mangelhaft. Denn selbst die Aussage, dass man keine Pläne für die Umsetzung hat, ist besser als gar keine Aussage zu treffen oder nur vage von - mal salopp ausgedrückt - "irgendwann" zu sprechen.

Vielleicht kann das Thema mit einem abschließenden Statement durch die Betreiber geschlossen werden... Dann kann der Sack hier zugemacht werden.

Wird FIDO U2F mittelfristig (also innerhalb der nächsten 6 Monate) kommen oder nicht?

Foto
3

In einem Nachbarthread wurde auf diesen Link https://userforum.mailbox.org/topic/anwendungsspezifische-passwörter_1#comment-23530 verwiesen. Der passt hier meines Erachtens auch. Vermutlich ist das Geschriebene immer noch aktuell. Ebenso habe ich noch im Kopf, dass der Support / Herr Heinlein ein paar mal gesagt haben, dass keine konkreten Zeitpläne mehr veröffentlicht werden, da dies bei Nichteinhaltung des Termins zu Enttäuschung führt. Ich vermute dass einfach zu viel unvorhergesehene Dinge eintreten können, und die Firmen von Herrn Heinlein auch in einem Zielkonflikt zwischen Wachstum und dem Entwickeln/Einführen neuer Techniken sind.

Weil das Thema Sicherheit hier extrem hoch gehängt wird, gehe ich mal davon aus, dass mailbox.org früher oder später das Anmeldeverfahren umstellen wird. Da gerade erst die eigene Videokonferenzlösung neu entwickelt wurde, könnte ich mir vorstellen, dass in den nächsten Monaten kein neues Feature raus kommt, und es noch dauert.

Foto
2

Ich vermute auch, dass da so schnell nichts kommt - auf der anderen Seite wünsche ich mir FIDO U2F-Support schon. Die Vorteile gegenüber Apps liegen außerdem auf der Hand und sind lange bekannt.

Nach 5 Jahren jeden offenen Thread im Auge zu behalten ist zudem kaum zu schaffen - insofern wäre es eben gerade wünschenswert, im Zweifel eher zu verneinen als dem Unmut der Leute einen Nährboden zu bereiten.

Ganz ehrlich: Wenn ich die Wahl gehabt hätte, wäre ich eher für FIDO U2F als für eine Videokonferenzlösung gewesen. Ohnehin nutze ich die meisten Features meines Paketes nicht, weil sie entweder nicht hinreichend zugänglich/kompatibel zu meinen Kontakten sind oder eben redundant zu bereits vorhanden Lösungen.

Was mittlerweile geboten wird, ist sehr umfangreich und machnmal fühlt es sich so an, als würde ich ein Big Mac-Menü bekommen, obwohl ich nur die Tüte Pommes brauche... Für die Pommes fehlt mir dann eben der Ketchup in Form von U2F ;-)

Insgesamt bin ich trotzdem (noch) ganz zufrieden. Irgendwann erwarte ich mir dann aber doch, dass es auch in diesem Bereich weiter voran geht.

Foto
2

Das Bild mit Big-Mac-Menü leuchtet mir ein. Jeder hat eben seine eigenen Präferenzen.

Da ich Heinlein-Hosting, jpberlin und mailbox.org schon ziemlich lange im Blick habe, bin ich mir sehr sicher, dass das Thema Sicherheit hier im Vergleich zur Konkurrenz nicht zu kurz kommt. Ich würde daher wetten, dass die Leute bei mailbox.org sich schon Gedanken über andere Anmeldeverfahren machen, und auch schon entsprechende Vorbereitungen treffen. Des weiteren würde ich wetten, dass die Sicherheitsarchitektur bei mailbox.org besser ist als bei dem ein oder anderen Anbieter, der z.B. U2F unterstützt.

Insofern vermisse ich persönlich zwar Dinge wie z.B. separate Passwörter für Forum und IMAP/SMTP. Das Gefühl, keine Angst vor einem Datendiebstahl oder Datenverlust durch schlecht abgesicherte Systeme haben zu müssen, wiegt diesen Makel bei mir aber mehr als auf.

