Unterstützung von U2F (Universal Second Factor) Geräten
U2f biete einige Sicherheitsvorteile gegenüber anderen Second Factor Authentifizierungs Verfahren. Nachzulesen unter anderm auch bei Heinlein Support
https://www.yubico.com/about/background/fido/
Da Sicherheit immer nur so stark ist wie die schwächste Komponente, ist es wichtig überall die 2 Faktor Authentifizierung einzusetzen, wo man auf den Account zugreifen will. Yubikey mit OTP kann im Moment nicht an einem Android Tablett ohne NFC Chip benutzt werden. Für U2F gibt es mittlerweile ein Gerät (Digipass secureClick) das über Bluetooth genutzt werden kann.
2. Unterstützung von mehr als ein U2F Gerät pro Account
Damit könnte man auf die Rücksetzung des Accounts über Mobiltelefonnummer verzichten. Das ist vor allem dann wichtig wenn Mail am Smartphone benutzt wird. Wird das Smartphone gestohlen könnte über die Passwort-Reset Funktion 2F Authentifizierung ausgehebelt werden. Benötigt man ein neues Passwort könnte ein zweites Gerät als zusätzliche Legitimierung benutzt werden. Geht ein U2F Gerät verloren könnte mach sich mit dem zweiten U2F Gerät anmelden, und das verlorene deaktivieren.
3. Unterstützung von 2 Faktor Authentifizierung nicht nur für das Webfrontend
An einem Smartphone ist die Benutzung des Webfrontend etwas unhandlich, so das man um die Benutzung einer App und damit um IMAP und SMTP nicht herum kommt. Da IMAP und SMTP keine 2 Faktor Authentifizierung direkt zulassen geht das nur über Umwege.
Vorschlag:
Ein Option das man IMAP und SMTP nur nutzen kann nach dem man sich über Weboberfläche mit 2 Faktor Authentifizierung von dem gleichen Gerät (IP) angemeldet hat. Entweder solange der seesion Key für Oberfläche gültig ist oder für ein bestimmen Zeitraum z.B: für 30 Minuten.
4. Unterstützung von anwendungspezifische Passwörtern
Da der Vorschlag unter 3 das Prüfen nach neuen Mails etwas umständlich macht wäre es gut wenn man für das Prüfen nach neuen Mails ein anwendungspezifische Passwort setzen könnte das nur dazu benutzt werden kann. Anwendungspezifische Passwörter wurden schon öfter nachgefragt, unter anderm hier vor über einem Jahr
Leider hat es die Anfrage es noch nicht in den Status „in Prüfung“ geschafft.
U2F Unterstützung wurde schon mal in einem anderem Zusammenhang vor ca. 9 Monaten Angefragt.
https://support.mailbox.org/topic/frage-zu-yubikey-standard-und-edge-zu-u2f-und-secure-element
Dort lautete die Antwort vom Support:
„Mittelfristig wird mailbox.org auch U2F als sichere Authentifizierung anbieten und die Unterstützung durch Browser wird sich verbessern.„
Würde mich freuen zu hören ob es schon konkretere Pläne für U2F gibt.
Dank und Gruß
Vielen Dank an 9741163 für diesen Informativen Beitrag.
Von mir auch die Bitte an mailbox.org-Team U2F als 2-Faktor-Login zu unterstützen.
Vielen Dank an 9741163 für diesen Informativen Beitrag.
Von mir auch die Bitte an mailbox.org-Team U2F als 2-Faktor-Login zu unterstützen.
d'accord!
Ich würde es ebenfalls sehr begrüßen wenn u2f - zumindest für den Weblogin - unterstützt würde.
d'accord!
Ich würde es ebenfalls sehr begrüßen wenn u2f - zumindest für den Weblogin - unterstützt würde.
U2F steht definitiv auf unserer Roadmap und wir wollen es wirklich gern anbieten. Es gibt im Moment leider ein Kapazitätsproblem.
U2F steht definitiv auf unserer Roadmap und wir wollen es wirklich gern anbieten. Es gibt im Moment leider ein Kapazitätsproblem.
Danke für's Feedback.
Ein Hinweis noch: Wenn das mailbox.org-Team das langersehnte U2F implementiert, dann begeht bitte nicht den Fehler, den die aller meisten anderen Anbieter dieser Zugangsmöglichkeit machen:
Reset nur per Telefon (SMS).
