Willkommen im User-Forum von mailbox.org
 

2-Faktor-Authentifizierung bei IMAP/Mail?

6170476 hat dies geteilt, 5 Jahren her
beantwortet

Sehr geehrte Damen und Herren,


was nützt die 2-Faktor-Authentifizierung, wenn der Zugang über das IMAP-Protokoll weiterhin über das Standard-Passwort funktioniert. Jemand, der in in den Besitz meines Passworts gerät, sei es über einen fremden von mir genutzten PC oder durch Schwachstellen beim Datentransfer, könnte sich über das IMAP-Protokoll trotz der 2-Faktor-Authentifizierung an meinen Mails bedienen. Darüber hinaus ist doch davon auszugehen, dass Hackerangriffe ggf. nicht über die Website, sondern automatisiert und im großen Stil über das IMAP- oder POP-Protokoll stattfinden. Inwiefern schützt mich diese Technik dann, außer vor meiner neugieren Mama natürlich?


Vielen Dank!

Kommentare (7)

Foto
2

OTP schützt das Passwort, wenn es auf einem unsicheren Kanal/Rechner eingegeben wird und ein dermaßen mitgelesenes Passwort wertlos sein soll. Mit "Hackerangriffen" auf diese Zielports hätte das nichts zu tun. Das ist gar nicht Aufgabe von 2F.


Wir könnten auch problemlos 2F bei Mail anbieten. Nur: Das ergäbe keinerlei Sinn und geht technisch einfach nicht. Mailclients bauen permanent neue IMAP-Verbindungen auf und bauen alte ab. Mailclients haben parallel mehrere IMAP-Sitzungen zum Server offen. Für jede müßte man sich neu einloggen. Bei jedem Ordnerwechsel bauen Mailclients wie Outlook neue IMAP-Verbindbungen auf -- man müßte sich permanent neu einloggen. Und für den Versand von E-Mails per SMTP wird für jede einzelne E-Mail eine authentifizierte SMTP-Verbindung zum Server neu aufgebaut. Man müßte jede einzelne zu versendene E-Mail mit einem 2F-Login freischalten.


Sprich: Auf jedne 2. Mausklick würde ein Login notwendig werden. Das ist von A bis Z nicht praktikabel nutzbar.


Das liegt aber nicht an mailbox.org, sondern in der Natur der Sache wie E-Mail funktioniert.

Foto
2

Das beantwortet doch aber die Frage nicht. Angenommen jemand gelangt an das Passwort, und er kann es nicht nutzen, weil der zweite dynamische Faktor fehlt, an den er nicht herankommt.


Gut, dann lockt sich der "Dieb" eben über Outlook oder Thunderbird oder sonstwas in meinen Account ein. Da bringt doch dann auch 2-Faktor nichts.


Verstehe nicht, wovor mich das dann ggf. wirklich schützen soll?

Foto
1

Das "Passwort" aus dem 2F-Login ist nicht das Passwort zum normalen Login. Keine der beim 2F-Login genutzten Komponenten hat etwas mit dem normalen Passwort zu tun. Wer an die 2F-Daten gelangt hat nur wertlosen Buchstabenschrott.

Foto
1

Ich glaube, Hr. Heinlein hat sie nicht richtig verstanden. Vielleicht beantwort de FAQ Eintrag zur Zwei-Faktor-Auth bei Mailbox.org die Frage.


Mailbox.org bietet noch ein besonderes Sicherheitsfeature. Wenn Sie IMAP nicht nutzen wollen, dann kann man den Passwort Login via IMAP und CardDAV und CalDAV abschalten (deaktivieren). Dann ist nur der Login im Webinterface via 2FA möglich, das Passwort ist dann total unbrauchbar.


2FA für E-Mail Clients oder CardDAV oder CalDAV Clients ist unbrauchbar, weil die Clients das nicht unterstützen und außerdem total unpraktisch, weil man ständig neue OTP-Pins eingeben müsste. Keiner User würde sich das in der Praxis antun.

Foto
1

Da ich mailbox.org jedoch auch mit Outlook nutze bedeutet das also, dass jemand mit ergaunertem Passwort (wenn ich mich beispielsweise mal an einem fremden PC einlogge) über IMAP trotzdem problemlos an meine Mails kommt?

Foto
2

Wenn Sie am fremden PC für das Webinterface 2F nutzen, dann kommt er nicht ran. Genau das ist der Sinn von 2F.


Wenn Sie auf einem fremden PC Outlook einrichten und dort ein IMAP-Konto anlegen: Ja. Kommt er. Dann hat im übrigen derjenige auch Ihre Mails bereits auf der lokalen Festplatte...

Foto
1

Herr Heinlein, haben Sie vielen Dank. Das beantwortet meine Frage. Diese Version mit PIN kenne ich von anderen Anbietern nicht.

Foto
1

Okay, dann klärt dass das Missverständnis.

Ein Passwort + eine Pin sind nicht "zwei" Faktoren, sondern einer: Wissen. Ob ich nun "1234passwort" oder "1234" UND "passwort" nehme -- am Ende ist es nur ein Faktor.