Letztlich verwende ich genau aus diesem Grund (m)eine eigene Domain. Sofern mich die Technik hier irgendwann mal nerven sollte, kann ich ohne Aufwand zu einem anderen Anbieter wechseln. Ich habe bisher allerdings noch keinen Anbieter gefunden, der das Thema Mail für mich in der Summe besser gelöst hat.

Foto
3

Ich glaube, dass es etwas am Thema vorbei geht. "Glauben" sollte im Sicherheitsbereich nicht erforderlich sein.

Mailbox.org macht viel richtig - deshalb bin ich hier Kunde - aber es gibt eben auch Luft nach oben. Zu den guten Dingen zählt, dass mit 2FA ein Mindeststandard bereits gegeben ist, dass die Mailserver sehr, sehr gut konfiguriert sind, der Übertragungsweg adäquat gesichert ist und gerade für weniger technisch versierte Nutzer mit der PGP-Integration ein einfacher Zugang zu sicherer Verschlüsselung geschaffen ist - natürlich immer abhängig von der eigenen Gefährdungslage, dem subjektiven Sicherheitsbedürfnis und dem Threatmodell.

Leider ist es dennoch so, dass man sich mit der Beschränkung auf OTP eine Schwachstelle leistet, die 2022 wirklich nicht sein müsste. Ist einfach unschön und wirkt im Gesamtpaket einfach etwas unbefriedigend. Einerseits wäre es wünschenswert, dass 2FA durch MFA ersetzt würde und andererseits wäre es wünschenswert, dass FIDO U2F oder FIDO2 Schlüssel als Faktor genutzt werden können.

Sich beim OTP dann als Hardware-Option ausgerechnet für YubiKey - als einzig prominente Hardware-Option - zu entscheiden ist dann wohl auch der Erkenntnis geschuldet, dass deren Devices eine gewisse Bekanntheit und leichte Beschaffbarkeit aufweisen. Besser wäre es, wenn explizit die vorzuziehenden Nitrokey-Geräte erwähnt werden, weil diese transparente Hard- und Softwaredesigns aufweisen und auf Open Source basieren. Mag sein, dass das etwas extremistisch rüber kommt - aber die Möglichkeit zur Validierung ist im Sicherheitsbereich durchaus wichtig.

Am Ende mag ich natürlich aus Betreibersicht nur eine Einzelstimme sein. Auf der anderen Seite ist das eben derzeit so eine Schwäche, die wirklich nicht sein müsste. Wirkt eben wie der Kratzer auf der Motorhaube des ansonsten picobello gepflegten Luxusschlittens... ;-)

Lass uns aber das Fass jetzt nicht weiter aufmachen... Offenbar besteht kein Interesse an FIDO bei Mailbox.org (oder zumindest hat das Thema keinerlei Priorität). Kann man sich mit abfinden oder man muss eben dann irgendwann wechseln. Für mich ist es (derzeit) noch kein Showstopper, da ich ohnehin immer weniger auf Mails setze und insofern nur noch (wenn überhaupt) sehr wenige Mails mit halbwegs sensitivem Inhalt habe.

Foto
1

Ich hätte es zwar gerne, aber wenn ich mir anschaue das andere Webseiten es auch nicht sofort aktiviert haben, weil aus Entwickler Sicht das nicht nur aufwendig, sondern auch riskant ist, weil wenn man ein Sicherheitsfeature implementieren möchte, keine Fehler machen möchte/sollte/muss. Entwicklerarbeit fällt nicht vom Himmel, sie muss von jemandem abgearbeitet werden.


Wer das Spiel Minecraft hat, kann ja gerne mal sich ein eigenes Redstone Projekt ausdenken. Vielleicht sogar eine CPU mit Redstone nachbauen, dann kann man ja mal die Zeit messen die man braucht um das Projekt zu beenden. Damit meine ich keine kleinen Projekte und nicht einfach Copy/Paste (Urheberrecht beachten).


Die USB Fido2 Security Token gibt es auch nicht von jedem beliebigem Hersteller und auch nicht in ausreichender Menge, um alle Nutzer des Netzes zu versorgen. Es braucht einfach zeit.