Bitte implementiert beim Verlust des U2F-Sticks die Möglichkeit einen zweiten (Backup-) U2F-Stick hinterlegen zu können.
Viele Grüße
Danke für's Feedback.
Ein Hinweis noch: Wenn das mailbox.org-Team das langersehnte U2F implementiert, dann begeht bitte nicht den Fehler, den die aller meisten anderen Anbieter dieser Zugangsmöglichkeit machen:
Reset nur per Telefon (SMS).
Bitte implementiert beim Verlust des U2F-Sticks die Möglichkeit einen zweiten (Backup-) U2F-Stick hinterlegen zu können.
Viele Grüße
Gibt es eine Abschätzung bis wann das Feature in etwa erwartet werden kann?(Ließe sich das Kapazitätsproblem durch "Sponsoring" beheben?)
Gibt es eine Abschätzung bis wann das Feature in etwa erwartet werden kann?(Ließe sich das Kapazitätsproblem durch "Sponsoring" beheben?)
+1 für U2F. Gibt es News dazu von Mailbox.org Support?
+1 für U2F. Gibt es News dazu von Mailbox.org Support?
Wäre immer noch an diesem Feature interessiert!
Wäre immer noch an diesem Feature interessiert!
Wie schaut es mit der Umsetzung dieser Anfrage aus, geehrtes mailbox.org-Team?
Wie schaut es mit der Umsetzung dieser Anfrage aus, geehrtes mailbox.org-Team?
+1 für u2f, vielleicht als Weihnachtsgeschenk?
+1 für u2f, vielleicht als Weihnachtsgeschenk?
Oh das wäre toll!!
Zumal Firefox Quantum jetzt auch u2f unterstützt ;)
Oh das wäre toll!!
Zumal Firefox Quantum jetzt auch u2f unterstützt ;)
2 Sticks wären auch nicht schlecht , für einen Zuhause und einem im Büro..
2 Sticks wären auch nicht schlecht , für einen Zuhause und einem im Büro..
+1 für U2F
+1 für U2F
gibt es hierzu schon etwas neues??
Das Thema wird von den Verantwortlichen ja gnadenlos totgeschwiegen ...
Eine definitive Antwort wäre wünschenswert!
gibt es hierzu schon etwas neues??
Das Thema wird von den Verantwortlichen ja gnadenlos totgeschwiegen ...
Eine definitive Antwort wäre wünschenswert!
Vor zweieinhalb Jahren hatte ich diesen Vorschlag gemacht, bedauerlicherweise wurde U2F nicht umgesetzt.
Mittlerweile gibt es mit Webauth/FIDO2 ein Nachfolger der alle Vorteile von U2F beinhaltet und darüber hinaus einiges mehr bietet. Eine Realisierung von U2F mach jetzt keine Sinn mehr.
Somit unterstütze ich jetzt den Vorschlag "Webauth Support"
https://userforum.mailbox.org/topic/webauthn-support
Vor zweieinhalb Jahren hatte ich diesen Vorschlag gemacht, bedauerlicherweise wurde U2F nicht umgesetzt.
Mittlerweile gibt es mit Webauth/FIDO2 ein Nachfolger der alle Vorteile von U2F beinhaltet und darüber hinaus einiges mehr bietet. Eine Realisierung von U2F mach jetzt keine Sinn mehr.
Somit unterstütze ich jetzt den Vorschlag "Webauth Support"
https://userforum.mailbox.org/topic/webauthn-support
Wird die Möglichkeit einer U2F oder FIDO2 Authentifizierung noch umgesetzt? Sie gehört zu der technisch sichersten und komfortabelsten Lösung und ich finde gerade ein EMail Konto, an dem ja auch die eigene Identität hängt und als Ausweis genutzt wird, muss bestmöglich abgesichert sein.
Wird die Möglichkeit einer U2F oder FIDO2 Authentifizierung noch umgesetzt? Sie gehört zu der technisch sichersten und komfortabelsten Lösung und ich finde gerade ein EMail Konto, an dem ja auch die eigene Identität hängt und als Ausweis genutzt wird, muss bestmöglich abgesichert sein.