ZWEI Faktoren ist es, wenn man "Wissen" (PIN/einfaches Passwort) und BESITZ (Tokengenerator) kombiniert. Wissen auch deshalb, weil der Besitz am Tokengenerator ja beispielsweise verloren gehen kann und das Gerät dann wertlos sein muß. Nicht anders funktioniert die EC-Karte.

Heißt aber eben auch: Mit einem "WISSEN" alleine kann man keinen (echten) 2F-Login überleben. Was Sie als "Passwort" meinen ist eigentlich ja die PIN. Die andere Hälfte ist ja nicht das Passwort,sondern nur der (one time) Token aus dem Passwortgenerator (=Besitz). Der ist aber wertlos.

Und die PIN ist bei uns eben eine separate PIN (alias Zahlenpasswort) das nichts mit dem IMAP-&Co.-Passwort zu tun hat. Weil: Hätte es was miteinander zu tun, dann wäre ja alles sinnfrei, wie Sie zuallerst ja völllig richtig bemerkt haben. :-)

Foto
1

Hallo,

Bei aktiviertem imap kann bei passwortklau jeder auf mein Email Konto zugreifen, auch wenn ich 2 Faktor Authentifizierung nutze, richtig?


Was bietet Mailbox.org hier für Smartphones an damit der Zugang zu den Mails nicht zu kompliziert ist?

Foto
1

Hallo,


sehe ich folgendes richtig - wenn ich alles was ich hier so lese und auch das hier https://userforum.mailbox.org/knowledge-base/article/zwei-faktor-authentifizierung - hat man die 2FA aktiviert und will IMAP/SMTP weiternutzen, dann kann man sich an die Weboberfläche

mit der UserId (= mailbox.org-Mailadresse) und dem bei der aktivierung gesetzten PIN sowie dem 2ten Faktor aus dem Generator (App, Yubikey) anmelden,

und das gesetzte Passwort weiterhin f. IMAP/SMTP verwenden;


und um @9084726 zu beantworten, auch nachher noch das - dann nur noch f. IMAP/SMTP verwendete - Passwort in der Weboberfäche setzen, richtig?


Grüße,

Walter

Foto
2

Bei 2FA nutzt man NICHT das bisherige Login-Passwort, das wird dafür nicht gebraucht.


Man nutzt den Benutzernamen, die für 2FA gesetzte PIN und den 2ten Faktor vom Generator.


WICHTIG: Bei mailbox.org in den Benutzereinstellungen UNBEDINGT eine Mailadresse eintragen, an die bei einem notwendigen 2FA-Reset das neue Passwort geschickt werden kann. Sonst ist das eigene Postfach bei Problemen erstmal zu.


Das bisherige Passwort kann man für die weiterhin mögliche Nutzung eine Mailprogramms nutzen.


Wofür nutzt man dann 2FA? z.B., um sich auf fremden Rechnern (dann im Browser am besten als Private Session) via mailbox.org in die Mailbox einzuloggen, oder um auf dem Notebook nicht ein Mailprogramm installieren zu müssen.

Foto
1

Google hat hier lange API Tokens um sicher aus einem IMAP Programm Mails abzurufen wenn man 2FA im Web hat. Gibt es sowas auch bei Mailbox.oeg?

Foto
1

Gute Frage. Im Prinzip App-Passwörter. Bzw. eine eigenen App mit der entsprechenden Authentifizierung wäre wünschenswert.

Ich stelle mir auch die Frage, ober die angebotene Yubikey-Möglichkeit noch "stand der Technik" ist? Höre hier ständig den Wunsch nach Fido2 raus... Ebenso unklar, - der Token für die Authendicator-App. Ist Zeit basierend, oder doch Ereignis basierend die bessere Wahl?


LG Daniel

Foto
1

die Yubikey-Mglkt. ist nicht mehr und auch nicht weniger "Stand der Technik" als eine OTP-Generator-App auf der Heizflosse;

jedenfalls bitte keine Vergleiche zu den Electronic-Banking-Systemen machen, welche die Banken momentan hochrüsten: pushTAN (bis Mitte Sept. ist das lt. EU-Verordn. Pflicht)

im Prinzip, das was das Yubikey-Dingens macht, hat vor knapp 20 Jahren eine Bank bereits f. die TANs gemacht ... (die Konkurrenz hat da noch lange mit Papierlisten herumgepfuscht)

Foto
1

Ich hab das gleiche "Problem" mit dem Sicherheitskonzept von mailbox.org.

Was bringt mir 2 - Faktor, wenn jeder sich mit einem Passwort abseits der Weboberfläche an meinem Account / Drive einloggen kann? Wieso bietet hier mailbox.org nicht "App Passwörter" wie andere Provider an?

Überlege ernsthaft zu fastmail zu wechseln.