Wer wissen will, wie weit Fido2 verbreitet ist, sollte sich in git repositories bei den Diskussionen mit Entwicklern mal umsehen. z.B. bei Dongleauth info kann man sehen (wenn auch nicht ganz aktuell), wie weit Fido2 verbreitet ist. Dieses Projekt sammelt Infos über die Verbreitung von Webauthn/Fido2. Das geht eher langsam voran.

Foto
2

Es kommt immer drauf an, welches Produkt man hat und welches Image nach außen getragen werden soll. In diesem Fall hier stufe ich es eher problematisch ein, dass man es nicht anbietet.


Bin Entwickler, habe Fido zu Fuß für unser Produkt umgesetzt (kein sso-Dienst). Deiner Darstellung kann ich nicht folgen, ist keine Raketenwissenschaft.

Foto
1

Bei Fido U2F pflichte ich dir bei, aber Fido2 nicht. Firefox z.B. hat Fido2 noch nicht als default aktiv. Auch wenn Firefox es bereits Unterstützt, würde ich Fido2 noch nicht in Produktiv einsetzen. Unter Chrome, Edge, Safari, Opera usw. ist das vielleicht anders.


EDIT:

Aber ja, ich verwende bereits aktiv Fido Geräte.

Foto
1

Ich stimme Pgt@pgt.de zu dass Fido, bzw. WebAuthn echt keine Raketewissenschaft ist. Um so sehr rätsel ich seit Jahren warum gerade Securityaffine Software wie Firefox (oder open-xchange und damit mailbox.org) sich so schwer mit der Adoption eines Webstandards für sichere Authentifizierung macht, und gerade Datenkraken wie Google, Microsoft und Facebook hier Voreiter sind.

Geht es vielleicht um plausible Deniability? Die fällt nämlich weg, wenn Menschen im Web sich (sehr) eindeutig identifizieren können. Selbst wenn man nur die Option dazu hat, muss man das irgendwann auch. In China vielleicht ein echter Nachteil.

Andereseits wäre eine sicher funktionierende pseudonyme Identität echt toll, und da wäre Webauthn (aka fido) auch the way to go.

Foto
1

Gut. Was ist mit den E-Mail Clients? Haben alle Programme auf allen Betriebssystemen Fido Unterstützung?

Foto
1

Nein, ich glaube Emalclients werden U2F auch auf absehbare Zeit nicht unterstützen.


Aber den OTP-Yubikey unterstützt mailbox.org ja ebenfalls für die webbasierte Nutzung, obwohl man ihn auf absehbare Zeit nicht in Email-clients bekommen wird. So hat man zumindest die Option einer sicheren pseudonymen Authentifizierung, wenn man das braucht.

Foto
1

Hallo,


daß Firefox kein FIDO2 unterstützte wäre mir aber neu: Ich benutze Sticks verschiedener Hersteller (Nitrokey, Thetis) seit über anderthalb Jahren bei verschiedenen Diensten, und zwar (so gut wie) ausschließlich mit Firefox. Zwar setze ich die Tokens ausschließlich als second-factor (nicht als Passwort-Ersatz) ein, aber zuminderst damit gibt es technisch überhaupt keine Probleme.


Aus meiner persönlichen Sicht ist das Fehlen von FIDO2-Unterstützung _DAS_ Manko bei mailbox.og. Dinge wie Videokonferenz habe ich wirklich noch nie vermisst, der SIcherheitsaspekt dagegen hat mich überhaupt erst zu mailbox.org gebracht. Daß nun ausgerechnet das ausgerechnet hier dermaßen konsequent fehlt, verblüfft doch sehr.

MfG

Foto
Foto
3

Mailbox.org baut meines Wissens auf open-xchange auf. Gemäß deren Dokumentation wird U2F bereits (optional) unterstützt: https://documentation.open-xchange.com/7.10.4/middleware/security_and_encryption/multifactor_authentication.html#enabling-u2f

Foto
1

Hallo, also was in der ganzen Diskussion vielleicht zu kurz kommt: Mailbox.org ist ja auch ein Unternehmen das Gehälter , Mieten etc. zahlen muss und im besten Fall auch noch Gewinn macht. Eine bessere oder andere 2FA wird ja schon seit Jahren versprochen aber nicht umgesetzt. Klar ist ja das so eine Implementierung Geld kostet, evtl. sogar viel Geld. Die Frage für mbo dürfte ja sein: Bekomme ich das Geld auch wieder rein , sprich bekomme ich dadurch viele NEUE Kunden. Ich schätze das so ein das der Markt für Mail ziemlich gesättigt ist und bei einem 1Euro / Monat ist wahrscheinlich auch nicht viel für Entwicklung über. Oder anders: Vielleicht ist es einfach nur eine wirtschaftliche Entscheidung es nicht umzusetzen.

