Willkommen im User-Forum von mailbox.org
 

2F-Authentifizierung via OTP-Token in der AppSuite über den Link https://office.mailbox.org/appsuite

Wahid hat dies geteilt, 2 Jahren her
beantwortet

Hallo MBO-Support,

ich habe vor einer halben Stunde die 2-Faktor-Authentifizierung über OTP-Token (TOTP) eingerichtet.

Für das Login in die App Suite (Web-Interface) nutze ich i.d.R. den "direkten" Link https://office.mailbox.org/appsuite

Wenn ich aber den genannten Link für das Login nutze, funktioniert die 2F-Authentifizierung nicht. Auch nicht wie hier beschrieben https://support.mailbox.org/topic/freeotp-wie-einrichten#comment-2647

Stattdessen kann ich mich ganz normal mit meinem Standard-Passwort einloggen.

Im Gegenzug ist das Login unter https://mailbox.org/login wie erwartet nur über PIN + generiertes Einmalpasswort möglich.

Ist das "Working As Designed"?

Kommentare (11)

Foto
1

Nein, dass der Login über https://office.mailbox.org/appsuite möglich ist, ist von uns nicht so gewollt, wurde von Open-Xchange aber vor kurzem als neues Feature eingeführt.

Wir können diese URL aber nicht sperren, da dann das GUI blockiert wäre, im Gegensatz zur normalen, gesperrten Open_xchange Login Page https://office.mailbox.org/appsuite/signin

Foto
1

Danke für die Rückmeldung! Ich habe inzwischen in diesem Thread https://support.mailbox.org/topic/otp-yubikey-l%C3%A4sst-sich-umgehen erfahren, dass ihr bereits einen Fix-Request bei OX eingereicht hatten.

Foto
2

Für den Anwendungsfall, daß man die Weboberfläche auch auf Geräten verwendet, denen man a) vertraut und bei denen b) die OTP-Eingabe nur unpraktischer Mehraufwand bedeutet,

ist dieses eingeführte Feature so gesehen auch wieder nützlich.

Nur auf unvertrauten Geräten nimmt man dann eben PIN+OTP, um das eigentliche (und je nach Einstellung weiterhin funktionierende) Passwort zu schützen. Eigentlich also eher eine Frage des "richtigen" Nutzerverhaltens beim Login: wenn ich mir vorher überlegen kann, ob ich zur Sicherheit besser OTP verwende oder das normale Kennwort ausreicht.

Foto
Foto
1

Na das macht OTP dann doch schon wieder überflüssig... :( Ich hab ja dann kein echtes OTP wenn ich eine zweite offene Einfallsstelle habe. Dann brauch ich nicht mit "Hackerschutz" werben... OTP ist hier dann nur Mehraufwand statt Mehrwert. Hier muss OX nachbessern aber schleunigst. Schade, leider fail!

Foto
3

Sie können in der OTP-Konfiguration die Login Option "Webinterface OTP, alles andere aus" wählen, dann funktioniert der Login unter der oben angebene Adresse nicht mehr und geht NUR noch OTP.

Wenn Sie diese Option nicht wählen, sonder statt dessen "Webinterface OTP, alles andere Passwort", dann kann man mit einem kompromittiertem Passwort via IMAP alle Ihre E-Mails lesen, via SMTP in Ihrem Namen E-Mails senden, via CardDAV ihr Adressbuch beliebig manipulieren, via CalDAV ihre Kalender beliebig manipulieren und via WebDAV Ihre Dateien im Drive lesen und manipulieren. Somit sind alle Daten kompromittiert, auch wenn Sie OTP im Webinterface aktiviert haben. Deshalb sehen wir das Problem nicht als High Security Bug.

Der Sinn von OTP ist es NICHT, bei einem kompromittiertem Passwort zu schützen, sondern vorher. OTP soll das Passwort in unsicheren Umgebungen vor einer Kompromittierung bewahren.

OTP ist kein Allheilmittel, es hat eindeutig auch Nachteile. Beispielsweise sind alle OTP-Verfahren symmetrisch, d.h. dass der Server die gleiche Operation ausführt wie der Token-Generator und daher Zugriff auf die Parameter zur Token Generierung haben muss. Die Admins des Dienstes (mailbox.org, Google... YubicoCloud) haben immer Zugriff auf die Parameter, und ein Angreifer könnte die verschlüsselte Speicherung umgehen (z.B. im laufenden Betrieb des Servers) und sich der Parameter für die Token-Generierung bemächtigen.

Wenn sichergestellt ist, dass man nur in vertrauenswürdigen Umgebungen arbeitet, dann würde ich ein gutes Passwort bevorzugen. Ein Passwort wird nur als gesalzener Hash gespeichert und weder ein Angreifer noch die Admin von mailbox.org haben damit Zugriff auf die realen Passwörter.

Deshalb sollte man sich überlegen, wann man wo OTP einsetzt (natürlich in Internet-Cafes, im urlaub usw.)

Foto
1

Heisst aber auch bei "Webinterface OTP, alles andere aus" kann ich mit meinem Iphone nix mehr machen (E-Mails, Kalender, etc.).

Foto
1

Ja, das ist der Sinn dieser Option.

Foto
1

Vielen Dank für diese Erklärungen. Das war hilfreich, den Sinn von OTP besser zu verstehen.

Vielleicht könnten diese mit in die Dokumentation

aufgenommen werden, falls nicht schon passiert.

Foto
Foto
1

Eine Brute-Force Attacke auf mein Iphone schliesse ich aus - aber auf https://office.mailbox.org/appsuite nicht. Da hätte ich deshalb auch gerne OTP und nicht nur auf https://mailbox.org/login . Ich will ja bewusst Web immer per OTP abgesichert haben. Und so ist ein Tor weiterhin offen für mich.

Foto
1

Eine Brute-Force Attacke auf https://office.mailbox.org/appsuite können wir aufgrund der TimingRates bei fehlerhaften Login ausschließen.

Foto
Foto
2

Nun wird man neuerdings ständig umgeleitet von

https://office.mailbox.org/appsuiteauf die Startseite. Das ist schade, somit hat man jetzt keine Wahl mehr. Es ist entweder 2FA oder kein 2FA. Nicht beides. Das wäre ein

Workaround für das Problem mit den nicht verfügbaren externen Accounts gewesen.