Willkommen im User-Forum von mailbox.org
 

2-Faktor-Authentifizierung bei IMAP/Mail?

6170476 hat dies geteilt, 2 Jahren her
beantwortet

Sehr geehrte Damen und Herren,


was nützt die 2-Faktor-Authentifizierung, wenn der Zugang über das IMAP-Protokoll weiterhin über das Standard-Passwort funktioniert. Jemand, der in in den Besitz meines Passworts gerät, sei es über einen fremden von mir genutzten PC oder durch Schwachstellen beim Datentransfer, könnte sich über das IMAP-Protokoll trotz der 2-Faktor-Authentifizierung an meinen Mails bedienen. Darüber hinaus ist doch davon auszugehen, dass Hackerangriffe ggf. nicht über die Website, sondern automatisiert und im großen Stil über das IMAP- oder POP-Protokoll stattfinden. Inwiefern schützt mich diese Technik dann, außer vor meiner neugieren Mama natürlich?


Vielen Dank!

Kommentare (14)

Foto
1

OTP schützt das Passwort, wenn es auf einem unsicheren Kanal/Rechner eingegeben wird und ein dermaßen mitgelesenes Passwort wertlos sein soll. Mit "Hackerangriffen" auf diese Zielports hätte das nichts zu tun. Das ist gar nicht Aufgabe von 2F.


Wir könnten auch problemlos 2F bei Mail anbieten. Nur: Das ergäbe keinerlei Sinn und geht technisch einfach nicht. Mailclients bauen permanent neue IMAP-Verbindungen auf und bauen alte ab. Mailclients haben parallel mehrere IMAP-Sitzungen zum Server offen. Für jede müßte man sich neu einloggen. Bei jedem Ordnerwechsel bauen Mailclients wie Outlook neue IMAP-Verbindbungen auf -- man müßte sich permanent neu einloggen. Und für den Versand von E-Mails per SMTP wird für jede einzelne E-Mail eine authentifizierte SMTP-Verbindung zum Server neu aufgebaut. Man müßte jede einzelne zu versendene E-Mail mit einem 2F-Login freischalten.


Sprich: Auf jedne 2. Mausklick würde ein Login notwendig werden. Das ist von A bis Z nicht praktikabel nutzbar.


Das liegt aber nicht an mailbox.org, sondern in der Natur der Sache wie E-Mail funktioniert.

Foto
2

Das beantwortet doch aber die Frage nicht. Angenommen jemand gelangt an das Passwort, und er kann es nicht nutzen, weil der zweite dynamische Faktor fehlt, an den er nicht herankommt.


Gut, dann lockt sich der "Dieb" eben über Outlook oder Thunderbird oder sonstwas in meinen Account ein. Da bringt doch dann auch 2-Faktor nichts.


Verstehe nicht, wovor mich das dann ggf. wirklich schützen soll?

Foto
1

Das "Passwort" aus dem 2F-Login ist nicht das Passwort zum normalen Login. Keine der beim 2F-Login genutzten Komponenten hat etwas mit dem normalen Passwort zu tun. Wer an die 2F-Daten gelangt hat nur wertlosen Buchstabenschrott.

Foto
1

Ich glaube, Hr. Heinlein hat sie nicht richtig verstanden. Vielleicht beantwort de FAQ Eintrag zur Zwei-Faktor-Auth bei Mailbox.org die Frage.


Mailbox.org bietet noch ein besonderes Sicherheitsfeature. Wenn Sie IMAP nicht nutzen wollen, dann kann man den Passwort Login via IMAP und CardDAV und CalDAV abschalten (deaktivieren). Dann ist nur der Login im Webinterface via 2FA möglich, das Passwort ist dann total unbrauchbar.


2FA für E-Mail Clients oder CardDAV oder CalDAV Clients ist unbrauchbar, weil die Clients das nicht unterstützen und außerdem total unpraktisch, weil man ständig neue OTP-Pins eingeben müsste. Keiner User würde sich das in der Praxis antun.

Foto
1

Da ich mailbox.org jedoch auch mit Outlook nutze bedeutet das also, dass jemand mit ergaunertem Passwort (wenn ich mich beispielsweise mal an einem fremden PC einlogge) über IMAP trotzdem problemlos an meine Mails kommt?

Foto
2

Wenn Sie am fremden PC für das Webinterface 2F nutzen, dann kommt er nicht ran. Genau das ist der Sinn von 2F.


Wenn Sie auf einem fremden PC Outlook einrichten und dort ein IMAP-Konto anlegen: Ja. Kommt er. Dann hat im übrigen derjenige auch Ihre Mails bereits auf der lokalen Festplatte...

Foto
1

Herr Heinlein, haben Sie vielen Dank. Das beantwortet meine Frage. Diese Version mit PIN kenne ich von anderen Anbietern nicht.

Foto
1

Okay, dann klärt dass das Missverständnis.

Ein Passwort + eine Pin sind nicht "zwei" Faktoren, sondern einer: Wissen. Ob ich nun "1234passwort" oder "1234" UND "passwort" nehme -- am Ende ist es nur ein Faktor.

ZWEI Faktoren ist es, wenn man "Wissen" (PIN/einfaches Passwort) und BESITZ (Tokengenerator) kombiniert. Wissen auch deshalb, weil der Besitz am Tokengenerator ja beispielsweise verloren gehen kann und das Gerät dann wertlos sein muß. Nicht anders funktioniert die EC-Karte.

Heißt aber eben auch: Mit einem "WISSEN" alleine kann man keinen (echten) 2F-Login überleben. Was Sie als "Passwort" meinen ist eigentlich ja die PIN. Die andere Hälfte ist ja nicht das Passwort,sondern nur der (one time) Token aus dem Passwortgenerator (=Besitz). Der ist aber wertlos.

Und die PIN ist bei uns eben eine separate PIN (alias Zahlenpasswort) das nichts mit dem IMAP-&Co.-Passwort zu tun hat. Weil: Hätte es was miteinander zu tun, dann wäre ja alles sinnfrei, wie Sie zuallerst ja völllig richtig bemerkt haben. :-)

Foto
1

Hallo,

Bei aktiviertem imap kann bei passwortklau jeder auf mein Email Konto zugreifen, auch wenn ich 2 Faktor Authentifizierung nutze, richtig?


Was bietet Mailbox.org hier für Smartphones an damit der Zugang zu den Mails nicht zu kompliziert ist?

Foto
1

Hallo,


sehe ich folgendes richtig - wenn ich alles was ich hier so lese und auch das hier https://userforum.mailbox.org/knowledge-base/article/zwei-faktor-authentifizierung - hat man die 2FA aktiviert und will IMAP/SMTP weiternutzen, dann kann man sich an die Weboberfläche

mit der UserId (= mailbox.org-Mailadresse) und dem bei der aktivierung gesetzten PIN sowie dem 2ten Faktor aus dem Generator (App, Yubikey) anmelden,

und das gesetzte Passwort weiterhin f. IMAP/SMTP verwenden;


und um @9084726 zu beantworten, auch nachher noch das - dann nur noch f. IMAP/SMTP verwendete - Passwort in der Weboberfäche setzen, richtig?


Grüße,

Walter

Foto
2

Bei 2FA nutzt man NICHT das bisherige Login-Passwort, das wird dafür nicht gebraucht.


Man nutzt den Benutzernamen, die für 2FA gesetzte PIN und den 2ten Faktor vom Generator.


WICHTIG: Bei mailbox.org in den Benutzereinstellungen UNBEDINGT eine Mailadresse eintragen, an die bei einem notwendigen 2FA-Reset das neue Passwort geschickt werden kann. Sonst ist das eigene Postfach bei Problemen erstmal zu.


Das bisherige Passwort kann man für die weiterhin mögliche Nutzung eine Mailprogramms nutzen.


Wofür nutzt man dann 2FA? z.B., um sich auf fremden Rechnern (dann im Browser am besten als Private Session) via mailbox.org in die Mailbox einzuloggen, oder um auf dem Notebook nicht ein Mailprogramm installieren zu müssen.

Foto
1

Google hat hier lange API Tokens um sicher aus einem IMAP Programm Mails abzurufen wenn man 2FA im Web hat. Gibt es sowas auch bei Mailbox.oeg?

Foto
1

Gute Frage. Im Prinzip App-Passwörter. Bzw. eine eigenen App mit der entsprechenden Authentifizierung wäre wünschenswert.

Ich stelle mir auch die Frage, ober die angebotene Yubikey-Möglichkeit noch "stand der Technik" ist? Höre hier ständig den Wunsch nach Fido2 raus... Ebenso unklar, - der Token für die Authendicator-App. Ist Zeit basierend, oder doch Ereignis basierend die bessere Wahl?


LG Daniel

Foto
1

die Yubikey-Mglkt. ist nicht mehr und auch nicht weniger "Stand der Technik" als eine OTP-Generator-App auf der Heizflosse;

jedenfalls bitte keine Vergleiche zu den Electronic-Banking-Systemen machen, welche die Banken momentan hochrüsten: pushTAN (bis Mitte Sept. ist das lt. EU-Verordn. Pflicht)

im Prinzip, das was das Yubikey-Dingens macht, hat vor knapp 20 Jahren eine Bank bereits f. die TANs gemacht ... (die Konkurrenz hat da noch lange mit Papierlisten herumgepfuscht)

Foto