Foto
1

@Reptile-2k Du weißt schon dass der 'fastmail'-Laden in Australien sitzt, und Du dann a verdammt lange Leitung zu Deinen Mails hättest;


kannst das "Was bringt mir 2 - Faktor, wenn jeder sich mit einem Passwort abseits der Weboberfläche an meinem Account / Drive einloggen kann?" etwas näher spezifizieren, denn, wenn Du IMAP/SMTP nicht nutzt, kannst Du den Zugriff darauf abdrehen ...

Foto
1

Was meinst du mit verdammt langer Leitung?

War bei denen schon 3 Jahre Kunde und Mails kamen immer in Echtzeit per Push. Hatte nie ein Problem bei denen.


IMAP will ich ja eben nutzen, zum Beispiel am iPhone. Genau das ist mein Problem. Verstehe nicht, wieso das Mailbox nicht mit App Passwörtern löst wie andere Provider.


Die Cloud Funktion ist somit komplett unsicher. Jeder der mein Passwort irgendwie bekommt kann alle meine Dateien anschauen ohne das ich es mit bekomme.

Foto
1

@Reptile-2k ganz einfach, wo hast mehr Möglichkeiten dass was fehlschlägt, und damit ein Zugriff zu den eigenen Daten (Deine Mails) unmöglich wird, wenn die Leitung quer über den Erdball verläuft, oder nur bis ins nächste Dorf a la Berlin?

wieso bist Du dort nicht mehr Kunde?

und findest des wirklich clever dass jeder Laden mit einer eigen App was herum-murxt, und einem die Flosse 'versaut', weil sie nicht fähig sind, es mit Standard-Methoden zu ermöglichen?

(Security by Obscurity ist noch nie eine Lsg. gewesen)

Foto
1

Da geb ich dir bei allem recht. Trotzdem löst das nicht das Problem mit 2-Faktor der bei Mailbox extrem leicht ausgehebelt werden kann. Man bekommt ja noch nicht mal eine email wenn sich ein neues Gerät anmeldet.

Foto
1

Gesetze in Australien

Foto
1

Das ist ein Punkt ja. Wobei es mir als Mailbox Kunde weniger darum geht, das Behörden nicht auf meine Daten zugreifen können. Für mich ist Sicherheit im allgemeinen sowie Verlässlichkeit und Echtzeit (Push) eher wichtig.


Sicherheit gegenüber dritten sehe ich bei der Art und Weiße wie Mailbox 2-Faktor umsetzt überhaupt nicht gegeben. Ich würde noch nicht mal mitbekommen wenn jemand mein Passwort benutzt um über imap meine emails anzurufen.

Foto
1

@Reptile-2k definiere 'Sicherheit im allgemeinen' ..., denn es lest sich für einen außenstehenden so, als dass Dir ein Flossengerülpse wichtiger ist als dass Deine Daten vor Verlust, Zugriff, ... geschützt sind;

Du hättest eine wahre Freude, wie es oben bereits dargestellt wurde, Du bei jedem Zugriff z,B. eine SMS bekommen würdest; könnte es leicht sein, dass Du völlig entnervt deine Flosse aus dem Fenster entsorgst ...

Foto
1

App Kennwörter funktionieren aber nicht so, dass man bei jedem Zugriff eine sms bekommt.

Und ja: Mir ist es lieber wenn Behörden auf meine Daten zugreifen können statt jeder beliebige Mensch mithilfe vom IMAP Protokoll (falls er mein account Kennwort hat) weil Mailbox keine App Kennwörter hat.

Wie realistisch ist es, dass FastMail alle meine emails ohne Vorwarnung löscht? Wenn die sowas machen würde und das raus kommt verlieren sie alle ihre Kunden.


Wie gesagt: Ich würde gerne bei Mailbox bleiben, aber die 2 Faktor authentifizierung ist nicht wirklich sinnvoll umgesetzt.

Foto
1

@Reptile-2k Du widersprichst Dir jetzt aber komplett, wenn es Dir egal ist, dass Behörden auf Deine Daten zugreifen können, sie im schlimmsten Fall verändern od. löschen können, braucht es Dich auch nicht zu jucken, sollte jemand darauf per IMAP zugreifen können;


App Kennwörter funktionieren gar nicht, das ist Security by Obscurity; Du hast von Zugriff mit IMAP - ein Standardprotokoll - geschrieben;


und zu Deiner Frage: es ist realistischer im Sinne von wahrscheinlicher dass Du bei FastMail auf Deine Daten keinen Zugriff mehr hast, als jemand zu Deinem IMAP-Passwort hier bei mailbox.org kommt und damit auf Deine Mails via IMAP zugreift ..., was Dir aber egal ist;

die Behörde sind schließlich keine außerirdische Spezies;

Foto
1

Ein Angreifer hat es aber darauf abgesehen mit meinem email Postfach Zugriff auf weitere Dienste zu erlangen. Die Intention bei Behörden ist eine ganz andere.


Wieso sollte es unrealistisch sein, dass jemand mein Kennwort von Mailbox erlangt? (Keylogger, eine Schwachstelle in der Datenbank von Mailbox etc.)

