OAuth 2.0 in Planung? / Mehrere PW-Reset-Adressen? / 2-FA Recovery Keys?
Hallo,
Ein paar Fragen / Kritik:
1. Ist es geplant, OAuth 2.0 als Anmeldeoption für Apps zu implementieren?
Email-Apps wie Thunderbird, K9 etc. die Anmeldung via App-Passwort zu ermöglichen macht doch die ganze 2FA-Geschichte völlig obsolet. Das App-Passwort setzt ja gerade nicht auf einen Token und ist damit eine simple 1FA. Wird das App-Passwort also irgendwie ausgelesen, kann man sich damit vollständigen Zugang zum Account (Lesen und Schreiben von Emails) verschaffen. Was ist also überhaupt der Sinn einer 2FA-Anmeldung im Webmailer, wenn man gleichzeitig App-Passwörter verwendet, wodurch der 2FA-Schutz - wie eben erläutert - vollständig ausgehebelt wird? Viel schlimmer noch, dass das garnicht kommuniziert wird. Der nicht ganz so technikaffine User wiegt sich damit in völlig falscher Sicherheit, denn "er hat ja jetzt dieses 2FA, von dem alle sprechen". (Oder bin ich selbst der nicht ganz so technikaffine User und habe da etwas grundlegendes falsch verstanden?)
2. Wäre es möglich, mehrere Telefonnummern und Emails für den Passwort-Reset zu hinterlegen? Sollte technisch kein Problem sein und gibt Sicherheit. Danke!
3. Warum werden nicht zusätzlich Wiederherstellungs-Keys beim Einrichten der 2FA erstellt? (Alle Dienste die auf 2FA setzen, die mir bisher untergekommen sind, machen das so).
Es mag zwar sein, dass es immer noch schlimmer ist, wenn _andere_ unberechtigt Zugriff auf einen Email Account erhalten, aber die Gefahr sich _selbst_ auszusperren ist imho auch nicht gerade zu unterschätzen.
Danke! :)
Ich finde diese Idee klasse 
Zu 1: Natürlich gibt es Anmeldeverfahren, die sicherer sind, als 2FA. Aber hundertprozentige Sicherheit gibt es nicht, und Sicherheit ist immer auch ein Kompromiss zwischen Einfach und kompliziert/aufwändig. Ich persönlich finde 2FA gut, weil ich mich damit auf Geräten einwählen kann, die nicht ausschließlich unter meiner Kontrolle sind wie z.B. das Gerät eines Bekannten oder Freundes oder des Arbeitgebers. Des weiteren können App-PAsswörter sinnvoll sein für spezielle Geräte oder Apps. Verliere ich ein Gerät, deaktiviere ich das Apppasswort dafür, und habe keinen größeren Aufwand.
Zu 2und3: Es gibt meines Wissens eine Widerherstellungsemail, eine Wiederherstellungstelefonnummer und ein Widerherstellungspasswort für den Supportkontakt. Das sind drei unterschiedliche Möglichkeiten für die Widerherstellung wenn ich mich aussperre. Darüber hinaus reicht auch, wenn irgendein Gerät noch Zugriff auf die Mails hat (z.B. App-passwort für Mailclient am Tablet. Also mehr oder weniger vier Möglichkeiten gesamt. Das sollte eigentlich reichen. Auch hier ist es vermutlich ein Kompromiss zwischen Nutzerfreundlichkeit und Supportaufwand und Sicherheit.
Zu 1: Natürlich gibt es Anmeldeverfahren, die sicherer sind, als 2FA. Aber hundertprozentige Sicherheit gibt es nicht, und Sicherheit ist immer auch ein Kompromiss zwischen Einfach und kompliziert/aufwändig. Ich persönlich finde 2FA gut, weil ich mich damit auf Geräten einwählen kann, die nicht ausschließlich unter meiner Kontrolle sind wie z.B. das Gerät eines Bekannten oder Freundes oder des Arbeitgebers. Des weiteren können App-PAsswörter sinnvoll sein für spezielle Geräte oder Apps. Verliere ich ein Gerät, deaktiviere ich das Apppasswort dafür, und habe keinen größeren Aufwand.
Zu 2und3: Es gibt meines Wissens eine Widerherstellungsemail, eine Wiederherstellungstelefonnummer und ein Widerherstellungspasswort für den Supportkontakt. Das sind drei unterschiedliche Möglichkeiten für die Widerherstellung wenn ich mich aussperre. Darüber hinaus reicht auch, wenn irgendein Gerät noch Zugriff auf die Mails hat (z.B. App-passwort für Mailclient am Tablet. Also mehr oder weniger vier Möglichkeiten gesamt. Das sollte eigentlich reichen. Auch hier ist es vermutlich ein Kompromiss zwischen Nutzerfreundlichkeit und Supportaufwand und Sicherheit.
Wieso sollte OAuth 2.0 für Anwendungen sicherer sein?
Das IMAP/SMTP/Ca(l|rd)DAV/WebDAV App-PW ist doch bereits ein gescoptes Token, das nur beschränkte Gültigkeit hat und eben nicht alles darf. Zudem kann es einzeln (clientspezifisch) widerrufen werden.
Wenn Mailclients OAuth 2.0 machen, muss das Token (besser gesagt Refresh Token) eine lange Gültigkeit haben, ansonsten ist das ganze wenig praktikabel. Wobei wir dann nicht besser als die aktuelle Lösung sind.
Oder willst du bei jedem Öffnen von Thunderbird bzw. auf dem Handy die 2FA durchlaufen?
(Ich bin nicht gegen OAuth 2.0 für IMAP/SMTP, aber ich sehe den großen Benefit aktuell nicht. Ihr dürft mir gerne gute Gründe nennen.)
Zu 3: Du kannst einfach ein weiteres TOTP-Passwort erstellen und dir das Secret speichern/ausdrucken. Wieso nicht Recovery-Codes genutzt werden, keine Ahnung.
Allgemein muss man sagen, dass von den Möglichkeiten, die das neue Identity and Access Management System (Keycloak) so bietet, (bisher?) noch nicht viel genutzt wird und es deutlich mehr Möglichkeiten gäbe.
@einuser:
Das ist (zu Recht) nicht mehr möglich, da es mit App-Passwörter die ganze Sicherheit aushebeln würde.Wieso sollte OAuth 2.0 für Anwendungen sicherer sein?
Das IMAP/SMTP/Ca(l|rd)DAV/WebDAV App-PW ist doch bereits ein gescoptes Token, das nur beschränkte Gültigkeit hat und eben nicht alles darf. Zudem kann es einzeln (clientspezifisch) widerrufen werden.
Wenn Mailclients OAuth 2.0 machen, muss das Token (besser gesagt Refresh Token) eine lange Gültigkeit haben, ansonsten ist das ganze wenig praktikabel. Wobei wir dann nicht besser als die aktuelle Lösung sind.
Oder willst du bei jedem Öffnen von Thunderbird bzw. auf dem Handy die 2FA durchlaufen?
(Ich bin nicht gegen OAuth 2.0 für IMAP/SMTP, aber ich sehe den großen Benefit aktuell nicht. Ihr dürft mir gerne gute Gründe nennen.)
Zu 3: Du kannst einfach ein weiteres TOTP-Passwort erstellen und dir das Secret speichern/ausdrucken. Wieso nicht Recovery-Codes genutzt werden, keine Ahnung.
Allgemein muss man sagen, dass von den Möglichkeiten, die das neue Identity and Access Management System (Keycloak) so bietet, (bisher?) noch nicht viel genutzt wird und es deutlich mehr Möglichkeiten gäbe.
@einuser:
Das ist (zu Recht) nicht mehr möglich, da es mit App-Passwörter die ganze Sicherheit aushebeln würde.Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.