2FA mit KeePass: seit "Login 2.0" nur noch SHA-1 TOTP möglich
Liebe Mailbox.org -User !
Ich verwende schon lange für die 2FA den KeePass Passwortmanager mit OTP Generator. Bisher hatte ich die 4-stellige PIN zusammen mit dem von KeePass generierten TOTP mit SHA-256 was insgesamt ziemlich sicher sein dürfte.
Heute wurde ich aufgefordert auf das neue "LOGIN 2.0" umzusteigen und ein Passwort festzulegen und neue TOTP Einstellungen vorzunehmen. Dies habe ich nun soweit erledigt. Allerdings scheint das ganze inzwischen nur noch über den SHA-1 Algorithmus zu laufen.
Kann mir bitte jemand erklären, wozu die Umstellung auf das neue Login mit Passwort statt PIN und wieso bei 2FA über TOTP die Parameter jetzt auf SHA-1, 30sec, 6 Ziffern festgelegt sind? Wäre SHA-256 nicht sicherer? Wozu die Umstellung? Zuvor lief es auch mit z.B. 8 Ziffern.
Freue mich auf eure Antworten, Vielen Dank!
Ich finde diese Idee klasse 
Auch ich wurde gestern umgestellt, und bin etwas enttäuscht. Ich fand das alte System besser. Egal, meine Anforderungen sind vielleicht etwas speziell und nach der einmalig aufwändigen Umstellung, Umgewöhnung und Kontrolle sollte alles passen.
Die alte Version mit vierstelliger Pin und 2FA fand ich besser, unter anderem weil ich bei der 2FA individuell SHA512 und 8 Ziffern auswählen konnte. Auch hatte ich statt Hauptpasswort eine einfach zu merkende PIN. Damit habe ich mich sehr sicher gefühlt. Aktuell gibt es für die 2FA nur 6 Ziffer mit SHA1. Auch wenn SHA1 als unsicher gilt, so ist es in Zusammenhang mit TOTP wohl doch (noch?) sicher. Offenbar scheint der Sicherheitsgewinn zwischen 6 Ziffern mit SHA1 und 8 Ziffern mit SHA512 nach aktuellem (!) Stand nur marginal und akademisch zu sein. Ein Rückschluss von dem Mitlesen auch von mehreren 2FA-Codes auf das Geheimnis soll nicht möglich zu sein, egal welches SHA verwendet wird. Gefühlt fühle ich mich mit 8 Ziffern und SHA512 viel sicherer, da SHA1 als unsicher gilt, technisch kann ich die Einbindung von SHA1 in TOTP bei 2FA als Laie nicht nachvollziehen, also bleibt eben nur das Gefühl, was im Widerspruch zur technischen Realität ist.
Der Grund für die Umstellung war wohl eine generelle Umstellung bei mailbox.org beim Loginverfahren unabhängig von 2FA. Auch wurde die alte 2FA-Version mit PIN und das alte 2FA-Benutzermenü mit Funktionsvielfalt im Forum sehr häufig als zu kompliziert oder unverständlich kritisiert. Vielleicht haben sich viele Leute damit ausgesperrt, und einen hohen Supportaufwand bei mailbox.org erzeugt. Auch gab es im Forum den Wunsch nach App-Passwörtern, wie es andere Anbieter haben. Die Verringerung des Sicherheitsniveaus bei individueller Einstellung von SHA512 auf SHA1 und von 8 auf 6 Ziffern scheint nur ein marginaler und akademische Sicherheitsverlust zu sein, und bei mailbox.org wohl Rechenleistung zu sparen. 6 Ziffern sind auch schneller für den Ottonormal-User einzugeben als 8 Ziffern. Und das neue Single-Sign-On ist praktisch für Leute, die sich häufig im Forum und bei Videokonferenzen anmelden. Letztlich also vielleicht ein Kompromiss aus Usability (in meinen Worten Bequemlichkeit), Kundenwünschen, Sicherheit und geringer Supportaufwand. Schließlich ist mailbox.org gewinnorientiert und kein gemeinnütziges Unternehmen ... auch wenn es die Gewinnorientierung im Gegensatz zu vielen anderen Mailanbietern offensichtlich nicht an erste Stelle stellt, sondern noch echte Werte/Überzeugungen/Ethos (wie auch immer man es nennt) hat.
Für mich war existenziell, dass bei Verwendung bzw. Aktivierung von der neuen 2FA alle anderen Zugangswege, wie z.B. IMAP und SMTP aber auch Caldav/Carddav/Webdav verschlossen sind, und nur noch per separatem App-Passwort verwendbar sind. Sonst könnte mich ein Angreifer zum Beispiel mit der Passwort-Reset-Funktion per Mail sofort aussperren ... oder unbemerkt alle Daten auslesen bzw. löschen (Mails, Adressbücher, Kalender und Cloud). Das war bei der Betaphase anfangs anders, und auch im Produktivbetrieb gab es Fehler, wo das Hauptpasswort doch noch verwendbar war. Damit war die neue 2FA bei mailbox.org für mein Verständnis kompromittiert, da eine Einwahl von einem unsicheren PC aus mit einem einfach installierten Keylogger trotz 2FA einen dauerhaften Generalzugriff preisgegeben hätte. Einen Keylogger kann jeder Laie installieren, dazu brauche ich keinen Geheimdienst und keine IT-Fachexpertise. Gerade für die Einwahl auf unsicheren Geräten ist aber die 2FA gedacht! Der Fehler scheint mittlerweile behoben zu sein. Früher war halt das Einrichten der 2FA kompliziert, jetzt ist das Einrichten von nicht frei wählbaren App-Passwörtern an zwei unterschiedlichen Stellen im Menü kompliziert. Für mich kein Vorteil sondern eine Umstellung von einem gut funktionierenden Setup auf etwas neues, für den Standardnutzer von mailbox.org offenbar in der Gesamtschau aller Änderungen ein Vorteil.
Auch ich wurde gestern umgestellt, und bin etwas enttäuscht. Ich fand das alte System besser. Egal, meine Anforderungen sind vielleicht etwas speziell und nach der einmalig aufwändigen Umstellung, Umgewöhnung und Kontrolle sollte alles passen.
Die alte Version mit vierstelliger Pin und 2FA fand ich besser, unter anderem weil ich bei der 2FA individuell SHA512 und 8 Ziffern auswählen konnte. Auch hatte ich statt Hauptpasswort eine einfach zu merkende PIN. Damit habe ich mich sehr sicher gefühlt. Aktuell gibt es für die 2FA nur 6 Ziffer mit SHA1. Auch wenn SHA1 als unsicher gilt, so ist es in Zusammenhang mit TOTP wohl doch (noch?) sicher. Offenbar scheint der Sicherheitsgewinn zwischen 6 Ziffern mit SHA1 und 8 Ziffern mit SHA512 nach aktuellem (!) Stand nur marginal und akademisch zu sein. Ein Rückschluss von dem Mitlesen auch von mehreren 2FA-Codes auf das Geheimnis soll nicht möglich zu sein, egal welches SHA verwendet wird. Gefühlt fühle ich mich mit 8 Ziffern und SHA512 viel sicherer, da SHA1 als unsicher gilt, technisch kann ich die Einbindung von SHA1 in TOTP bei 2FA als Laie nicht nachvollziehen, also bleibt eben nur das Gefühl, was im Widerspruch zur technischen Realität ist.
Der Grund für die Umstellung war wohl eine generelle Umstellung bei mailbox.org beim Loginverfahren unabhängig von 2FA. Auch wurde die alte 2FA-Version mit PIN und das alte 2FA-Benutzermenü mit Funktionsvielfalt im Forum sehr häufig als zu kompliziert oder unverständlich kritisiert. Vielleicht haben sich viele Leute damit ausgesperrt, und einen hohen Supportaufwand bei mailbox.org erzeugt. Auch gab es im Forum den Wunsch nach App-Passwörtern, wie es andere Anbieter haben. Die Verringerung des Sicherheitsniveaus bei individueller Einstellung von SHA512 auf SHA1 und von 8 auf 6 Ziffern scheint nur ein marginaler und akademische Sicherheitsverlust zu sein, und bei mailbox.org wohl Rechenleistung zu sparen. 6 Ziffern sind auch schneller für den Ottonormal-User einzugeben als 8 Ziffern. Und das neue Single-Sign-On ist praktisch für Leute, die sich häufig im Forum und bei Videokonferenzen anmelden. Letztlich also vielleicht ein Kompromiss aus Usability (in meinen Worten Bequemlichkeit), Kundenwünschen, Sicherheit und geringer Supportaufwand. Schließlich ist mailbox.org gewinnorientiert und kein gemeinnütziges Unternehmen ... auch wenn es die Gewinnorientierung im Gegensatz zu vielen anderen Mailanbietern offensichtlich nicht an erste Stelle stellt, sondern noch echte Werte/Überzeugungen/Ethos (wie auch immer man es nennt) hat.
Für mich war existenziell, dass bei Verwendung bzw. Aktivierung von der neuen 2FA alle anderen Zugangswege, wie z.B. IMAP und SMTP aber auch Caldav/Carddav/Webdav verschlossen sind, und nur noch per separatem App-Passwort verwendbar sind. Sonst könnte mich ein Angreifer zum Beispiel mit der Passwort-Reset-Funktion per Mail sofort aussperren ... oder unbemerkt alle Daten auslesen bzw. löschen (Mails, Adressbücher, Kalender und Cloud). Das war bei der Betaphase anfangs anders, und auch im Produktivbetrieb gab es Fehler, wo das Hauptpasswort doch noch verwendbar war. Damit war die neue 2FA bei mailbox.org für mein Verständnis kompromittiert, da eine Einwahl von einem unsicheren PC aus mit einem einfach installierten Keylogger trotz 2FA einen dauerhaften Generalzugriff preisgegeben hätte. Einen Keylogger kann jeder Laie installieren, dazu brauche ich keinen Geheimdienst und keine IT-Fachexpertise. Gerade für die Einwahl auf unsicheren Geräten ist aber die 2FA gedacht! Der Fehler scheint mittlerweile behoben zu sein. Früher war halt das Einrichten der 2FA kompliziert, jetzt ist das Einrichten von nicht frei wählbaren App-Passwörtern an zwei unterschiedlichen Stellen im Menü kompliziert. Für mich kein Vorteil sondern eine Umstellung von einem gut funktionierenden Setup auf etwas neues, für den Standardnutzer von mailbox.org offenbar in der Gesamtschau aller Änderungen ein Vorteil.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.