Ich hätte das auch gerne, aber in absehbarer Zeit wird das wohl nix. Ich habe mal kurz recherchiert (etwas oberflächlich, zugegebenermaßen), es scheint bei OX keine FIDO2 Unterstützung zu geben. U2F gibt es zwar, aber auch nur teilweise, nicht für alle Apps. Man hätte wohl die gleichen Einschränkungen bezügl. Einbindung externer Konten / Laufwerke, wie sie schon jetzt bei aktivierter 2FA vorhanden sind. Und ohne Unterstützung in OX wird mailbox.org wohl kaum dafür Zeit investieren...
Ich hätte das auch gerne, aber in absehbarer Zeit wird das wohl nix. Ich habe mal kurz recherchiert (etwas oberflächlich, zugegebenermaßen), es scheint bei OX keine FIDO2 Unterstützung zu geben. U2F gibt es zwar, aber auch nur teilweise, nicht für alle Apps. Man hätte wohl die gleichen Einschränkungen bezügl. Einbindung externer Konten / Laufwerke, wie sie schon jetzt bei aktivierter 2FA vorhanden sind. Und ohne Unterstützung in OX wird mailbox.org wohl kaum dafür Zeit investieren...
Die Umsetzung hat uns 3 Tage Implementierung gekostet (einem Entwickler)...
Die Umsetzung hat uns 3 Tage Implementierung gekostet (einem Entwickler)...
Gibt es wirklich noch immer kein U2F???????? Regt mich auf, muss dann halt wechseln, OTP ist halt nicht sicher......
Gibt es wirklich noch immer kein U2F???????? Regt mich auf, muss dann halt wechseln, OTP ist halt nicht sicher......
Auch wenn der eine oder andere ehemalige(?) Kunde recht autoritär aufgetreten ist, muss die Frage gestattet sein, weshalb die Betreiber zum Thema FIDO U2F (und/oder FIDO2) keine Stellung beziehen, sondern das Thema seit 5 Jahren in der Luft hängen lassen.
Man kann nun spekulieren, dass das Thema gar nicht mehr umgesetzt wird - denn was soll heute anders als vor 5 Jahren sein - allerdings ist die Kommunikation zum Thema seitens der Betreiber IMHO mangelhaft. Denn selbst die Aussage, dass man keine Pläne für die Umsetzung hat, ist besser als gar keine Aussage zu treffen oder nur vage von - mal salopp ausgedrückt - "irgendwann" zu sprechen.
Vielleicht kann das Thema mit einem abschließenden Statement durch die Betreiber geschlossen werden... Dann kann der Sack hier zugemacht werden.
Wird FIDO U2F mittelfristig (also innerhalb der nächsten 6 Monate) kommen oder nicht?
Auch wenn der eine oder andere ehemalige(?) Kunde recht autoritär aufgetreten ist, muss die Frage gestattet sein, weshalb die Betreiber zum Thema FIDO U2F (und/oder FIDO2) keine Stellung beziehen, sondern das Thema seit 5 Jahren in der Luft hängen lassen.
Man kann nun spekulieren, dass das Thema gar nicht mehr umgesetzt wird - denn was soll heute anders als vor 5 Jahren sein - allerdings ist die Kommunikation zum Thema seitens der Betreiber IMHO mangelhaft. Denn selbst die Aussage, dass man keine Pläne für die Umsetzung hat, ist besser als gar keine Aussage zu treffen oder nur vage von - mal salopp ausgedrückt - "irgendwann" zu sprechen.
Vielleicht kann das Thema mit einem abschließenden Statement durch die Betreiber geschlossen werden... Dann kann der Sack hier zugemacht werden.
Wird FIDO U2F mittelfristig (also innerhalb der nächsten 6 Monate) kommen oder nicht?