Foto
1

Ich kenne aber auch keinen Anbieter der das kann. Alle die 2FA auch für den Zugriff auf dem Smartphone etc. anbieten, nutzen dafür eigene Apps : Gmail, Tutanota, Fastmail , Protonmail etc.. Da kann man dann auch imap deaktivieren und ein Zugriff ist nur noch mit PW + 2FA möglich

Foto
1

Gmail kann es, Outlook.com kann es, FastMail kann es.

Mehr Dienste die App Kennwörter + 2 Faktor anbieten fallen mir auf die Schnelle nicht ein. Aber eigentlich ist das Standard.


Und wenn ich dann IMAP deaktiviere, funktioniert die OX Drive App ja auch nirgends mehr oder? Weil die nutzt ja auch das normale Account Passwort.

Foto
1

kein Zugriff auf Daten, die einem nicht gehören ist NIE mit guten Absichten; Deine Aussage würde ich gelten lassen, hätten wir tatsäclich 0-Korruption, haben wir haben nicht;

und wer hat unrealistisch geschrieben; und Deine Möglichkeiten gelten auch bei Fastmail; man sollte nicht blind sein zu meinen, dass es bei Fastmail keine Schwachstelle in einer Datenbank geben kann; diese 'Risken' heben sich beim Vergleich auf; aber bei Fastmail gibts eben zusätzliche Risken welche 'Dein Problem mit Mailbox' mehr als wegkompensieren;

dass Du App-verliebt bist habe ich schon herausgelesen; auch die können Schwachstellen haben ...

Foto
1

Oh nein, kommen jetzt Querdenker und Verschwörungstheorien?

Foto
1

Nein, aber Fakten welche man (Du) nicht sehen will(st) ...

wie gesagt, Du hast 'unrealistisch' geschrieben nicht ich

wer die Sicherheit in obskure Apps legen, den hindere ich nicht daran;

auch diese sind angreifbar; wenn es jemand auch Dich abgesehen hat, wird das auch passieren;

Foto
1

Wenn man hald zumindest eine email bekommen würde, wenn sich jemand mit einem neuen Gerät einloggt.


Ich würde wirklich gerne bei Mailbox bleiben. Aber irgendwie hab ich da auch ein doofes gefühl, wenn jemand ohne mein Wissen ein Login von einem IMAP Gerät machen könnte.

Und ausschalten ist für mich keine Option.

Foto
1

evtl. wäre dan Tutanota was für dich : Aus Deutschland, Datenschutz top, durchgängige 2FA , 1 Euro pro Monat.

Foto
1

"Wenn man hald zumindest eine email bekommen würde, wenn sich jemand mit einem neuen Gerät einloggt."


genau das wurde oben bereits erläutert und auch ich habe das weiter oben, dass damit Dein Postfach sehr schnell zugemüllt wird; das ist das Wesen von IMAP ...


@Jan aber sich nicht beim Zugriff via IMAP ...


derartiges kannst in die Tonne treten;

Foto
1

Eine email wenn sich mit meinem Kennwort ein neues Gerät anmeldet. Haben andere Dienste auch, (Evernote, Google, Amazon etc.) ohne große Probleme. Sogar Mailbox zeigt die angemeldeten Geräte in den Einstellungen kann. Feststellen kann der Dienst das also technisch.

Foto
1

@Reptile-2k hast Du die Ausführungen von Peer Heinlein denn gelesen / verstanden?


Deine Beispiele beziehen sich aber auf was ganz anderes; das hat mit IMAP genau Nix zu tun;

Foto
1

Ich glaub wir reden aneinander vorbei. Ich will kein 2-Faktor fürs IMAP Protokoll. Ich will einfach nur ein eigenes Kennwort das nur mit einem von mir vorher festgelegten Gerät funktioniert und sonst mit keinem (das ist ein App Kennwort).

Foto
1

@Reptile-2k dann dreh IMAP ab. und verwende ausschließlich die Weboberfläche, Problem gelöst;

Foto
1

so ist es , ihr redet aneinander vorbei.

Reptile 2k = Ist mit dem Sicherheitsniveau bei mailbox.org nicht zufrieden

Walter = versucht zu erklären warum es hier nicht geht.

Soweit so gut , ändert aber nichts an den Fakten und Reptile ist weiter unzufrieden.


Das wäre ähnlich, als wenn Reptile gerne ein Auto hätte das 250 km/h fährt und Walter versucht ihn zu erklären das es mit dem Kleinwagen nicht geht.

Foto
1

Man sollte sich erst mal klar machen, wozu 2FA da ist. In erster Linie soll es dumme Menschen schützen, die ein schlechtes Passwort verwenden und das am besten noch überall. Dann ist eine Übernahme ein Kinderspiel. Da ist der zweite Faktor das wahre Passwort. Davor schützt auch die 2FA Methode von MBO.

