Schwerwiegende Schwachstelle: IMAP Passwort hebelt eigenes Passwort 2FA aus
„derjenige, der Zugang zum IMAP-Passwort hat, kann einen Passwort-Reset an die eigene E-Mail-Adresse anfordern, der 2FA vollständig deaktiviert“
Das ist eine gravierende Sicherheitsschwachstelle die Mailbox schleunigst schließen sollte.
Selbst GMX (was eigentlich kein Vergleich sein sollte) hat hier deutliche sicherere Mechanismen:
„Wenn Sie zwar nicht über http://www.gmx.net, aber über die GMX Mail App oder POP3/IMAP noch Zugriff auf Ihr Postfach haben, können Sie diese Option wählen, um Ihr Passwort zurückzusetzen. Info: Falls Sie die Zwei-Faktor-Authentifizierung aktiviert haben, müssen Sie im nächsten Schritt Ihren Geheimschlüssel eingeben. Dadurch wird die Zwei-Faktor-Authentifizierung deaktiviert. Sobald Sie wieder Zugriff auf Ihr Postfach haben, können Sie sie neu einrichten.“
Durch ein einziges Passwort welches man nicht selber wählen kann, wird die komplette Accountsicherheit ausgehebelt. Das selbstgewählte sichere Passwort und zusätzlich die gesamte 2-Faktor-Authentifizierung sind nutzlos falls ein Angreifer Zugriff auf IMAP bekommt bzw das IMAP passwort abgreift.
Das ist schon schlimm genug. Allerdings wurde dies zusätzlich nicht kommuniziert (nur bei nachfrage). Ich kann mich noch sehr genau erinnern dass auf der vorherigen Knowledge Base Seite bestätigt wurde dass ein Passwort Reset über IMAP nicht möglich ist sobald man 2FA aktiviert hat. Dies wurde auch schon in einem anderen Thread vom Support bestätigt.
Ich zitiere mal einen anderen User: „Nein, genau das darf nicht möglich sein. Denn dann würde ein IMAP-App-Passwort ja vollen Accountzugriff ermöglichen. Das widersräche ja dem Sinn eines Tokens, das ausschließlich IMAP ermöglichen soll.
Falls das so wäre (ein Test aus der Vergangenheit sagt nein und auch der Support hat es irgendwo glaube ich mal bestätigt, dass es Absicht so ist, dass es nicht geht) wäre das eine gravierende Sicherheitslücke“
Ich finde diese Idee klasse 
Hallo Ginger,
vielen Dank für Ihr Posting. Dieses Vorgehen war bis zum Login 2.0 immer der Standard bei mailbox und wurde auch also solcher in der Knowledge-Base kommuniziert. Sollte das Gegenteil in einem anderen Thread behauptet worden sein, handelt es sich um einen Irrtum.
Durch die Umstellung auf den Login 2.0 ist diese Funktion, 2FA via IMAP zu deaktivieren temporär ausgesetzt.
Wie in anderen Postings ausgeführt, haben wir intern lange diskutiert, ob wir das Verhalten so beibehalten. Wir haben uns letztlich dafür entschieden, da es uns die bestmögliche Balance zwischen Sicherheit und Bedienerfreundlichkeit zu gewährleisten scheint.
Wir eskalieren Ihre Bedenken aber gerne an unser Product-Management. Diese können dann entscheiden, ob wir die Möglichkeit implementieren, das Deaktivieren der 2FA via IMAP auf Kundenwunsch unterbleibt.
Mit herzlichen Grüßen
Ihr mailbox Team
---
Ein paar nützliche Links:
Hallo Ginger,
vielen Dank für Ihr Posting. Dieses Vorgehen war bis zum Login 2.0 immer der Standard bei mailbox und wurde auch also solcher in der Knowledge-Base kommuniziert. Sollte das Gegenteil in einem anderen Thread behauptet worden sein, handelt es sich um einen Irrtum.
Durch die Umstellung auf den Login 2.0 ist diese Funktion, 2FA via IMAP zu deaktivieren temporär ausgesetzt.
Wie in anderen Postings ausgeführt, haben wir intern lange diskutiert, ob wir das Verhalten so beibehalten. Wir haben uns letztlich dafür entschieden, da es uns die bestmögliche Balance zwischen Sicherheit und Bedienerfreundlichkeit zu gewährleisten scheint.
Wir eskalieren Ihre Bedenken aber gerne an unser Product-Management. Diese können dann entscheiden, ob wir die Möglichkeit implementieren, das Deaktivieren der 2FA via IMAP auf Kundenwunsch unterbleibt.
Mit herzlichen Grüßen
Ihr mailbox Team
---
Ein paar nützliche Links:
Ersten ist die Überschrift hier im Thread ziemlich reißerisch. Vielleicht hätte es mehr Sinn gemacht, diese Unterstellung zumindest als Frage zu formulieren.
Zweitens bin ich mir unsicher ob du, Ginger, das ganze hier korrekt siehst. Ich bin auch mit der Supportantwort nicht zufrieden. Nach meinem Kenntnisstand ist deine Unterstellung, Ginger, schlicht falsch. Lieber Support, du hast dich irgendwie missverständlich ausgedrückt. Vielleicht verstehe ich was nicht, oder mit meinem Account ist was falsch/anders, aber von meiner Seite aus stellt es sich wie folgt dar:
Früher, beim alten Login, war es möglich das Passwort unter anderem durch eine Reset-mail an das eigene Postfach zu ändern. Hatte man damals noch von irgendeinem anderen Gerät Zugriff auf das Postfach (imap oder pop3), konnte man den Zugang resetten. Das hatte ich vor Jahren mal getestet. Bei diesem Verhalten bin ich mir sehr sicher. Daneben gab es die Möglichkeit des Resets über alternative Mail oder Handy (sms).
Heute, beim neuen Login2.0 mit aktivierter 2FA gibt es bei mir KEINE Möglichkeit mehr, eine Reset-Mail an das eigene Postfach zu schicken. Ich habe es gerade probiert, und die Passwort-Vergessen-Seite aufgerufen. Bei mir gibt es ausschließlich die Möglichkeit der SMS an die Handynummer und der Mail an die alternative Emailadresse. Zumindest bei mir scheint diese "Schwerwiegende Schwachstelle" nicht zu existieren. Exakt genau so wie es bei mir ist, wird es auch in der Knowledge-Base beschrieben.
