Willkommen im User-Forum von mailbox.org
 

2-Faktor-Authentifizierung (2FA) - ist das sicher?

7586310 hat dies geteilt, 6 Monaten her
vorgeschlagen

In verschiedenen Posts kommen hier in letzter Zeit immer wieder Kommentare, dass die hier implementierte 2-Faktor-Authentifizierung (2FA) mit OTP mittels YubiKey und Konsorten nicht sicher sei.


Dies wird meist damit begründet, dass man hier bei mailbox.org - konkret, wenn man eine Kontakt-E-Mailadresse im Backend hinterlegt hat - für den Fall, dass man den YubiKey verloren hat, dass Passwort per "Passwort vergessen-Mail" zusenden lassen kann.Genau diese Mail könne beliebig abgefangen werden, und damit hätte jeder die Möglichkeit, sich das Passwort zuschicen zu lassen. Insbesondere dann, wenn ein Angreifer bereits das Passwort kennen würde (ich frage ich immer noch, auf was so ein Angreifer dann noch warten soll... er hat ja den Generalschlüssel für den Account in der Hand.)


Aus der Ausnahme wird sodann der Regelfall konstruiert und behauptet, dass, weil ein abgreifen des Passwortes aus der Rücksetzmail so möglich sei, 2FA hier unsicher sei und man das hier nicht machen könne und solle. Angeblich könne ja das mit der Rücksetzmail übersandte Passwort von jedem, der die Rücksetzfunktion benutze, abgegriffen werden. Wie bitte?


Das ist totaler Blödsinn, wie ich finde. Obertotaler Blödsinn. Warum?


  1. Wenn man 2FA hier nutzt, die Ersteinrichtung von einem sicheren Gerät aus vornimmt, und dann nur 2FA nutzt, wird NIEMALS das Passwort übertragen, dass gehackt werden könnte. 2FA ist "Secure by Design".
  2. Wenn man den YubiKey (oder das andere 2FA-Device) verliert, kann man mittels Passwort vergessen-Funktion die 2FA-Anmeldung abschalten, und danach wieder per Login zugreifen.
  3. Das Passwort wird bei der Nutzung von "Passwort vergessen" NUR an die hinterlegte Mailadresse geschickt. Natürlich ist klar, dass diese Mail dann auf allen Geräten gelesen werden kann, auf denen man einen Mailempfang per Mailclient eingerichtet hat. Insofern muss man hier wenn überhaupt über die Gerätesicherheit diskutieren. Wer auf 5 Rechnern einen Mailclient einrichtet und die Rechner ohne Passwort anlässt, hat ein Problem... wer sein Smartphone nicht schützt und keinen PIN-Schutz anhat, auch.
  4. Wenn man - was bei 2FA Sinn macht - die Mails nur im Webclient abruft, kann es gar keine Möglichkeit geben, dass ein Angreifer sich dass LogIn-Passwort für den Account zuschicken lässt. Wenn man senie Geräte unter Kontrolle hat, auch nicht. Warum? Siehe Nr. 1.
  5. Zur Beunruhigung: Die Passwort-Vergessen-Funktion funktioniert (nicht nur hier...) auch bei all den Leuten, die sich normal per Kennung und Passwort anmelden. 2FA wäre sicherer...


Die Szenarien, die in anderen Posts und Threads beschrieben werden von wegen "jeder kann sich das Passwort zuschicken lassen" sind schlicht und ergreifend dummes Zeug. Wenn, dann kann das nur in ganz besonderen und wenigen Situationen passieren, und wenn das möglich ist, hat man eh ein ganz anderes Problem, weil dann jemand Fremdes die Kontrolle über Rechner oder Smartphone hat.


2FA hier ist sicher, sehr sogar. Wenn man (wie ich inzwischen) 2FA von einem sicheren Rechner aus einrichtet und dann nur noch per 2FA ins Mailkonto geht, KANN NICHTS gehackt werden, es ist unmöglich. Ich mache dazu ein privates Browserfenster auf, so dass ich keine Spuren im Browser hinterlasse. Ein Passwort KANN dann NICHT ausgespäht werden - es wird keins übertragen. Nie.


Wer mit Mailclients arbeitet, muss sich um die Sicherheit seinees Rechners / seines Smartphones kümmern. Jeder Mailclient ist weitaus eher angreifbar als eine Anmeldung per Browser mit 2FA. Auf jedem Rechner, auf den man Zugriff bekommt, kann man sich - wenn man die Mailadresse kennt - per Passwort vergessen-Funktion (bei so gut wie jedem Dienstanbieter...) sein Passowrt schicken lassen - auch ein Angreifer. Die meisten benutzen Browser mit Auto-Fill-In, da werden die Mailadresse direkt vorgeschlagen... und die meisten haben Mailclients installiert, bei denen man beim Start gar nicht erst ein Passwort zum verriegeln des Clients eingeben kann...


Mit 2FA geht das alles nicht. Aus Prinzip nicht. 2FA benutzt eben immer 2 getrennte Faktoren für die Anmeldung. Abgreifen geht nur durch stehlen und durch erpressen der PIN für 2FA.


Ich stelle fest: 2FA ist sicher, by Design. Hier insbesondere. Die einzige Unsicherheit ist, 2FA nicht zu benutzen.


Ich hoffe, das ist verständlich dargestellt. Ich habe das geschrieben, weil durch völlig irreführende Posts hier bei Leuten, die sich damit erst zu beschäftigen beginnen, der Eindruck erweckt wird, dass eine sichere Funktion (Anmeldung per 2FA) hier unsicher sei.


Die vermeidbare Unsicherheit kann nur dadurch wirksam werden, dass man meint, 2FA NICHT benutzen zu wollen, weil es unsicher sei. Das ist falsch, und darin steckt ein Risiko. dass man vermeiden kann.


Unbenommen davon wäre es toll, wenn man hier verschiedene Passwörter für verschiedene Dienste vergeben könnte. Und wenn alle Anmeldungen bei allen Diensten hier (auch Forum und Helpdesk) per 2FA gehen könnten.


Kommentare gerne, Angriffe bitte nicht.


So long...

Kommentare (4)

Foto
2

"2. Wenn man den YubiKey (oder das andere 2FA-Device) verliert, kann man mittels Passwort vergessen-Funktion die 2FA-Anmeldung abschalten, und danach wieder per Login zugreifen."

Genau das ist der Punkt der von einigen und auch von mir kritisiert wird. Die Sicherheit der 2FA an sich wird nicht in Frage gestellt (allerdings formulieren das hier einige zugegebenermaßen etwas plakativ in diese Richtung).


Sich nur noch per 2FA anzumelden wäre der sicherste Weg. Aber leider ist es für viele Leute nicht praktikabel nur über das Webinterface zu arbeiten. Beispielsweise ist das für all jene von Relevanz, die viel in Bus, Bahn und Flugzeug unterwegs sind, wo man häufiger mal die Internetverbindung verliert. Nutzt man jedoch einen lokalen Mailclient kann man in solchen Situationen die E-Mails herunterladen, ggf. offline beantworten und bei wieder bestehender Verbindung senden.

Und damit setzt man sich bei noch so großer Vorsicht zumindest einem Restrisiko aus, dass das normale Passwort in falsche Hände gelangt.

Daher wäre mein - schon an anderer Stelle geäußerter Vorschlag - das Zurücksetzen des Passworts (bei gleichzeitiger Deaktivierung der 2FA) mit einem zusätzlichen Passwort abzusichern. Ggf. könnte man dann sogar den Link mit dem Rücksetzlink per E-Mail weglassen (muss aber nicht sein und erhöht die Sicherheit nochmal zusätzlich --> praktisch eine 2FA beim Zurücksetzen des Passworts).


.


"Unbenommen davon wäre es toll, wenn man hier verschiedene Passwörter für verschiedene Dienste vergeben könnte. Und wenn alle Anmeldungen bei allen Diensten hier (auch Forum und Helpdesk) per 2FA gehen könnten."

Wäre ganz nett - vor allem letzteres. Dienstabhängige Passwörter würden das Problem, dass jemand mit Kenntnis des Passworts den Account komplett übernehmen kann (inkl. Aussperrung des legitimen Eigentümers), jedoch nicht wirklich lösen (höchstens das Risiko senken).

Foto
1

Danke für die Präzisierung, die Vorschläge würden das Sicherheitsniveau deutlich verbessern. Ich fürchte, dass der damit verbundene Aufwand deutlich größer ist, als ich mir das vorstellen kann.


Vielleicht wäre es einfacher, wenn man die Mailadresseim Backend gar nicht angibt? Dann kann man die "Passwort-vergessen-Mail" nicht senden lassen, sondern müsste die Hotline anrufen, bzw. die Funktion "Passwort zusenden" würde automatisch eine Nachricht intern an den Support geben, damit man angerufen wird? Das hätte aber zu Folge, dass man ggf. warten müsste...


Alles nicht so einfach. Ich gewöhne mich an 2FA nur noch über Webmail, es geht ganz gut, man entschleunigt sich selber. Als nächstes fliegt der Mailclient von meinem Smartphone. Digital detox...

Foto
2

Nach meiner Einschätzung könnten die erkannten Problemfelder durch mailbox.org einfachst gelöst werden,

- wenn die PW-vergessen-Mail nur mehr an die alternative Mailadresse und/oder via SMS an die hinterlegte Mobilnummer versandt werden könnte, sobald einer dieser Werte gesetzt wurde.

- Das Foren-Login-Passwort sollte vom Hauptaccount entkoppelt werden oder 2FA müsste auch fürs Forum eingeführt werden. Das Digital-Detox mit 2FA-only im Hauptaccount fährt nämlich gegen die Wand, wenn ich mich im Forum wieder mit dem Hauptaccount-Passwort einloggen muss. Konsequenterweise dürfte ich mich derzeit bei 2FA-only (das beschriebene Detox) von keinem unbekannten Browser mehr ins Forum einloggen oder das Forum dürfte nicht mehr genutzt werden...

Foto
1

Wenn die PW-vergessen-Mail an eine andere Mail-Adresse versandt wird, ist das nicht wirklich anders als jetzt. Die Frage ist bei genauer Betrachtung die, von welchem Gerät aus man wie auf die jeweilige Mailadresse zugreift oder zugreifen kann. Die meisten User dürften alle ihre Mailadressen in einem Mailclient verwalten. Es wäre dann total egal, welche Mailadresse benutzt wird, sowie ein Angreifer an das Gerät kommt.


Genau dann ist es also wieder primär die Frage der Gerätesicherheit. Oder eine Frage des Nicht-nachgebens der Bequemlichkeit, alles auf allen Geräten jederzeit zu haben.


Bei näherer Betrachtung entpuppt sich das als ziemlicher Teufelskreis - was mich darin bestärkt, nur noch mit 2FA via Webzugriff only an die Mails zu gehen. Und meine Paranoia zu ignorieren...

Foto