Nächste Variante ist der erwähnte Keylogger. Da hilft natürlich auch kein gutes Passwort. Allerdings schützt hier ein Passwortmanager. Und falls man die Mails sowieso mit IMAP nutzt, wozu dann noch die Weboberfläche? Wenn man die nicht nutzt, helfen 2FA oder Keylogger auch nicht.

Wie MBO 2FA umgesetzt hat, finde ich auch nicht optimal aber Sie arbeiten dran. In ein paar Jahren wird das sicher geändert.

Ausserdem gibt es noch den Mail Guard. Das ist noch ein weiterer Faktor und der funktioniert mit Web und allen Apps und Programmen. Ausserdem schützt er die Mails zusätzlich noch auf dem Server vor Fremdzugriff. Dateien kann man damit auch noch schützen.

Foto
1

Doch, mit einem App Passwort das nur für ein ganz konkretes Gerät funktioniert. Sonstiger Zugang dann nur über 2FA. Hacker Angriffe über IMAP würden dann auch ins leere laufen. Genau so realisieren es doch schon zig andere Dienste.

Foto
1

@Reptile-2k leider nicht; sie gaukeln nur eine Schein-Sicherheit f. App-verliebte vor; um Dein Beispiel Gmail, das erlaubt auch den Zugriff via. SMTP / IMAP, und den kannst Du analog wie hier bei Mailbox auch deaktivieren;

aber dann fkt. genau wie hier auch kein Thunderbird, Outlook, ... was auch immer;

dass die alle proprietäre Zugriffsprotokolle implementiert haben, halte ich f. ein Gerücht; die nutzen bestehendes, verbergen es nur - in der App;

sagte ja, Security by Obscurity ist noch nie eine Lsg. gewesen;

Foto
1

Hab ich das richtig verstanden, dass ein App Kennwort gar keinen zusätzlichen Schutz bietet in der Praxis?

Foto
2

Hast du das mal ausprobiert? Die App Passwörter funktionieren nicht für ein einziges Gerät. Theoretisch kannst du ein App Passwort überall verwenden!

Das mache ich auch so. Wenn eine Firma mehrere Apps hat, dann bekommen die alle ein App Passwort. Das funktioniert und es kommt auch keine Warnung.

Der Server sieht nur die IMAP, WebDav, CardDav oder CalDav Verbindung und die Authentifizierung aber da wird keine Geräte ID mitgesendet. Wie soll der Server das unterscheiden? Eine Warnung kommt nur mit Webbrowsern, die tonnenweise Metadaten mitsenden. Dort sieht der Server deinen Ort, das Betriebssystem, die Browser Version und vieles mehr.

Foto
1

Danke, @4030395 Du hast es auf den Punkt gebracht;

@Reptile-2k so ist es; also bietet mailbox.org schon den maximalen Schutz

Foto
1

@Reptile Doch, es ist schon ein zusätzlicher Schutz aber du überschätzt ihn etwas. Es ist keine Superwaffe gegen alle denkbaren Angriffe.

Wie oben schon erläutert, wurde das in erster Linie für die Menschen eingeführt, die überall nur ein Passwort und da auch noch ein schlechtes, verwenden.

Deutschland ist in der Weltrangliste, der schlechtesten Passwörter, auf Platz Nr. 1. :( Es wird immer noch am meisten 123456 und Passwort oder der eigene Name verwendet. Also bei solchen Muggles hilft 2FA natürlich.

2FA ist auch sinnvoll, wenn man eine App verwendet und sie später nicht mehr verwenden will. Dann kann man nur dieses App Passwort sperren und muss nicht das Passwort ändern und in allen Apps ändern. Fast ein Komfortfeature und auch etwas wert.

Wenn du aber nicht zu den Menschen gehörst, die den Webbrowser (oder sogar Fecebook) für das Internet halten, dann brauchst du die Weboberfläche nicht. So gut die Weboberfläche auch ist - Webbrowser sind inzwischen sehr komplex und die grösste Angriffsfläche für Malware und sollten daher vermieden werden.

IMAPS und DAVS sind zu bevorzugen. Ausserdem ist die MBO WebApp gar nicht schlecht, falls man die Webseite doch verwenden will.

Foto
1

Das versteh ich nicht. Die weboberfläche kann ich doch gar nicht deaktivieren. Lediglich IMAP.


Ich habe ein 30 stelliges kryptisches Kennwort bei Mailbox (password manager). Das ist nicht das Thema.

Foto
1

Einspruch !

1. Ein App Passwort ist natürlich besser weil a) es seperat auch wieder ungültig machen kann oder b) es nicht alle Dienste erlaubt z.B. nur Kalender aber kein IMAP/SMTP


2.App Verliebtheit =Bsp. Google, ich kann meinem Mail Account auf einem Iphone mit der Standard APP oder auch unter Thunderbird einrichten OHNE das ich ein Anwendungspasswort brauche und OHNE das ich IMAP/POP3/SMTP erlauben müsste, Ich will damit sagen, das es technisch sehr wohl geht.