Ich würde mich freuen, wenn andere Nutzer das kontrollieren könnten. Die Resetfunktion fürs Passwort sollte schon so funktionieren, wie es in der KB beschrieben ist.
Ersten ist die Überschrift hier im Thread ziemlich reißerisch. Vielleicht hätte es mehr Sinn gemacht, diese Unterstellung zumindest als Frage zu formulieren.
Zweitens bin ich mir unsicher ob du, Ginger, das ganze hier korrekt siehst. Ich bin auch mit der Supportantwort nicht zufrieden. Nach meinem Kenntnisstand ist deine Unterstellung, Ginger, schlicht falsch. Lieber Support, du hast dich irgendwie missverständlich ausgedrückt. Vielleicht verstehe ich was nicht, oder mit meinem Account ist was falsch/anders, aber von meiner Seite aus stellt es sich wie folgt dar:
Früher, beim alten Login, war es möglich das Passwort unter anderem durch eine Reset-mail an das eigene Postfach zu ändern. Hatte man damals noch von irgendeinem anderen Gerät Zugriff auf das Postfach (imap oder pop3), konnte man den Zugang resetten. Das hatte ich vor Jahren mal getestet. Bei diesem Verhalten bin ich mir sehr sicher. Daneben gab es die Möglichkeit des Resets über alternative Mail oder Handy (sms).
Heute, beim neuen Login2.0 mit aktivierter 2FA gibt es bei mir KEINE Möglichkeit mehr, eine Reset-Mail an das eigene Postfach zu schicken. Ich habe es gerade probiert, und die Passwort-Vergessen-Seite aufgerufen. Bei mir gibt es ausschließlich die Möglichkeit der SMS an die Handynummer und der Mail an die alternative Emailadresse. Zumindest bei mir scheint diese "Schwerwiegende Schwachstelle" nicht zu existieren. Exakt genau so wie es bei mir ist, wird es auch in der Knowledge-Base beschrieben.
Ich würde mich freuen, wenn andere Nutzer das kontrollieren könnten. Die Resetfunktion fürs Passwort sollte schon so funktionieren, wie es in der KB beschrieben ist.
Es gibt mittlerweile übrigens auch einen Reddit Beitrag hierzu: https://www.reddit.com/r/de_EDV/comments/1nv72lf/psa_2fa_bei_mailboxorg_nur_so_stark_wie_imap/
Dort sind die User verständlicherweise genauso entsetzt.
Es gibt mittlerweile übrigens auch einen Reddit Beitrag hierzu: https://www.reddit.com/r/de_EDV/comments/1nv72lf/psa_2fa_bei_mailboxorg_nur_so_stark_wie_imap/
Dort sind die User verständlicherweise genauso entsetzt.
Oh, das ist suboptimale Kommunikation. Der Support ist tatsächlich missverständlich und widersprüchlich, nachdem ich mir den angepinnten Nachbarthread durchgelesen habe.
Ich persönlich finde gut, dass es aktuell nicht möglich ist, ein Passwortreset über das eigene Mailpostfach zu ermöglichen. App-Passwörter sind dafür gedacht, dass es keine Vollkatastrophe ist, sofern sie ausgespäht werde. Wenn ich durch das Ausspähen des Imap-App-Passworts aber das Haupt-Passwort incl. 2FA resetten kann, und damit das Postfach komplett unwiederbringlich übernehmen kann, ist das aus sicherheitstechnische Sicht ziemlich doof.
Die Abwägung ob es diese Möglichkeit gibt oder nicht gibt, ist vermutlich eine zwischen Kundenunzufriedenheit vom Otto-Normal-User und Kundenunzufriedenheit des sicherheitskritischen-User. Hier wird mailbox.org vermutlich eine betriebswirtschaftliche Sicht haben, und die kleinere Kundengruppe benachteiligen.
Letztlich könnte mailbox.org das Problem lösen, indem die Funktion aktivierbar ist und deaktivierbar ist, quasi ein Schalter ob man diese Version des Passwortresets über das eigene Postfach haben will oder nicht. So wie man ja auch eine Handynummer oder alternative Mailadresse angeben kann, oder nicht.
Ich bin gespannt, wie sich mailbox.org entscheidet und diese Frage langfristig löst.
Oh, das ist suboptimale Kommunikation. Der Support ist tatsächlich missverständlich und widersprüchlich, nachdem ich mir den angepinnten Nachbarthread durchgelesen habe.
Ich persönlich finde gut, dass es aktuell nicht möglich ist, ein Passwortreset über das eigene Mailpostfach zu ermöglichen. App-Passwörter sind dafür gedacht, dass es keine Vollkatastrophe ist, sofern sie ausgespäht werde. Wenn ich durch das Ausspähen des Imap-App-Passworts aber das Haupt-Passwort incl. 2FA resetten kann, und damit das Postfach komplett unwiederbringlich übernehmen kann, ist das aus sicherheitstechnische Sicht ziemlich doof.
Die Abwägung ob es diese Möglichkeit gibt oder nicht gibt, ist vermutlich eine zwischen Kundenunzufriedenheit vom Otto-Normal-User und Kundenunzufriedenheit des sicherheitskritischen-User. Hier wird mailbox.org vermutlich eine betriebswirtschaftliche Sicht haben, und die kleinere Kundengruppe benachteiligen.
Letztlich könnte mailbox.org das Problem lösen, indem die Funktion aktivierbar ist und deaktivierbar ist, quasi ein Schalter ob man diese Version des Passwortresets über das eigene Postfach haben will oder nicht. So wie man ja auch eine Handynummer oder alternative Mailadresse angeben kann, oder nicht.
Ich bin gespannt, wie sich mailbox.org entscheidet und diese Frage langfristig löst.
Hallo in die Runde,
vielen Dank für die angeregte Diskussion, es freut uns sehr, dass Sie alle so engagiert sind. Wir verfolgen die Diskussion und werden uns heute beraten, ob wir an dieser Stelle Anpassungen implementieren. Natürlich werden wir Sie an dieser Stelle über das Ergebnis informieren. Bis dahin bitten wir Sie noch um ein wenig Geduld.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Hallo in die Runde,
vielen Dank für die angeregte Diskussion, es freut uns sehr, dass Sie alle so engagiert sind. Wir verfolgen die Diskussion und werden uns heute beraten, ob wir an dieser Stelle Anpassungen implementieren. Natürlich werden wir Sie an dieser Stelle über das Ergebnis informieren. Bis dahin bitten wir Sie noch um ein wenig Geduld.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Kann mir jemand das Problem oder meinen Denkfehler erklären?