Mailbox.org baut meines Wissens auf open-xchange auf. Gemäß deren Dokumentation wird U2F bereits (optional) unterstützt: https://documentation.open-xchange.com/7.10.4/middleware/security_and_encryption/multifactor_authentication.html#enabling-u2f
Mailbox.org baut meines Wissens auf open-xchange auf. Gemäß deren Dokumentation wird U2F bereits (optional) unterstützt: https://documentation.open-xchange.com/7.10.4/middleware/security_and_encryption/multifactor_authentication.html#enabling-u2f
Hallo, also was in der ganzen Diskussion vielleicht zu kurz kommt: Mailbox.org ist ja auch ein Unternehmen das Gehälter , Mieten etc. zahlen muss und im besten Fall auch noch Gewinn macht. Eine bessere oder andere 2FA wird ja schon seit Jahren versprochen aber nicht umgesetzt. Klar ist ja das so eine Implementierung Geld kostet, evtl. sogar viel Geld. Die Frage für mbo dürfte ja sein: Bekomme ich das Geld auch wieder rein , sprich bekomme ich dadurch viele NEUE Kunden. Ich schätze das so ein das der Markt für Mail ziemlich gesättigt ist und bei einem 1Euro / Monat ist wahrscheinlich auch nicht viel für Entwicklung über. Oder anders: Vielleicht ist es einfach nur eine wirtschaftliche Entscheidung es nicht umzusetzen.
Hallo, also was in der ganzen Diskussion vielleicht zu kurz kommt: Mailbox.org ist ja auch ein Unternehmen das Gehälter , Mieten etc. zahlen muss und im besten Fall auch noch Gewinn macht. Eine bessere oder andere 2FA wird ja schon seit Jahren versprochen aber nicht umgesetzt. Klar ist ja das so eine Implementierung Geld kostet, evtl. sogar viel Geld. Die Frage für mbo dürfte ja sein: Bekomme ich das Geld auch wieder rein , sprich bekomme ich dadurch viele NEUE Kunden. Ich schätze das so ein das der Markt für Mail ziemlich gesättigt ist und bei einem 1Euro / Monat ist wahrscheinlich auch nicht viel für Entwicklung über. Oder anders: Vielleicht ist es einfach nur eine wirtschaftliche Entscheidung es nicht umzusetzen.
Leider sind Passkeys im Browser technisch wie die Fidos unter webauthn eingebunden und somit technisch nicht zu unterscheiden. ;)
Leider sind Passkeys im Browser technisch wie die Fidos unter webauthn eingebunden und somit technisch nicht zu unterscheiden. ;)
Ich verstehe die ganze Diskussion hier nicht. Jeder kleine Anbieter bietet mittlerweile eine ordentliche implementierte 2FA an. Passkeys sind auf dem Vormarsch und deutlich sicherer als Passwörter mit einer schlechten 2FA Methode. Mailbox.org wirbt damit, besonders sicher zu sein - aber tatsächlich ist nichts davon implementiert? Ich halte das für ziemlich schwach!
Ich verstehe die ganze Diskussion hier nicht. Jeder kleine Anbieter bietet mittlerweile eine ordentliche implementierte 2FA an. Passkeys sind auf dem Vormarsch und deutlich sicherer als Passwörter mit einer schlechten 2FA Methode. Mailbox.org wirbt damit, besonders sicher zu sein - aber tatsächlich ist nichts davon implementiert? Ich halte das für ziemlich schwach!
Ich habe meinen Bekannten, denen ich mailbox.org empfohlen habe, geraten, sie sollen so lange nicht den neuen AGB/Tarifen zustimmen, bis sie wenigstens eine ordentliche 2FA haben. Ich hoffe, dass bei der nächsten Änderung vielleicht mehrere Kunden so verfahren und wir dieses Feature dann vielleicht tatsächlich bekommen (nur so als Idee).
Ich habe meinen Bekannten, denen ich mailbox.org empfohlen habe, geraten, sie sollen so lange nicht den neuen AGB/Tarifen zustimmen, bis sie wenigstens eine ordentliche 2FA haben. Ich hoffe, dass bei der nächsten Änderung vielleicht mehrere Kunden so verfahren und wir dieses Feature dann vielleicht tatsächlich bekommen (nur so als Idee).
Ich habe die Tage mehrere Domains auf Mailbox.org migriert. Somit hängen momentan alle meine digitale Identitäten nur noch an einem einzigen statischen Passwort. Wäre mir die 2FA-Situation vorher vollumfänglich bewusst gewesen, hätte ich meine Migration vermutlich überdacht: Meine Erwartungshaltung war hier derart gefestigt, dass ich mir nicht mal vorstellen konnte, dass es kein pragmatisches TOTP 2FA für Web und keine Applikationspasswörter gibt.
Aber auch ein dickes Lob: Der restliche Prozess (Bezahlung, Custom-Domain Handling, etc.) des Onboarding überzeugte mich restlos!