Foto
1

Du kannst und musst die Weboberfläche nicht deaktivieren. Einfach nicht verwenden! Ausser um mal die Einstellungen anzupassen. Da würde das 2FA wieder helfen.

Verwendest du sie nicht, kann auch keiner dein Passwort abfangen. Das ginge zum Beispiel mit einem Malware PlugIn. Einem ManInTheBrowser Angriff. So was kann durch eine Webseite oder EMail Anhang auf den Computer geraten.

Foto
1

@Jan

"... unter Thunderbird einrichten ... OHNE das ich IMAP/POP3/SMTP erlauben müsste"

kann es sein, dass es ohnehin erlaubt ist via IMAP/POP3/SMTP darauf zuzugreifen?


(es kann sein, dass das früher mal so war, dass man es bei Gmail explizit erlauben musste um es mit Outlook, Thunderbird, ... verwenden zu können, nun aber generell möglich ist)

Foto
1

@Walter Ja, daran erinnere ich mich. Bei Google musste man das explizit aktivieren. Die bevorzugen es sicher, wenn man alles mit (ihrem) Webbrowser macht. Da können sie noch mehr Metadaten abgreifen.

Foto
1

@Walther , wie es technisch genau geht kann ich dir nicht sagen, Man wird dann zu einer Seite weitergleitet wo man seine Google Anmeldedaten eingibt und das war es. IMAP bleibt deaktiviert. Das gleich gilt für das Iphne.


Mal was positives zur 2FA von Mailbox.org. Zuhause nutze ich TB und sonst noch halt die Standard APP von IOS das PW ist ewig lang und ist im PW-Manager. Wenn ich auf einem der beiden Geräten einen Trojaner oder so hätte , hätte ich wohl auch andere Probleme. Muss ich mich tatsächlich auf der Arbeit einmal einloggen, brauche ich nicht das ewig lange PW herzuzaubern sondern nur den PIN. Hat also auch was gutes...

Foto
1

@Jan

Das läuft unter dem Begriff SSO „Single Sign On“. Die App oder Webseite weiss, das du SSO mit Google verwendest. Die schickt also eine Anfrage an Google und fragt nach. Bei Bedarf fragt dich Google dann noch mal nach deinem Passwort und sendet ein OK oder nicht OK an die App zurück.

Das ist bequem aber erhöht nicht die Sicherheit. Hat jemand dein Passwort, kommt er überall rein, wo du SSO verwendest. Also fast das Gegenteil von 2FA.

Das verwende ich nur bei unwichtigen Logins, wie zum Beispiel für ein Spiel.

Foto
1

Also ich hab eben bei Fastmail ausprobiert das gleiche App Kennwort auf 2 unterschiedlichen Geräten zu verwenden. Das geht definitiv nicht.

Foto
1

@Reptile-2k um vom selben zu sprechen; musst Du bei der Einrichtung der App das Kennwort vergeben und ein 2tes mal bestätigen?

Foto
1

Nein, FastMail generiert mir ein Kennwort. Bei Installation des Profils auf dem Gerät wird man das auch verknüpft angezeigt in den Einstellungen.

Foto
1

Wenn du ein Profil installierst, dann ist das aber kein Passwort. Da ist immer mehr drin. Vielleicht ist das dann nur ein Passwort, für das Profil. Üblicherweise sind in solchen Profilen Verschlüsselungszertifikate. Das geht natürlich weit über ein 2FA App Passwort hinaus.

Foto
1

@Reptile-2k ok und genau das suggeriert den Trugschluß dass es sicher ist; ist es aber nicht, die App unterhält sich mit dem Server dennoch mit POP/IMAP/SMTP; und die hier verwendeten Anmeldedaten können genauso abgegriffen werden wie bei mailbox.org;

Foto
1

Ich habe mir die Hilfe durchgelesen. Die Profile sind eine Installationshilfe. Was genau die machen, steht da nicht. Verwende mal das App Passwort und teste das auf zwei Geräten.

Nirgendwo in der Hilfe steht, das es nur mit einem Gerät funktioniert. Abgesehen von den optionalen Profilen, ist das eine ganz normale 2FA Funktion.

Foto
1

Aber mit einem komplett anderen Passwort für jedes Gerät. Bei Mailbox muss ich selbst hier fürs Forum das gleiche Passwort wie bei IMAP verwenden.

Der Benutzername bei Mailbox ist beim Login auch die normale email Adresse. Bei FastMail hab ich dafür einen ganz eigenen der nichts damit zu tun hat.

Foto
3

Das MBO keine App Passwörter anbietet, ist ja bekannt. Den Login Namen kannst du aber ändern. Ich verwende für EMails immer einen anderen Namen, als für das Login.

Einfach ein kryptisches Alias anlegen und als Hauptadresse auswählen. Dann deine normale EMail Adresse als Standardabsender setzen.

Foto
1

@Reptile-2k lass Dich nicht blenden, bei mailbox.org wird das Kennwort f. SMTP/IMAP/POP3 halt nirgends gespeichert, darum ist es bei jedem Gerät das gleiche;

wenn das in der App - im Profil der App - gespeichert wird, nur um ein eigenes App-Kennwort zu haben, ist das eigentlich dumm.