Ich trage eine alternative E-Mail-Adresse ein, aus welchen Gründen auch immer, aber jedenfalls, um irgendwie meinen Account retten zu können. Wenn ich Passwort und/oder den zweiten Faktor verliere, will ich meinen Account retten können. Der Rettungslink (oder was auch immer) wird an die alternative E-Mail-Adresse geschickt. Dass ich mir mit der Passwort-Vergessen-Funktion über die alternative E-Mail-Adresse im Zweifel Zugang verschaffen kann, ist der Sinn der ganzen Sache!
Somit hängt die Sicherheit meines mailbox-Accounts maßgeblich von der Sicherheit der alternativen E-Mail-Adresse ab. Diese Implikation besteht immer, sobald ich eine alternative Adresse eintrage.
Wenn ich das nicht will, trage ich doch keine alternative E-Mail-Adresse ein!? Somit existiert das geschilderte Problem auch gar nicht.
Für mich klingt das gerade wie: "Ich habe eine Möglichkeit zum wiederherstellen des Accounts eingerichtet. Und es funktioniert!"
Kann mir jemand das Problem oder meinen Denkfehler erklären?
Ich trage eine alternative E-Mail-Adresse ein, aus welchen Gründen auch immer, aber jedenfalls, um irgendwie meinen Account retten zu können. Wenn ich Passwort und/oder den zweiten Faktor verliere, will ich meinen Account retten können. Der Rettungslink (oder was auch immer) wird an die alternative E-Mail-Adresse geschickt. Dass ich mir mit der Passwort-Vergessen-Funktion über die alternative E-Mail-Adresse im Zweifel Zugang verschaffen kann, ist der Sinn der ganzen Sache!
Somit hängt die Sicherheit meines mailbox-Accounts maßgeblich von der Sicherheit der alternativen E-Mail-Adresse ab. Diese Implikation besteht immer, sobald ich eine alternative Adresse eintrage.
Wenn ich das nicht will, trage ich doch keine alternative E-Mail-Adresse ein!? Somit existiert das geschilderte Problem auch gar nicht.
Für mich klingt das gerade wie: "Ich habe eine Möglichkeit zum wiederherstellen des Accounts eingerichtet. Und es funktioniert!"
Hallo,
vielen Dank für Ihr Feedback! Wir verstehen die Bedenken bezüglich unserer aktuellen Passwort-Reset-Logik und möchten Ihnen gerne die Hintergründe erläutern. Unser Ziel ist es, selbst bei Verlust des zweiten Faktors (z. B. verlorenes Smartphone, gelöschte Authenticator-App, defekter Hardware-Token) einen praktikablen und nutzerfreundlichen Weg zurück in den Account zu ermöglichen. Ohne eine Möglichkeit, sich über ein bereits bestehendes IMAP/POP-App-Passwort zu legitimieren, besteht die Gefahr, dass sich Nutzer*innen selbst für immer aussperren. Verlorene 2FA dürfen nicht zum endgültigen Kontoverlust führen.
Wir sind uns jedoch bewusst, dass dies nicht die perfekte Lösung darstellt. Daher werden wir schnellstmöglich eine Option implementieren, die es Ihnen erlaubt selbst auszuwählen, ob Sie die 2FA mittels Passwort-Reset deaktivieren können oder nicht. In diesem Fall wird es dann nicht mehr möglich sein, die Zwei-Faktor-Authentifizierung mittels Passwort-Reset auszuschalten. Wir werden umgehend mit der Planung beginnen, können aber noch nicht genau absehen, wie lange die Umsetzung dauern wird. Wir bitten Sie daher noch um ein wenig Geduld.
Wir danken Ihnen sehr für Ihre Hinweise und die kritische Auseinandersetzung mit diesem Thema.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Hallo,
vielen Dank für Ihr Feedback! Wir verstehen die Bedenken bezüglich unserer aktuellen Passwort-Reset-Logik und möchten Ihnen gerne die Hintergründe erläutern. Unser Ziel ist es, selbst bei Verlust des zweiten Faktors (z. B. verlorenes Smartphone, gelöschte Authenticator-App, defekter Hardware-Token) einen praktikablen und nutzerfreundlichen Weg zurück in den Account zu ermöglichen. Ohne eine Möglichkeit, sich über ein bereits bestehendes IMAP/POP-App-Passwort zu legitimieren, besteht die Gefahr, dass sich Nutzer*innen selbst für immer aussperren. Verlorene 2FA dürfen nicht zum endgültigen Kontoverlust führen.
Wir sind uns jedoch bewusst, dass dies nicht die perfekte Lösung darstellt. Daher werden wir schnellstmöglich eine Option implementieren, die es Ihnen erlaubt selbst auszuwählen, ob Sie die 2FA mittels Passwort-Reset deaktivieren können oder nicht. In diesem Fall wird es dann nicht mehr möglich sein, die Zwei-Faktor-Authentifizierung mittels Passwort-Reset auszuschalten. Wir werden umgehend mit der Planung beginnen, können aber noch nicht genau absehen, wie lange die Umsetzung dauern wird. Wir bitten Sie daher noch um ein wenig Geduld.
Wir danken Ihnen sehr für Ihre Hinweise und die kritische Auseinandersetzung mit diesem Thema.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Für mich hört es sich so an als wäre genau das geplant. Die Option dass der Reset über IMAP standardmäßig aktiviert sein sollte, sehe ich auch wie du. Dann hat der Support weniger Aufwand und die sicherheits-orientierten Nutzer haben gleichzeitig die Option es auszuschalten. Das klingt nach einem guten Kompromiss.
Für mich hört es sich so an als wäre genau das geplant. Die Option dass der Reset über IMAP standardmäßig aktiviert sein sollte, sehe ich auch wie du. Dann hat der Support weniger Aufwand und die sicherheits-orientierten Nutzer haben gleichzeitig die Option es auszuschalten. Das klingt nach einem guten Kompromiss.
There is already talks on privacyguides.org to remove mailbox.org from their recommendations
https://discuss.privacyguides.net/t/mailbox-org-with-severe-authentication-vulnerability-through-password-reset/31846/3
There is already talks on privacyguides.org to remove mailbox.org from their recommendations
https://discuss.privacyguides.net/t/mailbox-org-with-severe-authentication-vulnerability-through-password-reset/31846/3
Gibt es schon Neuigkeiten? Grobe Abschätzung wie lang es noch dauert?
Gibt es schon Neuigkeiten? Grobe Abschätzung wie lang es noch dauert?
Hallo, ich fühle mich genötigt, meine Wahrnehmung zu diesem Thema zu äußern.
Als ich heute Nacht zufällig auf diesen Umstand stieß und mir diesen und die Support-Antworten vergegenwärtigte, fiel ich fast direkt wieder aus dem Bett.
Der Zweck eines App-Passworts ist es, einem Dienst nur eine spezielle Berechtigung zu erteilen (IMAP, SMTP, WebDAV, usw.) und es in einem als unsicher klassifizierten Speichermedium hinterlegen zu können (z.B. für Laptop wegen Diebstahlrisiko). Durch diese vermeintliche Sicherheitslücke ist es möglich, den gesamten Account zu entern.
Wie ich durch die Antworten seitens mailbox(.org) nun wissen muss, ist das tatsächlich ein intendiertes Verhalten aufgrund besserer Bedienbarkeit und der Möglichkeit der Notfallwiederherstellung im Falle von defekten 2FA-Logins. Deshalb ist es nur eine vermeintliche Lücke, da sie geschäftspolitisch herbeigeführt ist und damit nicht der Implikation folgt. Denn: Hätte der Ausgangsbeitrag hier nicht bestanden, wäre dieses Verhalten nie geändert worden? Laut Aussage des Supports ist das Verhalten Ergebnis einer bewussten, strategischen Entscheidung. Wie konnte man sich nur auf Seiten von mailbox.(org) hierzu selbst überzeugen?
Ich verstehe, dass ein Unternehmen nicht nur von technisch versierten Nutzern leben kann und eigens verschuldete Defekte durch verschiedene Begebenheiten auch erfahrenen Nutzern unterlaufen können. Hier hat man sich aber bewusst gegen den Markenkern der Sicherheit entschieden für ein Verhalten, was es bei anderen Anbietern nicht gibt (Passwort-Reset an eigene Email möglich).
Bis zu diesem Beitrag (und noch heute) und der internen Besprechung bei mailbox(.org) waren die App-Passwörter quasi sinnlos implementiert. Es kann nicht sein, dass man gegen die Sicherheitsbedenken der Kernnutzer solch einen Schritt ging. Wie erwähnt, ist es mir geläufig, dass viele Personen unfähig und unwillig sind, ihre Online-Identitäten unter Kontrolle zu haben. Die Konsequenz kann aber niemals sein, alle anderen Nutzer damit zu kompromitieren, zumal es bis dato keinen Willen gab, wenigstens dem Nutzer die Option zu überlassen, die Passwortzurücksetzung an die eigene Email auszuschließen, was darüber hinaus ohnehin die Standardeinstellung sein sollte wie bei anderen Anbietern. Mir ist bewusst, dass dies zu Merhaufwänden beim Support führen würde, allerdings sollte es meiner Meinung nach nicht sein, dass mailbox(.org) sich an solchen Nutzern orientieret. Die Nutzerbasis sind technisch versierte Nutzer. Wenn Nutzer ihr Konto verlieren bei einem auf erfahrene Nutzer ausgerichteten Dienst, dann ist das natürliche Selektion (aber mit Gewinnverlust verbunden).
Ich hoffe sehr, dass diese betriebswirtschaftlich animierte Entscheidung nicht mit einem grundsätzlichen Verständnis bei anderen sicherheitsrelevanten Aspekten korreliert und womöglich ebenfalls das Backend anderweitig negativ betroffen sein könnte. Seit 2017 bin ich Kunde und habe bisher mehreren Leuten den Dienst empfohlen. Es wäre schade, meine Empfehlung ändern zu müssen. Über dieses Thema hinaus fehlen nämlich leider noch andere wichtige Funktionen, die bei objektiver Betrachtung teils eine Nutzung von mailbox(.org) nicht sinnvoll erscheinen lassen. Das würde aber an dieser Stelle zu weit gehen. Ich bin nur teils konsterniert über den hier besprochenen Umstand.
Mit freundlichem Gruß
Hallo, ich fühle mich genötigt, meine Wahrnehmung zu diesem Thema zu äußern.
Als ich heute Nacht zufällig auf diesen Umstand stieß und mir diesen und die Support-Antworten vergegenwärtigte, fiel ich fast direkt wieder aus dem Bett.
Der Zweck eines App-Passworts ist es, einem Dienst nur eine spezielle Berechtigung zu erteilen (IMAP, SMTP, WebDAV, usw.) und es in einem als unsicher klassifizierten Speichermedium hinterlegen zu können (z.B. für Laptop wegen Diebstahlrisiko). Durch diese vermeintliche Sicherheitslücke ist es möglich, den gesamten Account zu entern.
Wie ich durch die Antworten seitens mailbox(.org) nun wissen muss, ist das tatsächlich ein intendiertes Verhalten aufgrund besserer Bedienbarkeit und der Möglichkeit der Notfallwiederherstellung im Falle von defekten 2FA-Logins. Deshalb ist es nur eine vermeintliche Lücke, da sie geschäftspolitisch herbeigeführt ist und damit nicht der Implikation folgt. Denn: Hätte der Ausgangsbeitrag hier nicht bestanden, wäre dieses Verhalten nie geändert worden? Laut Aussage des Supports ist das Verhalten Ergebnis einer bewussten, strategischen Entscheidung. Wie konnte man sich nur auf Seiten von mailbox.(org) hierzu selbst überzeugen?
Ich verstehe, dass ein Unternehmen nicht nur von technisch versierten Nutzern leben kann und eigens verschuldete Defekte durch verschiedene Begebenheiten auch erfahrenen Nutzern unterlaufen können. Hier hat man sich aber bewusst gegen den Markenkern der Sicherheit entschieden für ein Verhalten, was es bei anderen Anbietern nicht gibt (Passwort-Reset an eigene Email möglich).
Bis zu diesem Beitrag (und noch heute) und der internen Besprechung bei mailbox(.org) waren die App-Passwörter quasi sinnlos implementiert. Es kann nicht sein, dass man gegen die Sicherheitsbedenken der Kernnutzer solch einen Schritt ging. Wie erwähnt, ist es mir geläufig, dass viele Personen unfähig und unwillig sind, ihre Online-Identitäten unter Kontrolle zu haben. Die Konsequenz kann aber niemals sein, alle anderen Nutzer damit zu kompromitieren, zumal es bis dato keinen Willen gab, wenigstens dem Nutzer die Option zu überlassen, die Passwortzurücksetzung an die eigene Email auszuschließen, was darüber hinaus ohnehin die Standardeinstellung sein sollte wie bei anderen Anbietern. Mir ist bewusst, dass dies zu Merhaufwänden beim Support führen würde, allerdings sollte es meiner Meinung nach nicht sein, dass mailbox(.org) sich an solchen Nutzern orientieret. Die Nutzerbasis sind technisch versierte Nutzer. Wenn Nutzer ihr Konto verlieren bei einem auf erfahrene Nutzer ausgerichteten Dienst, dann ist das natürliche Selektion (aber mit Gewinnverlust verbunden).
Ich hoffe sehr, dass diese betriebswirtschaftlich animierte Entscheidung nicht mit einem grundsätzlichen Verständnis bei anderen sicherheitsrelevanten Aspekten korreliert und womöglich ebenfalls das Backend anderweitig negativ betroffen sein könnte. Seit 2017 bin ich Kunde und habe bisher mehreren Leuten den Dienst empfohlen. Es wäre schade, meine Empfehlung ändern zu müssen. Über dieses Thema hinaus fehlen nämlich leider noch andere wichtige Funktionen, die bei objektiver Betrachtung teils eine Nutzung von mailbox(.org) nicht sinnvoll erscheinen lassen. Das würde aber an dieser Stelle zu weit gehen. Ich bin nur teils konsterniert über den hier besprochenen Umstand.
Mit freundlichem Gruß
User Alex, du sprichst mir aus der Seele... Das so 'sicherheitsbewusst' auftretende mailbox(.org) entscheidet sich bewusst gegen ein essentielles Sicherheitsfeature per default, das es selbst bei den zweifelhaften Freemailern wie GMX gibt (!).
Wozu denn noch 2FA, wenn diese sich so einfach aushebeln lässt?! 😱️
Und: Wenn jetzt die Kompromiss-Lösung implementiert wird, dass man als User die Wahl haben soll und dieses Feature deaktivieren können soll, dann bedeutet das ja, dass die Schwachstelle als solche bestehen bleibt.
Da ihr Vorhandensein nun auch auf diversen Plattformen veröffentlicht worden ist, ist sie nun bekannter.
User Alex, du sprichst mir aus der Seele... Das so 'sicherheitsbewusst' auftretende mailbox(.org) entscheidet sich bewusst gegen ein essentielles Sicherheitsfeature per default, das es selbst bei den zweifelhaften Freemailern wie GMX gibt (!).
Wozu denn noch 2FA, wenn diese sich so einfach aushebeln lässt?! 😱️
Und: Wenn jetzt die Kompromiss-Lösung implementiert wird, dass man als User die Wahl haben soll und dieses Feature deaktivieren können soll, dann bedeutet das ja, dass die Schwachstelle als solche bestehen bleibt.
Da ihr Vorhandensein nun auch auf diversen Plattformen veröffentlicht worden ist, ist sie nun bekannter.
Hallo in die Runde,
vielen Dank zunächst für Ihre Geduld. Wir möchten Sie darüber informieren, dass wir die gewünschte Anpassung beim Passwort-Reset umgesetzt haben.
Ursprünglich hatten wir die Option „Passwort-Reset an die eigene Adresse“ eingeführt, um unseren Kundinnen und Kunden auch im Fall des Verlusts eines zweiten Faktors weiterhin den Zugriff auf ihre Daten zu ermöglichen. Der vollständige Verlust aller Zugangsmöglichkeiten – und damit eventuell auch sämtlicher Daten sowie der Möglichkeit, Passwörter für andere Dienste zurückzusetzen – stellt für viele ein erhebliches Risiko dar. Aus diesem Grund hatten wir uns bewusst für diese Funktion entschieden.
Wir verstehen Ihre Bedenken jedoch sehr gut und haben nun eine Änderung vorgenommen:
Ab sofort können Sie die Option „Passwort-Reset an eigene E-Mail-Adresse“ unter
„Alle Einstellungen“ > „Sicherheit“ > „Passwort-Reset“
deaktivieren. In diesem Fall ist ein Passwort-Reset über die eigene Adresse nicht mehr möglich.
Anbei ein Screenshot der neuen Funktion:
Vielen Dank für die engagierte Diskussion und Ihr wertvolles Feedback – beides hilft uns sehr, mailbox stetig zu verbessern. Wir freuen uns, wenn Sie uns auch zu dieser neuen Funktion Ihre Rückmeldungen geben.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Hallo in die Runde,
vielen Dank zunächst für Ihre Geduld. Wir möchten Sie darüber informieren, dass wir die gewünschte Anpassung beim Passwort-Reset umgesetzt haben.
Ursprünglich hatten wir die Option „Passwort-Reset an die eigene Adresse“ eingeführt, um unseren Kundinnen und Kunden auch im Fall des Verlusts eines zweiten Faktors weiterhin den Zugriff auf ihre Daten zu ermöglichen. Der vollständige Verlust aller Zugangsmöglichkeiten – und damit eventuell auch sämtlicher Daten sowie der Möglichkeit, Passwörter für andere Dienste zurückzusetzen – stellt für viele ein erhebliches Risiko dar. Aus diesem Grund hatten wir uns bewusst für diese Funktion entschieden.
Wir verstehen Ihre Bedenken jedoch sehr gut und haben nun eine Änderung vorgenommen:
Ab sofort können Sie die Option „Passwort-Reset an eigene E-Mail-Adresse“ unter
„Alle Einstellungen“ > „Sicherheit“ > „Passwort-Reset“
deaktivieren. In diesem Fall ist ein Passwort-Reset über die eigene Adresse nicht mehr möglich.
Anbei ein Screenshot der neuen Funktion:
Vielen Dank für die engagierte Diskussion und Ihr wertvolles Feedback – beides hilft uns sehr, mailbox stetig zu verbessern. Wir freuen uns, wenn Sie uns auch zu dieser neuen Funktion Ihre Rückmeldungen geben.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Ist das per Default erlaubt, selbst wenn MFA aktiv ist?
Ich sehe das Problem dann nicht als behoben an. Es muss nur minimal umformuliert werden:
> Schwerwiegende Schwachstelle: IMAP-App-Passwort hebelt per Default 2FA aus
Es müsst wenigstens irgendwo eine dicke, fette Warnung erscheinen. Sonst hat das mit sicher wenig zu tun. Und damit werben Sie. Das wäre dann wissentlich unwahr. Es wäre nämlich nur „sicher, wenn die richtigen Einstellungen verändert wurden“. Das entspricht nicht meinem Verständnis von sicher.
Edit: Dennoch bin ich natürlich auch für diesen Schritt schon dankbar, dass es nun zumindest diese Option gibt!
Ist das per Default erlaubt, selbst wenn MFA aktiv ist?
Ich sehe das Problem dann nicht als behoben an. Es muss nur minimal umformuliert werden:
> Schwerwiegende Schwachstelle: IMAP-App-Passwort hebelt per Default 2FA aus
Es müsst wenigstens irgendwo eine dicke, fette Warnung erscheinen. Sonst hat das mit sicher wenig zu tun. Und damit werben Sie. Das wäre dann wissentlich unwahr. Es wäre nämlich nur „sicher, wenn die richtigen Einstellungen verändert wurden“. Das entspricht nicht meinem Verständnis von sicher.
Edit: Dennoch bin ich natürlich auch für diesen Schritt schon dankbar, dass es nun zumindest diese Option gibt!
Zunächst ist zu erwähnen, dass es sehr löblich ist, dass mailbox(.org) hierfür zeitnah eine technische Lösung implementierte, die das Sicherheitsrisiko für Leute, welche um den Umstand wissen, behebt.
Allerdings, wie bereits von einem anderen Nutzer erwähnt, bleibt ein großer Teil des Risikos bestehen und lediglich die Symptome wurden bekämpft.
Die in meinem vorigen Kommentar ausgeführten Beweggründe bestehen noch immer. Denn: Die Standardeinstellung sollte "Deaktiviert" (keine Zurücksetzung über eigene Email möglich) sein. Mindestens sollte dies bei aktivierter 2FA der Fall sein.
Als obsolutes Minimum, sogar noch eine Stufe davor, muss auf diesen Umstand unbedingt an geeigneter Stelle hingewiesen werden. Ich glaube, ich liege richtig, dass ein solcher Hinweis nicht implementiert wurde und das bisher auch nicht beabsichtigt ist.
Also: Die Standardeinstellung sollte "Deaktiviert" sein (wenigstens bei akiver 2FA). Wenn man sich dennoch dagegen entscheiden sollte, ist ein angemessener Hinweis zu implementieren. Ansonsten kann von einer vollständigen Lösung nicht die Rede sein.
Zunächst ist zu erwähnen, dass es sehr löblich ist, dass mailbox(.org) hierfür zeitnah eine technische Lösung implementierte, die das Sicherheitsrisiko für Leute, welche um den Umstand wissen, behebt.
Allerdings, wie bereits von einem anderen Nutzer erwähnt, bleibt ein großer Teil des Risikos bestehen und lediglich die Symptome wurden bekämpft.
Die in meinem vorigen Kommentar ausgeführten Beweggründe bestehen noch immer. Denn: Die Standardeinstellung sollte "Deaktiviert" (keine Zurücksetzung über eigene Email möglich) sein. Mindestens sollte dies bei aktivierter 2FA der Fall sein.
Als obsolutes Minimum, sogar noch eine Stufe davor, muss auf diesen Umstand unbedingt an geeigneter Stelle hingewiesen werden. Ich glaube, ich liege richtig, dass ein solcher Hinweis nicht implementiert wurde und das bisher auch nicht beabsichtigt ist.
Also: Die Standardeinstellung sollte "Deaktiviert" sein (wenigstens bei akiver 2FA). Wenn man sich dennoch dagegen entscheiden sollte, ist ein angemessener Hinweis zu implementieren. Ansonsten kann von einer vollständigen Lösung nicht die Rede sein.
Danke für schnelle Umsetzung der Option. Ich habe den Haken weggenommen.
Ich habe die Problematik nur durch diesen Beitrag in diesem Nutzer Forum verstanden.
Es ist sicher nicht einfach, einem User, der sich nicht in der Materie eingearbeite hat, in kurzen Worten, also über einen Hinweis, verständlich und nachvollziehbar zu erklären, worin die Angreifbarkeit für seien E-Mail Account liegt, wenn der Haken gesetzt ist.
Danke für schnelle Umsetzung der Option. Ich habe den Haken weggenommen.
Ich habe die Problematik nur durch diesen Beitrag in diesem Nutzer Forum verstanden.
Es ist sicher nicht einfach, einem User, der sich nicht in der Materie eingearbeite hat, in kurzen Worten, also über einen Hinweis, verständlich und nachvollziehbar zu erklären, worin die Angreifbarkeit für seien E-Mail Account liegt, wenn der Haken gesetzt ist.
Hallo,
zunächst vielen Dank für Ihr Feedback und Ihre ausführlichen Einschätzungen!
Die Möglichkeit, 2FA über einen Passwort-Reset zu deaktivieren, ist bewusst so implementiert. Sie soll sicherstellen, dass Nutzer:innen, die ihren zweiten Faktor verloren haben, aber noch Zugriff auf ihr Postfach besitzen, nicht dauerhaft ausgesperrt werden. Das ist eine Abwägung zwischen Sicherheit und Benutzerfreundlichkeit, die wir auch weiterhin so beibehalten werden.
Für alle, die besonderen Wert auf maximale Sicherheit legen, besteht jetzt die Möglichkeit, diese Funktion in den Einstellungen zu deaktivieren (Opt-out).
Wir finden den Vorschlag bezüglich eines Warnhinweises aber sehr gut und werden in den Einstellungen künftig einen deutlichen Hinweis ergänzen, der auf die sicherheitsrelevanten Aspekte dieser Option aufmerksam macht. So bleibt die Entscheidung beim Nutzer – aber auf einer klar informierten Basis.
Natürlich wird es dazu auch einen Knowledge-Base-Artikel geben.
Wir hoffen, dass Sie unsere Entscheidung nachvollziehen können.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Hallo,
zunächst vielen Dank für Ihr Feedback und Ihre ausführlichen Einschätzungen!
Die Möglichkeit, 2FA über einen Passwort-Reset zu deaktivieren, ist bewusst so implementiert. Sie soll sicherstellen, dass Nutzer:innen, die ihren zweiten Faktor verloren haben, aber noch Zugriff auf ihr Postfach besitzen, nicht dauerhaft ausgesperrt werden. Das ist eine Abwägung zwischen Sicherheit und Benutzerfreundlichkeit, die wir auch weiterhin so beibehalten werden.
Für alle, die besonderen Wert auf maximale Sicherheit legen, besteht jetzt die Möglichkeit, diese Funktion in den Einstellungen zu deaktivieren (Opt-out).
Wir finden den Vorschlag bezüglich eines Warnhinweises aber sehr gut und werden in den Einstellungen künftig einen deutlichen Hinweis ergänzen, der auf die sicherheitsrelevanten Aspekte dieser Option aufmerksam macht. So bleibt die Entscheidung beim Nutzer – aber auf einer klar informierten Basis.
Natürlich wird es dazu auch einen Knowledge-Base-Artikel geben.
Wir hoffen, dass Sie unsere Entscheidung nachvollziehen können.
Mit herzlichen Grüßen
Ihr mailbox-Team
---
Ein paar nützliche Links:
Meines Erachtens wird das Risiko etwas arg hochgekocht.
Ich habe für meinen Laptop und für mein Handy je ein separates App-Passwort.
Sollte eines dieser (passwortgeschützten) Geräte verloren gehen, dann lösche ich einfach das entsprechende App-Passwort.
Somit ist die Gefahr gebannt.
Ein andereres Szenario wie jemand an mein IMAP-Passwort kommen könnte fällt mir nicht ein.
Meines Erachtens wird das Risiko etwas arg hochgekocht.
Ich habe für meinen Laptop und für mein Handy je ein separates App-Passwort.
Sollte eines dieser (passwortgeschützten) Geräte verloren gehen, dann lösche ich einfach das entsprechende App-Passwort.
Somit ist die Gefahr gebannt.
Ein andereres Szenario wie jemand an mein IMAP-Passwort kommen könnte fällt mir nicht ein.
Schräge Argumentation 😄
1. Sie können das Rücksetzen des Passworts deaktivieren.
2. Wer bitteschön synchronisiert Passworte über eine Cloud wenn er Ihr Sicherheitsbedürfnis hat?
3. Wie hoch ist das unbemerkte kompromittieren den MB Servers im Vergleich zum eigenen Aussperrens?
4. Ja, ich sehe die Möglichkeit ein App-Passwort ohne größeren Aufwand zu löschen, wenn der Verdacht besteht das es kompromittiert wurde.
5. Ja, MB ist ein Wirtschaftsunternehmen welches nicht ausschließlich von ein paar Menschen mit extremen Sicherheitsbedürfnis leben kann.
Alles in Allem hat MB ein ausgewogenes Verhältnis zwischen Einfachheit und Sicherheit gefunden.
Fazit:
Sie schalten Passwortrücksetzen via IMAP ab.
Ich halte mir die Rücksetzoption via IMAP offen.
@6752747
Wenn Sie keine App-Passworte haben, haben Sie auch kein 2FA
Schräge Argumentation 😄
1. Sie können das Rücksetzen des Passworts deaktivieren.
2. Wer bitteschön synchronisiert Passworte über eine Cloud wenn er Ihr Sicherheitsbedürfnis hat?
3. Wie hoch ist das unbemerkte kompromittieren den MB Servers im Vergleich zum eigenen Aussperrens?
4. Ja, ich sehe die Möglichkeit ein App-Passwort ohne größeren Aufwand zu löschen, wenn der Verdacht besteht das es kompromittiert wurde.
5. Ja, MB ist ein Wirtschaftsunternehmen welches nicht ausschließlich von ein paar Menschen mit extremen Sicherheitsbedürfnis leben kann.
Alles in Allem hat MB ein ausgewogenes Verhältnis zwischen Einfachheit und Sicherheit gefunden.
Fazit:
Sie schalten Passwortrücksetzen via IMAP ab.
Ich halte mir die Rücksetzoption via IMAP offen.
@6752747
Wenn Sie keine App-Passworte haben, haben Sie auch kein 2FA
@Ginger S.
Dann gehen wir mal die anderen Rückstellungsmöglichkeiten durch:
-SMS: SMS sniffing, Aus der Hand gerissenenes entsperrtes Gerät. Kompromitiertes Gerät.
-Alternative Mail-Adresse: Kompromitiertes Gerät. Abruf via IMAP aktiviert? Kompromitiertes Postfach.
-telefonisch: Social engineering.
Nicht angeboten- Notfallcodes:
Gelagert auf einem
-Gerät: kompromitiertes Gerät
-ausgedruckt oder Datenträger im Tresor: Risiko von termischer oder mechanischer Zerstörung.
Sie meinen, meine Szenarien sind eher unwahrscheinlich?
Nicht viel unwahrscheinlicher als Ihre.
Nachtrag:
Ich habe als Backup für den 2.Faktor eine Keepass-Datei im Tresor liegen. Da brauche ich keine Notfallcodes 😉
Diese Datei kann ich überall lagern wo ich auch Notfallcodes lagern kann. Ich kann sogar das TOTP-Secret ausdrucken.
Nachtrag 2:
Zu Ihren Szenarien fällt mir noch ein:
Phishing fällt aus. Ich kenn das App-Passwort nicht.
Keylogger fällt aus. Ich gebe das App-Passwort nicht ein.
Gerät wird entsperrt aus der Hand gerissenen. Das Gerät sperrt sich nach 30 Sekunden. Es sei denn, der Dieb hält es auf der Flucht ständig aktiv.
@Ginger S.
Dann gehen wir mal die anderen Rückstellungsmöglichkeiten durch:
-SMS: SMS sniffing, Aus der Hand gerissenenes entsperrtes Gerät. Kompromitiertes Gerät.
-Alternative Mail-Adresse: Kompromitiertes Gerät. Abruf via IMAP aktiviert? Kompromitiertes Postfach.
-telefonisch: Social engineering.
Nicht angeboten- Notfallcodes:
Gelagert auf einem
-Gerät: kompromitiertes Gerät
-ausgedruckt oder Datenträger im Tresor: Risiko von termischer oder mechanischer Zerstörung.
Sie meinen, meine Szenarien sind eher unwahrscheinlich?
Nicht viel unwahrscheinlicher als Ihre.
Nachtrag:
Ich habe als Backup für den 2.Faktor eine Keepass-Datei im Tresor liegen. Da brauche ich keine Notfallcodes 😉
Diese Datei kann ich überall lagern wo ich auch Notfallcodes lagern kann. Ich kann sogar das TOTP-Secret ausdrucken.
Nachtrag 2:
Zu Ihren Szenarien fällt mir noch ein:
Phishing fällt aus. Ich kenn das App-Passwort nicht.
Keylogger fällt aus. Ich gebe das App-Passwort nicht ein.
Gerät wird entsperrt aus der Hand gerissenen. Das Gerät sperrt sich nach 30 Sekunden. Es sei denn, der Dieb hält es auf der Flucht ständig aktiv.
@Alex
Entschuldigen Sie bitte wenn auch ich etwas zynisch bin.
Aber ich glaube, es ist einfacher Ihnen den 2.Faktor mittels gutem social engineering zu entlocken als Ihr IMAP Passwort zu abzugreifen. Vor allem weil Sie so sicher sind, alles zu wissen.
@Alex
Entschuldigen Sie bitte wenn auch ich etwas zynisch bin.
Aber ich glaube, es ist einfacher Ihnen den 2.Faktor mittels gutem social engineering zu entlocken als Ihr IMAP Passwort zu abzugreifen. Vor allem weil Sie so sicher sind, alles zu wissen.
Man kann auch anders argumentieren.
MB schafft mit dem opt out für das Zurücksetzen des Passworts via IMAP eine relativ sichere Möglichkeit, damit sich technisch weniger versierte Nutzer nicht so einfach aussperren.
Ich richte also 2FA ein. Jede Rückstellmöglichkeit ist opt in. Incl. eventueller Backupcodes. Vergesse ich, mindestens einer dieser Möglichkeiten aktiv einzurichten (oder vertippe mich bei der Telefonnummer/Mail-Adresse) wäre der Schaden im Ernstfall immens. Zum Einen für den Nutzer der sich aussperrt und zum Anderen der Immagschaden für MB wenn das häufiger passiert. Und ich verspreche Ihnen, es gibt viele Menschen, die ihre Backupcodes nicht vernünftig sichern.
Einem technisch versierten, sicherheitsbewussten Nutzer wie Ihnen passiert das eher nicht. Sie sind aber auch in der Lage, opt out zu nutzen, weil Sie auf Nummer sicher gehen.
Klar können Sie jetzt argumentieren, Nutzer die sich nicht aktiv um ein Backup kümmern sind selbst schuld. Aber das wäre aus wirtschaftlicher Sicht für MB ziemlich ungeschickt, sich nur über technisch versierte Nutzer finanzieren zu wollen.
Man kann auch anders argumentieren.
MB schafft mit dem opt out für das Zurücksetzen des Passworts via IMAP eine relativ sichere Möglichkeit, damit sich technisch weniger versierte Nutzer nicht so einfach aussperren.
Ich richte also 2FA ein. Jede Rückstellmöglichkeit ist opt in. Incl. eventueller Backupcodes. Vergesse ich, mindestens einer dieser Möglichkeiten aktiv einzurichten (oder vertippe mich bei der Telefonnummer/Mail-Adresse) wäre der Schaden im Ernstfall immens. Zum Einen für den Nutzer der sich aussperrt und zum Anderen der Immagschaden für MB wenn das häufiger passiert. Und ich verspreche Ihnen, es gibt viele Menschen, die ihre Backupcodes nicht vernünftig sichern.
Einem technisch versierten, sicherheitsbewussten Nutzer wie Ihnen passiert das eher nicht. Sie sind aber auch in der Lage, opt out zu nutzen, weil Sie auf Nummer sicher gehen.
Klar können Sie jetzt argumentieren, Nutzer die sich nicht aktiv um ein Backup kümmern sind selbst schuld. Aber das wäre aus wirtschaftlicher Sicht für MB ziemlich ungeschickt, sich nur über technisch versierte Nutzer finanzieren zu wollen.
Kaum geschrieben schon bestätigt.
Der Weg von MB ist nicht der verkehrteste 😉
Hier hat die Voreinstellung von Rücksetzen per IMAP den Zugang gerettet. Im Prinzip exakt das Szenario welches ich zuvor beschriebenen habe.
https://userforum.mailbox.org/topic/12206-2fa-reset-per-mail-an-eigene-mailbox-org-adresse-erlauben
Nachtrag:
Der verlinkte Beitrag ist zwar ein paar Stunden älter als meiner. Ich habe ihn aber gerade erst gelesen.
Letztendlich aber egal. Er zeigt, mein Szenario ist mehr als graue Theorie sondern ein reales Problem. Und die Leute von MB wissen sich noch präziser als ich, wie oft das vor kommt und wie realistisch es ist, dass ein Account via IMAP gekapert wird.
Kaum geschrieben schon bestätigt.
Der Weg von MB ist nicht der verkehrteste 😉
Hier hat die Voreinstellung von Rücksetzen per IMAP den Zugang gerettet. Im Prinzip exakt das Szenario welches ich zuvor beschriebenen habe.
https://userforum.mailbox.org/topic/12206-2fa-reset-per-mail-an-eigene-mailbox-org-adresse-erlauben
Nachtrag:
Der verlinkte Beitrag ist zwar ein paar Stunden älter als meiner. Ich habe ihn aber gerade erst gelesen.
Letztendlich aber egal. Er zeigt, mein Szenario ist mehr als graue Theorie sondern ein reales Problem. Und die Leute von MB wissen sich noch präziser als ich, wie oft das vor kommt und wie realistisch es ist, dass ein Account via IMAP gekapert wird.
Wenn ich mich mit einem einzelnen Faktor in den Account einloggen kann, ist es keine wirksame 2FA, auch wenn ich diese eigentlich aktiviert habe. Dass das jetzt jemandem den Arsch gerettet hat, ändert daran überhaupt nichts. Dann muss es eben ein dickes fettes Warn-Banner bei Aktivierung geben und/oder Recovery-Codes.
Oder es muss ein dickes fettes Warn-Banner geben, dass 2FA noch nicht effektiv ist, nachdem ich es eingerichtet habe (was schon ziemlich absurd ist), sondern erst, wenn ich diese neu eingeführte Option deaktiviere.
Wenn ich mich mit einem einzelnen Faktor in den Account einloggen kann, ist es keine wirksame 2FA, auch wenn ich diese eigentlich aktiviert habe. Dass das jetzt jemandem den Arsch gerettet hat, ändert daran überhaupt nichts. Dann muss es eben ein dickes fettes Warn-Banner bei Aktivierung geben und/oder Recovery-Codes.
Oder es muss ein dickes fettes Warn-Banner geben, dass 2FA noch nicht effektiv ist, nachdem ich es eingerichtet habe (was schon ziemlich absurd ist), sondern erst, wenn ich diese neu eingeführte Option deaktiviere.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.