Dass nun ein einziges statisches Passwort für alles herhalten muss (die 90er Jahre lassen grüßen), es kein OAUTH, kein FIDO2/U2F, kein WebAuth oder anderes pragmatisches 2FA oder separate Applikations-Tokens gibt, ist für mich dann schon ein sehr, sehr großer Schmerzpunkt: Immerhin stellt die eigene Email auch heute noch den zentralen Dreh- und Angelpunkt im digitalen Raum dar und eine feindliche Übernahme besitzt ein nicht zu unterschätzendes Schadenspotential.
Ich verstehe, dass ich als Besitzer von 2 Yubikeys, aktiver Nutzer von FIDO2, Webauth und Passkey und insgesamt ca. 50 TOTP Token sowie weiteren OAUTH-basierten Mailkonten sicher nicht zur breiten Kundenmasse gehöre. Allerdings verletzt der aktuelle Stand meine Erwartungshaltung von zeitgemäßen Sicherstandard schon massiv. Denn – to keep it short: Passwords are FUBAR. F*cked up beyond any repair!
In einem Kommentar in diesen Thread erläutert der CEO Peer Heinlein hier die Hintergründe und für mich lassen sich diese zusammenfassen als: Pionier der ersten Stunde – nun Opfer einer komplexen Legacy-Infrastruktur. Darum habe ich im Sinne der Sache durchaus Nachsehen. Dennoch sollte für mich aber erkennbar sein, dass hier zeitnah eine Lösung in Sicht ist, die zumindest den Standard der Freemailer erreicht (Applikationstokens + triviales TOTP/U2F Management).
Soweit mein Plädoyer diesem Thema die Priorität und Aufmerksamkeit die es verdient zu gewähren. In diesem Sinne und mit den Besten Grüßen!
Ich habe die Tage mehrere Domains auf Mailbox.org migriert. Somit hängen momentan alle meine digitale Identitäten nur noch an einem einzigen statischen Passwort. Wäre mir die 2FA-Situation vorher vollumfänglich bewusst gewesen, hätte ich meine Migration vermutlich überdacht: Meine Erwartungshaltung war hier derart gefestigt, dass ich mir nicht mal vorstellen konnte, dass es kein pragmatisches TOTP 2FA für Web und keine Applikationspasswörter gibt.
Aber auch ein dickes Lob: Der restliche Prozess (Bezahlung, Custom-Domain Handling, etc.) des Onboarding überzeugte mich restlos!
Dass nun ein einziges statisches Passwort für alles herhalten muss (die 90er Jahre lassen grüßen), es kein OAUTH, kein FIDO2/U2F, kein WebAuth oder anderes pragmatisches 2FA oder separate Applikations-Tokens gibt, ist für mich dann schon ein sehr, sehr großer Schmerzpunkt: Immerhin stellt die eigene Email auch heute noch den zentralen Dreh- und Angelpunkt im digitalen Raum dar und eine feindliche Übernahme besitzt ein nicht zu unterschätzendes Schadenspotential.
Ich verstehe, dass ich als Besitzer von 2 Yubikeys, aktiver Nutzer von FIDO2, Webauth und Passkey und insgesamt ca. 50 TOTP Token sowie weiteren OAUTH-basierten Mailkonten sicher nicht zur breiten Kundenmasse gehöre. Allerdings verletzt der aktuelle Stand meine Erwartungshaltung von zeitgemäßen Sicherstandard schon massiv. Denn – to keep it short: Passwords are FUBAR. F*cked up beyond any repair!
In einem Kommentar in diesen Thread erläutert der CEO Peer Heinlein hier die Hintergründe und für mich lassen sich diese zusammenfassen als: Pionier der ersten Stunde – nun Opfer einer komplexen Legacy-Infrastruktur. Darum habe ich im Sinne der Sache durchaus Nachsehen. Dennoch sollte für mich aber erkennbar sein, dass hier zeitnah eine Lösung in Sicht ist, die zumindest den Standard der Freemailer erreicht (Applikationstokens + triviales TOTP/U2F Management).
Soweit mein Plädoyer diesem Thema die Priorität und Aufmerksamkeit die es verdient zu gewähren. In diesem Sinne und mit den Besten Grüßen!
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.