Foto
1

Das mit dem Login Namen ist eine gute Idee, das werde ich nachher mal versuchen zu realisieren.


Ich Versuch nachher auch nochmal bei FastMail das gleiche App Kennwort auf 2 Geräten zu benutzen. Wenn das geht verstehe ich ein Stück weit eure Argumentation.

Foto
1

Ihr habt recht, es geht wirklich das App Kennwort von FastMail 2x zu verwenden.

Foto
1

@4030395

"Abgesehen von den optionalen Profilen, ist das eine ganz normale 2FA Funktion."

eigentlich nicht, nur weil die App abgesichert ist, und man bei Verwendung dieser das App-Kennwort und das Kennwort f. IMAP/POP/... angeben muss, hat das mit 2FA nur wenig zu tun;

nach der Definition von 2FA bedeutet es, dass dieser bei Flossen nur dann gegeben ist, wenn starke Merkmale, z.B. biometrische Eigenschaften wie Iris-Scan, od. Fingerprint-Scan die App freischalten;

nutzt hingegen jemand einen TOTP Generator auf seiner Flosse um sich am PC in einer Web-Applikation (im Browser) anmelden zu können ist hier der Def. bereits genüge getan;

falls jetzt ein Einwand kommt, die pushTAN Geschichte bei Banking-Apps geht über eigene Kanäle;

(die PushTAN-Desktop-App f. Windows/MacOS ist nur f. Geizkrägen, die sich keine Heizflosse leisten wollen, und um der PSD2-Richtlinie Genüge zu tun,

hat aber mit der 2FA Definition nichts zu tun, weil eine Infiltration des PCs durch Malware auch diese PushTAN-Desktop-Applikation betrifft)

Foto
2

Schon klar. Ein App Passwort ist eine Krücke für die Apps, die kein 2FA können. Das ist halt die übliche Implementation von 2FA, damit es mit allem funktioniert. Mit der eigenen App kann man das viel sicherer lösen.

Bleibt noch mein Tip von oben. Mail Guard einschalten und man hat einen 2. oder 3. „to know“ Faktor für den Zugriff.

Ein Yubikey ist noch besser. Dann hat man zusätzlich zum „to know“ auch noch den „to have“ Faktor.

Bei manchen Apps kann man dann noch zusätzlich den biometrische Schutz einschalten.

Foto
1

Danke für die ganzen Tipps! Die App will ich nicht nutzen (hässlich und ich mag native Apps lieber).

Einen Yubekey hab ich, den konnte ich aber aus irgendeinem Grund bei Mailbox nicht einrichten. Der gleiche yubekey geht aber bei FastMail aus irgendeinem Grund.

Foto
2

Meinst du die OX Mail App? Die hat schon beim ersten Test Probleme gemacht. Die ist auch nicht sicherer als jede andere App! Tutanota und Protonmail haben aber gute Apps.

Für Mailbox und die PGP Mails verwende ich Canary Mail oder Thunderbird. Für Android wird immer K9 empfohlen aber besonders schön ist die wohl auch nicht.

Foto
1

Ja, genau die OX Mail App.


OX Drive läuft doch auch über das IMAP Kennwort oder? D.h. Wenn ich IMAP abschalte geht das doch auch nicht mehr.

Foto
1

Nicht IMAP,, das ist nur Mail. Es ist WebDav aber das verwendet natürlich das gleiche Passwort. Ob das mit abgeschaltet wird, weiss ich nicht. Ich mache es andersrum und verwende die Weboberfläche nicht.

Foto
Foto
1

Mein iPhone und MacBook hab ich über die Profil Dateien installiert. Vermutlich wird durch deaktivieren von imap der Zugriff damit nicht mehr möglich sein oder?

Foto
1

Richtig, wenn du IMAP deaktivierst, geht der Zugriff nicht mehr.

Foto
1

Wie richte ich denn eine andere mailbox.org Adresse als Sendeadresse als Standard ein?

Wenn ich das in den Einstellungen von MBO machen will zeigt er mir an, dass ich das nicht darf.

https://ibb.co/G98Vx43

Foto
1

Falsche Stelle. Das sind alternative Absender.

Einstellungen -> EMail -> Verfassen -> Standard-Absenderadresse

Foto
1

@Reptile-2k hier sei aber angemerkt,

wenn Du z.B. given.sur@mailbox.org als deine Standardabsendeadresse einstellst,

Dich z.B. mit 3.141592654@mailbox.org anmeldest,

kann dennoch jemand wenn er es schaffst mit dieser Mail-Adresse SPAM versenden;

und probier sicherheitshalber ob bei ausgehenden Mails

eh kein Rückschluss auf 3.141592654@mailbox.org gemacht werden kann,

andernfalls würd ich es gut sein lassen;

Foto
1

In den Mails ist mir nichts aufgefallen. Allerdings taucht der Login bei Kalendereinladungen auf und wird für den XMPP Chat verwendet. Dafür gibt es noch keine Lösung.

