Schwerwiegende Schwachstelle: IMAP Passwort hebelt eigenes Passwort 2FA aus
„derjenige, der Zugang zum IMAP-Passwort hat, kann einen Passwort-Reset an die eigene E-Mail-Adresse anfordern, der 2FA vollständig deaktiviert“
Das ist eine gravierende Sicherheitsschwachstelle die Mailbox schleunigst schließen sollte.
Selbst GMX (was eigentlich kein Vergleich sein sollte) hat hier deutliche sicherere Mechanismen:
„Wenn Sie zwar nicht über http://www.gmx.net, aber über die GMX Mail App oder POP3/IMAP noch Zugriff auf Ihr Postfach haben, können Sie diese Option wählen, um Ihr Passwort zurückzusetzen. Info: Falls Sie die Zwei-Faktor-Authentifizierung aktiviert haben, müssen Sie im nächsten Schritt Ihren Geheimschlüssel eingeben. Dadurch wird die Zwei-Faktor-Authentifizierung deaktiviert. Sobald Sie wieder Zugriff auf Ihr Postfach haben, können Sie sie neu einrichten.“
Durch ein einziges Passwort welches man nicht selber wählen kann, wird die komplette Accountsicherheit ausgehebelt. Das selbstgewählte sichere Passwort und zusätzlich die gesamte 2-Faktor-Authentifizierung sind nutzlos falls ein Angreifer Zugriff auf IMAP bekommt bzw das IMAP passwort abgreift.
Das ist schon schlimm genug. Allerdings wurde dies zusätzlich nicht kommuniziert (nur bei nachfrage). Ich kann mich noch sehr genau erinnern dass auf der vorherigen Knowledge Base Seite bestätigt wurde dass ein Passwort Reset über IMAP nicht möglich ist sobald man 2FA aktiviert hat. Dies wurde auch schon in einem anderen Thread vom Support bestätigt.
Ich zitiere mal einen anderen User: „Nein, genau das darf nicht möglich sein. Denn dann würde ein IMAP-App-Passwort ja vollen Accountzugriff ermöglichen. Das widersräche ja dem Sinn eines Tokens, das ausschließlich IMAP ermöglichen soll.
Falls das so wäre (ein Test aus der Vergangenheit sagt nein und auch der Support hat es irgendwo glaube ich mal bestätigt, dass es Absicht so ist, dass es nicht geht) wäre das eine gravierende Sicherheitslücke“
Ich finde diese Idee klasse 
Hallo Ginger,
vielen Dank für Ihr Posting. Dieses Vorgehen war bis zum Login 2.0 immer der Standard bei mailbox und wurde auch also solcher in der Knowledge-Base kommuniziert. Sollte das Gegenteil in einem anderen Thread behauptet worden sein, handelt es sich um einen Irrtum.
Durch die Umstellung auf den Login 2.0 ist diese Funktion, 2FA via IMAP zu deaktivieren temporär ausgesetzt.
Wie in anderen Postings ausgeführt, haben wir intern lange diskutiert, ob wir das Verhalten so beibehalten. Wir haben uns letztlich dafür entschieden, da es uns die bestmögliche Balance zwischen Sicherheit und Bedienerfreundlichkeit zu gewährleisten scheint.
Wir eskalieren Ihre Bedenken aber gerne an unser Product-Management. Diese können dann entscheiden, ob wir die Möglichkeit implementieren, das Deaktivieren der 2FA via IMAP auf Kundenwunsch unterbleibt.
Mit herzlichen Grüßen
Ihr mailbox Team
---
Ein paar nützliche Links:
Hallo Ginger,
vielen Dank für Ihr Posting. Dieses Vorgehen war bis zum Login 2.0 immer der Standard bei mailbox und wurde auch also solcher in der Knowledge-Base kommuniziert. Sollte das Gegenteil in einem anderen Thread behauptet worden sein, handelt es sich um einen Irrtum.
Durch die Umstellung auf den Login 2.0 ist diese Funktion, 2FA via IMAP zu deaktivieren temporär ausgesetzt.
Wie in anderen Postings ausgeführt, haben wir intern lange diskutiert, ob wir das Verhalten so beibehalten. Wir haben uns letztlich dafür entschieden, da es uns die bestmögliche Balance zwischen Sicherheit und Bedienerfreundlichkeit zu gewährleisten scheint.
Wir eskalieren Ihre Bedenken aber gerne an unser Product-Management. Diese können dann entscheiden, ob wir die Möglichkeit implementieren, das Deaktivieren der 2FA via IMAP auf Kundenwunsch unterbleibt.
Mit herzlichen Grüßen
Ihr mailbox Team
---
Ein paar nützliche Links:
Ersten ist die Überschrift hier im Thread ziemlich reißerisch. Vielleicht hätte es mehr Sinn gemacht, diese Unterstellung zumindest als Frage zu formulieren.
Zweitens bin ich mir unsicher ob du, Ginger, das ganze hier korrekt siehst. Ich bin auch mit der Supportantwort nicht zufrieden. Nach meinem Kenntnisstand ist deine Unterstellung, Ginger, schlicht falsch. Lieber Support, du hast dich irgendwie missverständlich ausgedrückt. Vielleicht verstehe ich was nicht, oder mit meinem Account ist was falsch/anders, aber von meiner Seite aus stellt es sich wie folgt dar:
Früher, beim alten Login, war es möglich das Passwort unter anderem durch eine Reset-mail an das eigene Postfach zu ändern. Hatte man damals noch von irgendeinem anderen Gerät Zugriff auf das Postfach (imap oder pop3), konnte man den Zugang resetten. Das hatte ich vor Jahren mal getestet. Bei diesem Verhalten bin ich mir sehr sicher. Daneben gab es die Möglichkeit des Resets über alternative Mail oder Handy (sms).
Heute, beim neuen Login2.0 mit aktivierter 2FA gibt es bei mir KEINE Möglichkeit mehr, eine Reset-Mail an das eigene Postfach zu schicken. Ich habe es gerade probiert, und die Passwort-Vergessen-Seite aufgerufen. Bei mir gibt es ausschließlich die Möglichkeit der SMS an die Handynummer und der Mail an die alternative Emailadresse. Zumindest bei mir scheint diese "Schwerwiegende Schwachstelle" nicht zu existieren. Exakt genau so wie es bei mir ist, wird es auch in der Knowledge-Base beschrieben.
Ich würde mich freuen, wenn andere Nutzer das kontrollieren könnten. Die Resetfunktion fürs Passwort sollte schon so funktionieren, wie es in der KB beschrieben ist.
Ersten ist die Überschrift hier im Thread ziemlich reißerisch. Vielleicht hätte es mehr Sinn gemacht, diese Unterstellung zumindest als Frage zu formulieren.
Zweitens bin ich mir unsicher ob du, Ginger, das ganze hier korrekt siehst. Ich bin auch mit der Supportantwort nicht zufrieden. Nach meinem Kenntnisstand ist deine Unterstellung, Ginger, schlicht falsch. Lieber Support, du hast dich irgendwie missverständlich ausgedrückt. Vielleicht verstehe ich was nicht, oder mit meinem Account ist was falsch/anders, aber von meiner Seite aus stellt es sich wie folgt dar:
Früher, beim alten Login, war es möglich das Passwort unter anderem durch eine Reset-mail an das eigene Postfach zu ändern. Hatte man damals noch von irgendeinem anderen Gerät Zugriff auf das Postfach (imap oder pop3), konnte man den Zugang resetten. Das hatte ich vor Jahren mal getestet. Bei diesem Verhalten bin ich mir sehr sicher. Daneben gab es die Möglichkeit des Resets über alternative Mail oder Handy (sms).
Heute, beim neuen Login2.0 mit aktivierter 2FA gibt es bei mir KEINE Möglichkeit mehr, eine Reset-Mail an das eigene Postfach zu schicken. Ich habe es gerade probiert, und die Passwort-Vergessen-Seite aufgerufen. Bei mir gibt es ausschließlich die Möglichkeit der SMS an die Handynummer und der Mail an die alternative Emailadresse. Zumindest bei mir scheint diese "Schwerwiegende Schwachstelle" nicht zu existieren. Exakt genau so wie es bei mir ist, wird es auch in der Knowledge-Base beschrieben.
Ich würde mich freuen, wenn andere Nutzer das kontrollieren könnten. Die Resetfunktion fürs Passwort sollte schon so funktionieren, wie es in der KB beschrieben ist.
Es gibt mittlerweile übrigens auch einen Reddit Beitrag hierzu: https://www.reddit.com/r/de_EDV/comments/1nv72lf/psa_2fa_bei_mailboxorg_nur_so_stark_wie_imap/
Dort sind die User verständlicherweise genauso entsetzt.
Es gibt mittlerweile übrigens auch einen Reddit Beitrag hierzu: https://www.reddit.com/r/de_EDV/comments/1nv72lf/psa_2fa_bei_mailboxorg_nur_so_stark_wie_imap/
Dort sind die User verständlicherweise genauso entsetzt.
Oh, das ist suboptimale Kommunikation. Der Support ist tatsächlich missverständlich und widersprüchlich, nachdem ich mir den angepinnten Nachbarthread durchgelesen habe.
Ich persönlich finde gut, dass es aktuell nicht möglich ist, ein Passwortreset über das eigene Mailpostfach zu ermöglichen. App-Passwörter sind dafür gedacht, dass es keine Vollkatastrophe ist, sofern sie ausgespäht werde. Wenn ich durch das Ausspähen des Imap-App-Passworts aber das Haupt-Passwort incl. 2FA resetten kann, und damit das Postfach komplett unwiederbringlich übernehmen kann, ist das aus sicherheitstechnische Sicht ziemlich doof.
Die Abwägung ob es diese Möglichkeit gibt oder nicht gibt, ist vermutlich eine zwischen Kundenunzufriedenheit vom Otto-Normal-User und Kundenunzufriedenheit des sicherheitskritischen-User. Hier wird mailbox.org vermutlich eine betriebswirtschaftliche Sicht haben, und die kleinere Kundengruppe benachteiligen.
Letztlich könnte mailbox.org das Problem lösen, indem die Funktion aktivierbar ist und deaktivierbar ist, quasi ein Schalter ob man diese Version des Passwortresets über das eigene Postfach haben will oder nicht. So wie man ja auch eine Handynummer oder alternative Mailadresse angeben kann, oder nicht.
Ich bin gespannt, wie sich mailbox.org entscheidet und diese Frage langfristig löst.
Oh, das ist suboptimale Kommunikation. Der Support ist tatsächlich missverständlich und widersprüchlich, nachdem ich mir den angepinnten Nachbarthread durchgelesen habe.
Ich persönlich finde gut, dass es aktuell nicht möglich ist, ein Passwortreset über das eigene Mailpostfach zu ermöglichen. App-Passwörter sind dafür gedacht, dass es keine Vollkatastrophe ist, sofern sie ausgespäht werde. Wenn ich durch das Ausspähen des Imap-App-Passworts aber das Haupt-Passwort incl. 2FA resetten kann, und damit das Postfach komplett unwiederbringlich übernehmen kann, ist das aus sicherheitstechnische Sicht ziemlich doof.
Die Abwägung ob es diese Möglichkeit gibt oder nicht gibt, ist vermutlich eine zwischen Kundenunzufriedenheit vom Otto-Normal-User und Kundenunzufriedenheit des sicherheitskritischen-User. Hier wird mailbox.org vermutlich eine betriebswirtschaftliche Sicht haben, und die kleinere Kundengruppe benachteiligen.
Letztlich könnte mailbox.org das Problem lösen, indem die Funktion aktivierbar ist und deaktivierbar ist, quasi ein Schalter ob man diese Version des Passwortresets über das eigene Postfach haben will oder nicht. So wie man ja auch eine Handynummer oder alternative Mailadresse angeben kann, oder nicht.
Ich bin gespannt, wie sich mailbox.org entscheidet und diese Frage langfristig löst.
Hallo in die Runde,
vielen Dank für die angeregte Diskussion, es freut uns sehr, dass Sie alle so engagiert sind. Wir verfolgen die Diskussion und werden uns heute beraten, ob wir an dieser Stelle Anpassungen implementieren. Natürlich werden wir Sie an dieser Stelle über das Ergebnis informieren. Bis dahin bitten wir Sie noch um ein wenig Geduld.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Hallo in die Runde,
vielen Dank für die angeregte Diskussion, es freut uns sehr, dass Sie alle so engagiert sind. Wir verfolgen die Diskussion und werden uns heute beraten, ob wir an dieser Stelle Anpassungen implementieren. Natürlich werden wir Sie an dieser Stelle über das Ergebnis informieren. Bis dahin bitten wir Sie noch um ein wenig Geduld.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Kann mir jemand das Problem oder meinen Denkfehler erklären?
Ich trage eine alternative E-Mail-Adresse ein, aus welchen Gründen auch immer, aber jedenfalls, um irgendwie meinen Account retten zu können. Wenn ich Passwort und/oder den zweiten Faktor verliere, will ich meinen Account retten können. Der Rettungslink (oder was auch immer) wird an die alternative E-Mail-Adresse geschickt. Dass ich mir mit der Passwort-Vergessen-Funktion über die alternative E-Mail-Adresse im Zweifel Zugang verschaffen kann, ist der Sinn der ganzen Sache!
Somit hängt die Sicherheit meines mailbox-Accounts maßgeblich von der Sicherheit der alternativen E-Mail-Adresse ab. Diese Implikation besteht immer, sobald ich eine alternative Adresse eintrage.
Wenn ich das nicht will, trage ich doch keine alternative E-Mail-Adresse ein!? Somit existiert das geschilderte Problem auch gar nicht.
Für mich klingt das gerade wie: "Ich habe eine Möglichkeit zum wiederherstellen des Accounts eingerichtet. Und es funktioniert!"
Kann mir jemand das Problem oder meinen Denkfehler erklären?
Ich trage eine alternative E-Mail-Adresse ein, aus welchen Gründen auch immer, aber jedenfalls, um irgendwie meinen Account retten zu können. Wenn ich Passwort und/oder den zweiten Faktor verliere, will ich meinen Account retten können. Der Rettungslink (oder was auch immer) wird an die alternative E-Mail-Adresse geschickt. Dass ich mir mit der Passwort-Vergessen-Funktion über die alternative E-Mail-Adresse im Zweifel Zugang verschaffen kann, ist der Sinn der ganzen Sache!
Somit hängt die Sicherheit meines mailbox-Accounts maßgeblich von der Sicherheit der alternativen E-Mail-Adresse ab. Diese Implikation besteht immer, sobald ich eine alternative Adresse eintrage.
Wenn ich das nicht will, trage ich doch keine alternative E-Mail-Adresse ein!? Somit existiert das geschilderte Problem auch gar nicht.
Für mich klingt das gerade wie: "Ich habe eine Möglichkeit zum wiederherstellen des Accounts eingerichtet. Und es funktioniert!"
Hallo,
vielen Dank für Ihr Feedback! Wir verstehen die Bedenken bezüglich unserer aktuellen Passwort-Reset-Logik und möchten Ihnen gerne die Hintergründe erläutern. Unser Ziel ist es, selbst bei Verlust des zweiten Faktors (z. B. verlorenes Smartphone, gelöschte Authenticator-App, defekter Hardware-Token) einen praktikablen und nutzerfreundlichen Weg zurück in den Account zu ermöglichen. Ohne eine Möglichkeit, sich über ein bereits bestehendes IMAP/POP-App-Passwort zu legitimieren, besteht die Gefahr, dass sich Nutzer*innen selbst für immer aussperren. Verlorene 2FA dürfen nicht zum endgültigen Kontoverlust führen.
Wir sind uns jedoch bewusst, dass dies nicht die perfekte Lösung darstellt. Daher werden wir schnellstmöglich eine Option implementieren, die es Ihnen erlaubt selbst auszuwählen, ob Sie die 2FA mittels Passwort-Reset deaktivieren können oder nicht. In diesem Fall wird es dann nicht mehr möglich sein, die Zwei-Faktor-Authentifizierung mittels Passwort-Reset auszuschalten. Wir werden umgehend mit der Planung beginnen, können aber noch nicht genau absehen, wie lange die Umsetzung dauern wird. Wir bitten Sie daher noch um ein wenig Geduld.
Wir danken Ihnen sehr für Ihre Hinweise und die kritische Auseinandersetzung mit diesem Thema.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Hallo,
vielen Dank für Ihr Feedback! Wir verstehen die Bedenken bezüglich unserer aktuellen Passwort-Reset-Logik und möchten Ihnen gerne die Hintergründe erläutern. Unser Ziel ist es, selbst bei Verlust des zweiten Faktors (z. B. verlorenes Smartphone, gelöschte Authenticator-App, defekter Hardware-Token) einen praktikablen und nutzerfreundlichen Weg zurück in den Account zu ermöglichen. Ohne eine Möglichkeit, sich über ein bereits bestehendes IMAP/POP-App-Passwort zu legitimieren, besteht die Gefahr, dass sich Nutzer*innen selbst für immer aussperren. Verlorene 2FA dürfen nicht zum endgültigen Kontoverlust führen.
Wir sind uns jedoch bewusst, dass dies nicht die perfekte Lösung darstellt. Daher werden wir schnellstmöglich eine Option implementieren, die es Ihnen erlaubt selbst auszuwählen, ob Sie die 2FA mittels Passwort-Reset deaktivieren können oder nicht. In diesem Fall wird es dann nicht mehr möglich sein, die Zwei-Faktor-Authentifizierung mittels Passwort-Reset auszuschalten. Wir werden umgehend mit der Planung beginnen, können aber noch nicht genau absehen, wie lange die Umsetzung dauern wird. Wir bitten Sie daher noch um ein wenig Geduld.
Wir danken Ihnen sehr für Ihre Hinweise und die kritische Auseinandersetzung mit diesem Thema.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Für mich hört es sich so an als wäre genau das geplant. Die Option dass der Reset über IMAP standardmäßig aktiviert sein sollte, sehe ich auch wie du. Dann hat der Support weniger Aufwand und die sicherheits-orientierten Nutzer haben gleichzeitig die Option es auszuschalten. Das klingt nach einem guten Kompromiss.
Für mich hört es sich so an als wäre genau das geplant. Die Option dass der Reset über IMAP standardmäßig aktiviert sein sollte, sehe ich auch wie du. Dann hat der Support weniger Aufwand und die sicherheits-orientierten Nutzer haben gleichzeitig die Option es auszuschalten. Das klingt nach einem guten Kompromiss.
There is already talks on privacyguides.org to remove mailbox.org from their recommendations
https://discuss.privacyguides.net/t/mailbox-org-with-severe-authentication-vulnerability-through-password-reset/31846/3
There is already talks on privacyguides.org to remove mailbox.org from their recommendations
https://discuss.privacyguides.net/t/mailbox-org-with-severe-authentication-vulnerability-through-password-reset/31846/3
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.