Foto
5

Ich verstehe die Argumentation, kann ich aber nicht ganz so stehen lassen.

Wir sprechen hier vorrangig von einem sicheren Mailanbieter. Daher muss ich als Anbieter mMn auch auf einem aktuellen Stand der Technik bleiben und vor allem heutzutage in "IT-Sicherheit" investieren. Es gibt hier ganz offensichtlich Bedarf an einer neuen 2FA-Methode, vor allem, da die jetzige Yubico-OTP Implementation ein einziger Graus ist. Dass das Thema nun 5 jahre brach liegt und es keine Rückmeldung seitens mailbox.org gibt hilft dabei natürlich gar nicht weiter. Was das angeht habe ich auch eine andere Erwartung an die Support-Qualität.

Foto
2

Ich bin was die Thematik angeht auch sehr unzufrieden und es hat mein Vertrauen in Mailbox mitlerweile leider nachhaltig beschädigt. Was ich sehr schade finde.

Foto
11

Wir haben in den vergangenen Jahren an verschiedensten Stellen - hier im Forum und extern - dazu Aus- und Einblicke gegeben und auch berichtet, dass wir das komplette API-System umstellen müssen, um unseren hohen internen Sicherheitststandard zu halten. Dazu haben wir einen sehr umfangreichen Softwarestack geschaffen, der dsas Passwort des Nutzers in bestimmten Situationen schützt so dass unsere API-Server nicht mit Master-Passwörtern arbeiten müssen - was bedeuten würde, dass ein Angreifer umgehend Zugriff auf alle Daten haben würde. Alleine diese Implementierung hat mit mehreren Personen über ein halbes Jahr gekostet.

Wir haben mittlerweile die ersten neuen Keycloak-Instanzen bei mailbox.org in Betrieb. Die OpenTalk-Instanz von mailbox.org ist bereits darüber angebunden, ebenso die Verwaltung für unsere Business-Kunden und Reseller. Weitere andere Dienste folgen. Wir hatten viel Aufwand um die juristische Bereinigung der Alt-Traife voranzubringen - nachdem das nun erledigt ist, fahren wir mit der weiteren Anbindung unserer Dienste über Keycloak fort. Das ermöglicht uns dann ein durchgehendes SSO mit anderen 2F-Authentifizierungen an (fast) allen Diensten. Diese Arbeiten nähern sich langsam dem Abschluss - diese Woche fanden verschiedene Arbeitsgruppen dazu statt, gestern (oder heute?) wurden neue Datenbanken vorbereitet, da wir den jetzigen Keycloak-Server noch einmal auf neue Füße stellen wollen. Einige interne Dienste sollen bis Ende kommender Woche angebunden sein. Dazu zählt dann auch eine interne Testinstanz mit OX und Dovecot.

Wir haben hier noch ein größeres Migrationsproblem, da wir die alte 2F-Authentifizierung nicht nahtlos auf Keycloak migrieren können. Darüber werden wir uns noch intensiv Gedanken machen müssen, denn wir können und wollen ja keine User aussperren. Auch das wird noch einmal erheblich Programmierarbeit an der Login-Maske bei uns nachziehen.

Das Projekt ist aber nach langer Vor- und Grunlagenarbeit derzeit in einer konkreten Umsetzung.

Für einen großen Behördenkunden haben wir gestern eine Keycloak-basierte Instanz von Open-XChange, Dovecot und Owncloud mit nahtlos funktionierendem SSO in Betrieb genommen - wir haben da anderswo schon einmal davon berichtet. Diese dort von uns entwickelte Konfiguration nutzen wir jetzt als Backport für unsere eigene Infrastruktur.

Foto
7

Diese Antwort finde ich ausgesprochen hilfreich. Danke dafür.

Es ist auch nicht so, dass ich kein Verständnis für die technischen Schwierigkeiten oder sogar höhere Kosten habe.

Aber das Login ist eben einer DER wichtigen Themen bei einem Dienst. Und ich muss leider sagen, als Nutzer fühlt man sich irgendwann hilflos und ignoriert und geht in die Resignation oder stellt sich, ja irgendwann auch, Fragen der Kompetenz.

Ich empfand die anfängliche Kommunikation bei diesem Thema vor Jahren auch nicht besonders glücklich da sie mir sehr defensiv vorkam. Ich finde es sehr gut und vertrauenerweckend die Probleme auch aus Entwicklersicht zu schildern, aber das ist eben auch ein bisschen euer Job. Und es gibt auch Nutzerbedürfnisse und berechtigte Kritik. Es gibt ja auch Punkte bei der 2FA die hier besser gelöst sind als woanders, aber das heißt nicht das es keine validen Kritikpunkte gibt.

Lass uns nach vorne blicken. Mein Wunsch wäre, bleibt weiter so direkt in der Kommunikation aber probiert ein wenig mehr die Dinge aus Nutzersicht zu betrachten und es auch zu kommunizieren, zum Beispiel durch häufigere News Updates bei sensitiven Thematiken. Es geht dabei echt nicht um verbindliche Zeitpläne oder alles perfekt zu machen, sondern nur darum zu sehen, dass ihr das Problem verstanden habt und ernst nehmt.

Foto
7

Vielen Dank für Ihre ausführliche Antwort, Herr Heinlein.

Wie mein Vorredner schon bemerkt hat, hat die überwiegende Mehrheit natürlich Verständnis für Schwierigkeiten bei der Umsetzung und die aufgeführten Probleme können wir ebenfalls nachvollziehen.

Jedoch sollte man hier auch nicht den Faktor Zeit vergessen. Dieses Thema wurde vor 6 (sechs!) Jahren angesprochen und davon 5 Jahre zuvor totgeschwiegen. Das hier keine sofortige Umsetzung geschieht ist klar und grundsätzlich freue ich mich auch, dass es hier nun eine konkrete Umsetzung gibt. Nichtsdestotrotz bin ich von der Informationsweitergabe und dem Umgang mit dem Kunden schwer enttäuscht.

Foto
6

Hallo Herr Heinlein, zunächst einmal hoffe ich, dass es Ihnen gut geht. Gibt es in Bezug auf die hier im Thread besprochenen Themen einen neuen Entwicklungsstand, über die wir uns erkundigen können?

Foto
3

Das interessiert mich auch.

Foto
1

In der Tat!


(Aber bitte nicht gleich "überschnappen" und auf den Hype "Passkey" aufspringen - das ist nicht die Sicherheit, die wir alle suchen. FIDO2 oder auch nur U2F erfüllt die Anforderungen schon entschieden besser.)

Foto
5

Ja - ein Update wäre mal toll. Wieder ein halbes Jahr verstrichen.

Foto
Foto
1

Leider sind Passkeys im Browser technisch wie die Fidos unter webauthn eingebunden und somit technisch nicht zu unterscheiden. ;)

Foto
1

Passkeys sind per Definition kopierbar und nicht auf ein Hardware-Gerät festgelegt. Damit sind sie nur ein Passwortersatz, aber kein "zweiter Faktor".

FIDO2- oder UTF-Tokens sind Hardware-basiert und können nicht kopiert werden (UTF immerhin noch manuell, aber jedenfalls nicht ungewünscht automatisch.) Erst das macht sie zu einem vollwertigen "zweiten Faktor".


Und "für den Browser identisch" mögen die Verfahren prinzipiell sein, aber in der Implementierung unterscheiden sie sich. So ist z.B. bei Google kein Android-Gerät mehr als FIDO2-Token registrierbar, seitdem sie Passkeys eingeführt haben. Einen solchen Clusterfuck sollte man nicht wiederholen.

Foto
6

Passkeys sind nicht per Definition kopierbar. -> Sagt die FIDO Alliance: "Any passwordless FIDO credential is a passkey." https://fidoalliance.org/passkeys/#faq Es ist nirgendwo definiert, dass Passkeys kopierbar sein müssen.



Passkeys und FIDO2 sind keine zwei unterschiedlichen Dinge. Die FIDO2 Spezifikation bietet mehr Funktionalitäten und Passkeys sind nur ein Subset von dem, was FIDO2 kann. Passkeys haben das Ziel Passwörter zu ersetzen.


Das bedeutet es wird nicht definiert wo Passkeys gespeichert werden dürfen und wo nicht.

Wenn der Passkey auf einem FIDO Security Key erzeugt wurde, ist er nicht kopierbar.

Wenn der Passkey auf einem Windows 10/11 PC mit TPM erzeugt wurde, ist er im TPM abgelegt und nicht kopierbar.

Wenn der Passkey auf einem (halbwegs aktuellen) Android Gerät erzeugt wurde ist er im Security Chip abgelegt und ist gerätegebunden solange Google Cloud Sync deaktiviert ist.

Bei Apple Geräten ist iCloud Sync aber zwingend nötig, um Passkeys im Gerät speichern zu können.

Wenn man einen Passwortmanger (Bitwarden, 1Password, etc. bald auch KeePassCX) verwendet um die Passkeys zu erzeugen und zu speichern gibt es dann überhaupt keine Gerätebindung mehr.



Über WebAuthn lässt sich sehr wohl feststellen, ob es sich bei dem Gegenüber um einen Security Key handelt, indem man Attestation verwendet.

https://fidoalliance.org/specs/fido-v2.0-ps-20150904/fido-key-attestation-v2.0-ps-20150904.html

https://developers.yubico.com/WebAuthn/Concepts/Securing_WebAuthn_with_Attestation.html


Allerdings sollte es dem Benutzer überlassen werden, wo er den Passkey speichern will. Bei Passwörtern schreiben wir den Leuten auch nicht vor wie sie diese zu speichern haben. Genauso ob man einen zweiten Faktor verwenden will.



PS: FIDO2 Security Keys haben leider unter Android als Passwortersatz noch nie funktioniert, weil Android nur CTAP1 implementiert und dadurch kann vom Android keine PIN (vom Security Key) abgefragt werden. Security Keys mit eingebautem Fingerabdruckscanner funktionieren allerdings, weil man da den Fingerabdruck zum Entsperren des Schlüssels verwenden kann. CTAP ist das Protokoll zwischen dem FIDO Security Key und dem Client.


Android ist aktuell das einzige Betriebssystem, bei dem keine FIDO2 Security Keys mit gesetztem PIN verwendet werden können. Das ist sehr schwach, besonders wenn man bedenkt, dass Google in der FIDO Alliance sitzt und der Standard dazu schon seit 2015 existiert.

Foto
Foto
9

Ich verstehe die ganze Diskussion hier nicht. Jeder kleine Anbieter bietet mittlerweile eine ordentliche implementierte 2FA an. Passkeys sind auf dem Vormarsch und deutlich sicherer als Passwörter mit einer schlechten 2FA Methode. Mailbox.org wirbt damit, besonders sicher zu sein - aber tatsächlich ist nichts davon implementiert? Ich halte das für ziemlich schwach!

Foto
2

Ich habe meinen Bekannten, denen ich mailbox.org empfohlen habe, geraten, sie sollen so lange nicht den neuen AGB/Tarifen zustimmen, bis sie wenigstens eine ordentliche 2FA haben. Ich hoffe, dass bei der nächsten Änderung vielleicht mehrere Kunden so verfahren und wir dieses Feature dann vielleicht tatsächlich bekommen (nur so als Idee).

Foto
11

Ich habe die Tage mehrere Domains auf Mailbox.org migriert. Somit hängen momentan alle meine digitale Identitäten nur noch an einem einzigen statischen Passwort. Wäre mir die 2FA-Situation vorher vollumfänglich bewusst gewesen, hätte ich meine Migration vermutlich überdacht: Meine Erwartungshaltung war hier derart gefestigt, dass ich mir nicht mal vorstellen konnte, dass es kein pragmatisches TOTP 2FA für Web und keine Applikationspasswörter gibt.


Aber auch ein dickes Lob: Der restliche Prozess (Bezahlung, Custom-Domain Handling, etc.) des Onboarding überzeugte mich restlos!

Dass nun ein einziges statisches Passwort für alles herhalten muss (die 90er Jahre lassen grüßen), es kein OAUTH, kein FIDO2/U2F, kein WebAuth oder anderes pragmatisches 2FA oder separate Applikations-Tokens gibt, ist für mich dann schon ein sehr, sehr großer Schmerzpunkt: Immerhin stellt die eigene Email auch heute noch den zentralen Dreh- und Angelpunkt im digitalen Raum dar und eine feindliche Übernahme besitzt ein nicht zu unterschätzendes Schadenspotential.


Ich verstehe, dass ich als Besitzer von 2 Yubikeys, aktiver Nutzer von FIDO2, Webauth und Passkey und insgesamt ca. 50 TOTP Token sowie weiteren OAUTH-basierten Mailkonten sicher nicht zur breiten Kundenmasse gehöre. Allerdings verletzt der aktuelle Stand meine Erwartungshaltung von zeitgemäßen Sicherstandard schon massiv. Denn – to keep it short: Passwords are FUBAR. F*cked up beyond any repair!


In einem Kommentar in diesen Thread erläutert der CEO Peer Heinlein hier die Hintergründe und für mich lassen sich diese zusammenfassen als: Pionier der ersten Stunde – nun Opfer einer komplexen Legacy-Infrastruktur. Darum habe ich im Sinne der Sache durchaus Nachsehen. Dennoch sollte für mich aber erkennbar sein, dass hier zeitnah eine Lösung in Sicht ist, die zumindest den Standard der Freemailer erreicht (Applikationstokens + triviales TOTP/U2F Management).

Soweit mein Plädoyer diesem Thema die Priorität und Aufmerksamkeit die es verdient zu gewähren. In diesem Sinne und mit den Besten Grüßen!

Foto
2

Ein sehr gut geschriebener Beitrag.

mailbox.org macht vieles richtig - doch manchmal fühlt es sich etwas "gefangen" an im komplexen System/Konstrukt.

Ich denke, dass auf Seiten mailbox.org sehr sehr hohe Sicherheit herrscht (wie von Peer auch geschrieben). Doch auf Userseite ist die Gefahr halt im Vergleich viel größer auf Grund der Konstellation, denn im Grunde ist der User ja dann "Schuld" wenn er bzw. seine Devices kompromittiert wird/werden.

Fragt sich, was "wahrscheinlicher" ist.

Aus Unternehmersicht auf jeden Fall die richtige Herangehensweise.

Foto
4

Den Beitrag finde ich auch sehr gut geschrieben. Aber ein Punkt sollte klar sein: den Endnutzer interessiert nicht, warum ein Anbieter etwas nicht gebacken bekommt, was andere schon seit Jahren können. Mir persönlich ist es auch völlig egal, welche Strukturen Mailbox.org hat, oder welche Gründe es sonst noch gibt, warum 2FA nicht implementiert wird. Wie sagt man in den USA? Just fuc... do it. Der Kunde wird hier keine Verständnis zeigen und zum nächsten Anbieter umziehen .

Foto
4

Was man aber sagen muss, dass es im Bereich App-spezifische Passwörter nun etwas Bewegung gibt... $DAV Accounts haben jetzt bereits die Möglichkeit via separaten App-Passwörtern genutzt zu werden.

Wurde nicht wirklich angekündigt - befindet sich aber im Webinterface in einem Untermenü.

Foto
2

@DenDanke für den Hinweis. Habe der App für die Adressbuchsynchronisation in meinem Smartphone gleich ein APP-Passwort für die synchronisation per CardDAV verpasst. Funktioniert tatsächlich.

Wäre ganz gut, wenn das auch mal publik gemacht worden wäre.

Foto
2

Es wurde noch nicht angekündigt, weil die Unterstützung für IMAP und SMTP noch fehlt.

https://userforum-en.mailbox.org/topic/1522-will-mailbox-org-implement-app-passwords-someday

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen