2F-Authentifizierung via OTP-Token in der AppSuite über den Link https://office.mailbox.org/appsuite
beantwortet
Hallo MBO-Support,
ich habe vor einer halben Stunde die 2-Faktor-Authentifizierung über OTP-Token (TOTP) eingerichtet.
Für das Login in die App Suite (Web-Interface) nutze ich i.d.R. den "direkten" Link https://office.mailbox.org/appsuite
Wenn ich aber den genannten Link für das Login nutze, funktioniert die 2F-Authentifizierung nicht. Auch nicht wie hier beschrieben https://support.mailbox.org/topic/freeotp-wie-einrichten#comment-2647
Stattdessen kann ich mich ganz normal mit meinem Standard-Passwort einloggen.
Im Gegenzug ist das Login unter https://mailbox.org/login wie erwartet nur über PIN + generiertes Einmalpasswort möglich.
Ist das "Working As Designed"?
Nein, dass der Login über https://office.mailbox.org/appsuite möglich ist, ist von uns nicht so gewollt, wurde von Open-Xchange aber vor kurzem als neues Feature eingeführt.
Wir können diese URL aber nicht sperren, da dann das GUI blockiert wäre, im Gegensatz zur normalen, gesperrten Open_xchange Login Page https://office.mailbox.org/appsuite/signin
Nein, dass der Login über https://office.mailbox.org/appsuite möglich ist, ist von uns nicht so gewollt, wurde von Open-Xchange aber vor kurzem als neues Feature eingeführt.
Wir können diese URL aber nicht sperren, da dann das GUI blockiert wäre, im Gegensatz zur normalen, gesperrten Open_xchange Login Page https://office.mailbox.org/appsuite/signin
Na das macht OTP dann doch schon wieder überflüssig... :( Ich hab ja dann kein echtes OTP wenn ich eine zweite offene Einfallsstelle habe. Dann brauch ich nicht mit "Hackerschutz" werben... OTP ist hier dann nur Mehraufwand statt Mehrwert. Hier muss OX nachbessern aber schleunigst. Schade, leider fail!
Na das macht OTP dann doch schon wieder überflüssig... :( Ich hab ja dann kein echtes OTP wenn ich eine zweite offene Einfallsstelle habe. Dann brauch ich nicht mit "Hackerschutz" werben... OTP ist hier dann nur Mehraufwand statt Mehrwert. Hier muss OX nachbessern aber schleunigst. Schade, leider fail!
Eine Brute-Force Attacke auf mein Iphone schliesse ich aus - aber auf https://office.mailbox.org/appsuite nicht. Da hätte ich deshalb auch gerne OTP und nicht nur auf https://mailbox.org/login . Ich will ja bewusst Web immer per OTP abgesichert haben. Und so ist ein Tor weiterhin offen für mich.
Eine Brute-Force Attacke auf mein Iphone schliesse ich aus - aber auf https://office.mailbox.org/appsuite nicht. Da hätte ich deshalb auch gerne OTP und nicht nur auf https://mailbox.org/login . Ich will ja bewusst Web immer per OTP abgesichert haben. Und so ist ein Tor weiterhin offen für mich.
Nun wird man neuerdings ständig umgeleitet von
https://office.mailbox.org/appsuiteauf die Startseite. Das ist schade, somit hat man jetzt keine Wahl mehr. Es ist entweder 2FA oder kein 2FA. Nicht beides. Das wäre ein
Workaround für das Problem mit den nicht verfügbaren externen Accounts gewesen.
Nun wird man neuerdings ständig umgeleitet von
https://office.mailbox.org/appsuiteauf die Startseite. Das ist schade, somit hat man jetzt keine Wahl mehr. Es ist entweder 2FA oder kein 2FA. Nicht beides. Das wäre ein
Workaround für das Problem mit den nicht verfügbaren externen Accounts gewesen.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.