Foto
3

OpenXchange bietet das an.

Sogar mit Anwendungs Passwörtern die nur ein Protokoll zulassen. Z.B Kalender.


Mailbox.org hat das nur nicht umgesetzt


Application-specific Passwords : Technical Documentation (open-xchange.com)

Foto
1

OK. Dann müssen sie es ja „nur“ noch umsetzen. Vermutlich gibt es nicht viele Entwickler und daher dauert es sehr lange.

Foto
Foto
1

Ich habe nicht alle Kommentare verstanden und ich weiß nicht, ob diese Frage schon geklärt wurde, aber ist es technisch nicht möglich, ein extra Passwort für IMAP einzurichten? Ich kenne das von der Telekom (t-online.de): "das sogenannte Passwort für E-Mail-Programme. Das ist ein besonderes Kennwort, das Sie sich im E-Mail Center vergeben. Das Passwort für E-Mail-Programme wird nur für die Einrichtung einer E-Mail-Software (z. B. Outlook, thunderbird, Apple Mail,....) benötigt." (vgl. https://www.telekom.de/hilfe/festnetz-internet-tv/e-mail/e-mail-server-e-mail-protokolle-und-e-mail-einrichtung/imap/einrichtung-imap).

Foto
1

Das wäre etwas ähnliches, wie das erwähnte App Passwort, bei aktivierten 2FA. Das bietet die Software bisher nicht an.

Vermutlich liegt es an OpenXchange. Strato verwendet diese Software auch. Ist da jemand Kunde und kann sich das 2FA mal ansehen?

Foto
1

@4030395 doch das ist ja genau das hier; nur anders herum; sobald Du 2FA aktivierst die der Zugang zum OpenXchange und sämtliche Einstellungen durch 2FA gesichert; und das bisherige Kennwort dient f. IMAP/SMTP und halt auch hier f. das Forum;

Foto
3

OpenXchange bietet das an.

Sogar mit Anwendungs Passwörtern die nur ein Protokoll zulassen. Z.B Kalender.


Mailbox.org hat das nur nicht umgesetzt


Application-specific Passwords : Technical Documentation (open-xchange.com)


URL Bearbeiten

Foto
1

Empfinde es auch als mangelhaft, besonders nachdem das mailfach jetzt nicht mehr nur 1 Euro kostet.

Aktuell benutze ich keinen mail client weil ich eben auf 2FA nirgendwo mehr verzichte. Aber Echtzeit updates sind einfach komfortabel und ein Standart in der heutigen Zeit.


Denke über einen Wechsel nach... aber tutanota oder auch andere Anbieter bieten dann eben keinen PGP support oder IMAP...

Foto
1

Posteo bietet das. Du kannst ja mal berichten, wie die das umsetzen.

Foto
Foto
1

Vielleicht könnte man die von vielen als Sicherheitslücke empfundene Situation mit dem IMAP-Passwort ein wenig entschärfen, indem man in der Webanwendung eine Option hinzufügt, um den Passwort-Reset per E-Mail zu deaktivieren. Sollte das IMAP-Passwort dann gestohlen werden (auf welche Weise auch immer), kann der Angreifer zwar immer noch sämtliche E-Mails mitlesen, aber zumindest nicht mehr den gesamten Account übernehmen.

Foto
1

@6544901 das hat einen Pferdefuß, sollte bei jemanden die Anmeldung per 2FA scheitern hat er keine Mglkt. noch irgendwie sich bei der Webanwendung anzumelden ...

Foto
1

Da muss ich widersprechen. Sollte die Anmeldung per 2FA scheitern z.B. wegen verlorenem zweiten Faktor, gibt es noch drei weitere Möglichkeiten:


  1. Backup-Code bei Software-2FA (ich vermute dass es bei Yubikey etwas Ähnliches gibt)
  2. Passwort-Reset per Telefon mit Telefon-Passwort
  3. Passwort-Reset über zweite E-Mail-Adresse

Man könnte Option 2 oder 3 als Voraussetzung für das Deaktivieren des Passwort-Resets per E-Mail festlegen, um unvorsichtigen Nutzern zuvorzukommen, die kein Backup für ihren zweiten Faktor haben.

Foto
1

Du hast nur ein Problem; 2FA kann auch scheitern weil es am fernen Ende ein Problem gibt;

hier hilft ein Backup-Code nicht wirklich weiter; (vgl. mit einem 2ten Faktor als SMS, welches einfach nicht ankommen will)

ein Passwort-Reset per Telephon ist nicht 24/7 verfügbar - jeder will auch mal Freizeit haben, und dessen Notwendigkeit bei aktiviertem 2FA ohnehin fragwürdig;

ein Passwort-Reset über eine 2te E-Mailadresse setzt etwas voraus, was an sich das größere Problem darstellt;

2FA bei IMAP/SMTP ist wirklich Unsinn;

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen