Login 2.0: neue 2FA offenbar nutzlos für Einwahl von unsicheren Geräten?
Mal eine Frage: Bisher habe ich 2FA im alten System aktiviert für die Weboberfläche. Bin seit vielen Jahren Kunde hier. Das bedeutet für mich, dass ich mich auf unsicheren Geräten einwählen kann (Hotel-PC, PC eines Bekannten, PC meines Arbeitgebers) ohne mein Hauptpasswort preisgeben zu müssen. Genau das war ja dieser Zahlencode, über den früher hier viele geschimpft haben, den ich aber toll fand. Werden meine Daten vom Hotel oder von meinem Arbeitgeber geloggt, dann haben diese Personen nur einen Zahlencode, der sich regelmäßig ändert, aber nicht mein Hauptpasswort. Das bedeutet alle Zugänge (imap, smtp, caldav, carddav, cloud, forum sowie die Weboberfläche) bleiben sicher. Klar ist das Hauptpasswort auf meinen Handy und Tablet hinterlegt, aber ich halte diese Geräte für sicher, ebenso wie meine eigenen PCs sicher sind. Mit Passwortmanager kann ich auch nicht auf Phishing reinfallen mit Fake-Zugangsseiten.
Wenn ich den neuen Login2.0 verstehe läuft das so: Ich habe ein Hauptpasswort, und kann zwar für die Weboberfläche 2FA aktivieren, muss dabei aber immer noch das Hauptpasswort eingeben. So wie es viele Anbieter mit 2FA machen. Mit diesem Hauptpasswort alleine kann ich auch bei aktivierter 2FA alle Zugänge (imap, smtp, caldav, carddav, cloud, forum) verwenden. Mit App-Passwörtern kann ich also den sehr unwahrscheinlichen Fall absichern, dass NSA, CIA oder FBI mein Handy übernommen haben. Weil nämlich für die Zugangswege imap, smtp, caldav, carddav und cloud kann ich separate App-Passwörter vergeben. Wenn ich diese App-passwörter dann in mein Handy oder mein Tablet eingebe, kann der entsprechende Geheimdienst nur auf die einzelne App zugreifen, nicht aber auf die Weboberfläche. Den regelmäßigen Fall aber, dass ich mich von einem wirklich unsicheren System (Hotel, Arbeitgeber, Bekannte) per Webbrowser einwähle, den kann ich mich mit dem neuen Login2.0 und der damit verbundenen neuen 2FA nicht absichern, weil ich auf diesem unsicheren PC das Hauptpasswort eingebe, und mit diesem Hauptpasswort sind alle Zugangswege (imap, smtp, caldav, carddav, cloud) offen, da die APP-Passwörter offenbar nur einen zusätzlichen Zugang darstellen. Zumindest bei meinem letzten Test über einen separaten Account bei dem ich den Beta-Test aktiviert hatte, war es so. App-Passwörter haben für den entsprechenden Zugang (z.B. imap) nur einen zusätzlichen Zugang geschaffen, das normale Hauptpasswort ging aber auch noch. Ich habe das als Fehler gemeldet, und nie eine Rückmeldung erhalten.
Wäre das wirklich der Fall, dass ich die neue 2FA mit Login 2.0 richtig verstanden habe, dann bin ich wirklich entsetzt. Mein Regelfall (Einwahl von einem unsicheren Gerät) kann dann nicht mehr abgesichert werden, der äußerst unwahrscheinlich Fall aber dass meine mobilen Endgeräte von finanziell extrem potenten Angreifern übernommen werden, kann ab sofort abgesichert werden. Für mich absolut nutzlos! Ich hoffe, ich kann bei der Umstellung auf Login2.0 dann 2FA deaktivieren. Ich bin mal gespannt. Übrigens hätte ich erwartet, dass ich frühzeitig von der Umstellung per Mailankündigung erfahre, und es nicht zufällig im Blog lesen muss. Offenbar könnte ich schon morgen eine Mail erhalten, dass ab sofort mein Account umgestellt ist.
Nachtrag: Bei Zugängen mit nur einer Zugangsart (z.B. Facebook, Domain-registrar, Musikstreaming, etc.) ist diese Art von 2FA ja sinnvoll. Es gibt nur einen Zugang, dieser ist mit 2FA zusätzlich abgesichert. Bei einem Webmailer, bei dem ich aber auch neben dem Web-Zugang auch andere Zugangswege habe welche ich systembedingt nicht mit 2FA absichern kann (imap, smtp, caldav, carddav, webdav), und mit diesen anderen Zugangswegen letztlich alle Daten abfragen und manipulieren kann (und sogar das Passwort zurücksetzen kann), halte ich die neue 2FA für sinnlos.
Ich habe die gleiche Frage 
Hallo einuser,
ich glaube, hier sind ein paar Dinge durcheinandergeraten. Ich versuche daher, etwas Klarheit in die Sache zu bringen:
Bisher wurde beim Login ins Web-Interface bei aktivierter Zwei-Faktor-Authentifizierung (2FA) eine Kombination aus PIN und OTP-Token abgefragt. Der Zugriff über andere Protokolle (z. B. IMAP, SMTP) erfolgte hingegen über das reguläre Nutzerpasswort – es gab also zwei verschiedene Zugangsdaten. Später haben wir dies erweitert, sodass App-Passwörter verwendet werden konnten.
Mit der Einführung von Login 2.0 ändert sich dieses Vorgehen:
Das bedeutet: Auf Endgeräten muss das Hauptpasswort nicht mehr gespeichert werden, um auf mailbox.org-Dienste zuzugreifen. Außerdem entfällt die Notwendigkeit, Passwörter zwischen Geräten oder Anwendungen zu teilen.
Beim Login ins Web-Interface wird zwar weiterhin das Hauptpasswort verwendet, jedoch ist dieser Zugang nun durch den zweiten Faktor zusätzlich abgesichert.
Somit bietet der Login 2.0 im Vergleich zur bisherigen 2FA-Lösung ein höheres Maß an Kontrolle und Sicherheit.
Hallo einuser,
ich glaube, hier sind ein paar Dinge durcheinandergeraten. Ich versuche daher, etwas Klarheit in die Sache zu bringen:
Bisher wurde beim Login ins Web-Interface bei aktivierter Zwei-Faktor-Authentifizierung (2FA) eine Kombination aus PIN und OTP-Token abgefragt. Der Zugriff über andere Protokolle (z. B. IMAP, SMTP) erfolgte hingegen über das reguläre Nutzerpasswort – es gab also zwei verschiedene Zugangsdaten. Später haben wir dies erweitert, sodass App-Passwörter verwendet werden konnten.
Mit der Einführung von Login 2.0 ändert sich dieses Vorgehen:
Das bedeutet: Auf Endgeräten muss das Hauptpasswort nicht mehr gespeichert werden, um auf mailbox.org-Dienste zuzugreifen. Außerdem entfällt die Notwendigkeit, Passwörter zwischen Geräten oder Anwendungen zu teilen.
Beim Login ins Web-Interface wird zwar weiterhin das Hauptpasswort verwendet, jedoch ist dieser Zugang nun durch den zweiten Faktor zusätzlich abgesichert.
Somit bietet der Login 2.0 im Vergleich zur bisherigen 2FA-Lösung ein höheres Maß an Kontrolle und Sicherheit.
Ich habe es so verstanden, dass nach der Aktivierung des neuen MFA alle Protokolle ein spezielles App-Passwort benötigen und der Login über das Hauptpasswort außerhalb des Webmailers dann nicht mehr möglich ist. Ist dem nicht so?
Ich habe es so verstanden, dass nach der Aktivierung des neuen MFA alle Protokolle ein spezielles App-Passwort benötigen und der Login über das Hauptpasswort außerhalb des Webmailers dann nicht mehr möglich ist. Ist dem nicht so?
Hallo einuser,
ich glaube, hier sind ein paar Dinge durcheinandergeraten. Ich versuche daher, etwas Klarheit in die Sache zu bringen:
Bisher wurde beim Login ins Web-Interface bei aktivierter Zwei-Faktor-Authentifizierung (2FA) eine Kombination aus PIN und OTP-Token abgefragt. Der Zugriff über andere Protokolle (z. B. IMAP, SMTP) erfolgte hingegen über das reguläre Nutzerpasswort – es gab also zwei verschiedene Zugangsdaten. Später haben wir dies erweitert, sodass App-Passwörter verwendet werden konnten.
Mit der Einführung von Login 2.0 ändert sich dieses Vorgehen:
Das bedeutet: Auf Endgeräten muss das Hauptpasswort nicht mehr gespeichert werden, um auf mailbox.org-Dienste zuzugreifen. Außerdem entfällt die Notwendigkeit, Passwörter zwischen Geräten oder Anwendungen zu teilen.
Beim Login ins Web-Interface wird zwar weiterhin das Hauptpasswort verwendet, jedoch ist dieser Zugang nun durch den zweiten Faktor zusätzlich abgesichert.
Somit bietet der Login 2.0 im Vergleich zur bisherigen 2FA-Lösung ein höheres Maß an Kontrolle und Sicherheit.
Hallo einuser,
ich glaube, hier sind ein paar Dinge durcheinandergeraten. Ich versuche daher, etwas Klarheit in die Sache zu bringen:
Bisher wurde beim Login ins Web-Interface bei aktivierter Zwei-Faktor-Authentifizierung (2FA) eine Kombination aus PIN und OTP-Token abgefragt. Der Zugriff über andere Protokolle (z. B. IMAP, SMTP) erfolgte hingegen über das reguläre Nutzerpasswort – es gab also zwei verschiedene Zugangsdaten. Später haben wir dies erweitert, sodass App-Passwörter verwendet werden konnten.
Mit der Einführung von Login 2.0 ändert sich dieses Vorgehen:
Das bedeutet: Auf Endgeräten muss das Hauptpasswort nicht mehr gespeichert werden, um auf mailbox.org-Dienste zuzugreifen. Außerdem entfällt die Notwendigkeit, Passwörter zwischen Geräten oder Anwendungen zu teilen.
Beim Login ins Web-Interface wird zwar weiterhin das Hauptpasswort verwendet, jedoch ist dieser Zugang nun durch den zweiten Faktor zusätzlich abgesichert.
Somit bietet der Login 2.0 im Vergleich zur bisherigen 2FA-Lösung ein höheres Maß an Kontrolle und Sicherheit.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.