Willkommen im User-Forum von mailbox.org
 

2FA durch Passwort-Reset deaktivieren, 2FA sinnlos?

1188026 hat dies geteilt, 9 Monaten her
unbeantwortet

Hallo,


ein E-Mail-Konto benötigt in der Regel einen höheren Schutz, da sich hiermit über die bekannten Passwort-Reset-Funktionen sämtlicher Webseiten weitere Accounts übernehmen lassen.


Natürlich habe ich deswegen 2FA aktiviert (Yubikey), damit sich niemand fremdes über die Weboberfläche an meinem Account anmelden kann, wenn er/sie in den Besitz meines Passwortes gelangt. Für alle anderen Dienste reicht ein Passwort, damit ich E-Mails über mein Smartphone/etc. abrufen kann.

Und hier liegt der Knackpunkt: 2FA kann meinen Account nicht vor einer Übernahme schützen, sofern jemand mein Passwort kennt (Keylogger/etc.), denn über die Passwort-Reset-Funktion von mailbox.org lässt sich der Reset-Link auch an das eigene Postfach schicken und für dieses reicht es aus, das Passwort zu kennen, um es in einen beliebigen Client per IMAP/POP einzubinden. Resettet man dann das Passwort erfolgreich, wird zeitlich auch 2FA deaktiviert und der "Angreifer" kann sich über die Weboberfläche an meinem Account anmelden, weitere Accounts übernehmen und mit im schlimmsten Fall sogar aussperren.


Wie kann man sich dagegen schützen? Andere Dienste bieten in solchen Fällen einen einzelnen Backup-Code an, den man am Besten sehr gut schützt und besser schützen kann, als ein Passwort, dass ich ggf. irgendwo eintippe oder man aus den E-Mail-Clients auslesen kann, etc. Es braucht nur etwas mehr Aufwand: Anstatt nur das Passwort zu stehlen, muss man bei aktiviertem 2FA noch einmal das Passwort resetten. Aber im Endeffekt schützt 2FA hier nicht.


Gruß

Kommentare (61)

Foto
2

Alternativ könnte man die PW Reset Funktion als Option deaktivieren lassen und einen zweiten Yubikey verwenden. Aber einen SEED würde ich ebenfalls bevorzugen.

Foto
2

Genau dieses Problem ist mir gerade auch aufgefallen. Ich hatte 2FA über Yubikey aktiviert und mich (aus noch unbekannten Gründen) selbst aus dem Web Interface ausgesperrt. Nachdem ich per IMAP noch Zugriff auf den Account hatte, konnte ich per Passwort-Reset den 2FA Prozess einfach deaktivieren.


Ich bin gerade dabei mailbox.org als neuen Haupt-Mail Account zu evaulieren – die Möglichkeit des einfachen Deaktivierens des second factor ist für mich leider ein Showstopper.

Foto
1

Mir ist dies ebenfalls aufgefallen, als ich mich selbst ausgesperrt hatte, weil mein Yubikey nicht akzeptiert wurde.

Der Königsweg wäre gewesen, dass ich irgendwo einen sicher gespeicherten, einmaligen Backup-Code, o.ä., hätte ausgraben müssen und diesen statt der Yubikey-Eingabe verwendet hätte um mich einmalig in den Account einzuloggen und dann 2FA zu deaktivieren oder neu einzurichten.

Dass es ausreicht, über die Passwort-Reset-Funktion einfach einen Reset-Code für das Passwort anzufordern, dieses neu zu setzen und damit gleichzeitig jede 2FA zu deaktivieren, halte ich für ein gravierendes Sicherheitsproblem(!), denn hierdurch bietet 2FA keinen zusätzlichen Schutz, wenn nur das Passwort für eine Übernahme des Accounts nötig ist: "Fremder Account mit 2FA" -> Passwort erlangen -> fremdes Postfach per POP3/IMAP im eigenen Client einrichten -> über Passwort-Reset-Funktion den Reset-Code an die Mailadresse schicken -> Code landet im eigenen Client -> Passwort ändern -> 2FA wird dabei automatisch deaktiviert -> neu einloggen/Passwort ändern/eigentlichen Nutzer aussperren.

Da sich Mailbox.org volkommen Anonym benutzen lässt, wäre es dem eigentlichen Besitzer auch niemals möglich nachzuweisen, dass der Account übernommen wurde.

Mich hat dies leider dazu bewegt, mich nach einer alternative umzusehen: Diese bietet Passwort-Reset, welches 2FA nicht deaktiviert, aber beim Einrichten von 2FA einmal gültige Backup-Codes anzeigt, die Möglichkeit des Passwort-Reset komplett deaktivieren lässt und viel besser: Bei Passwort-Reset muss man explizit die E-Mail-Adresse, welche als Reset-Adresse hinterlegt wurde, angeben und diese muss sich von der E-Mail-Adresse des Kontos unterscheiden. Die 2FA "Hürde" bleibt dem Angreifer nach dem Passwort-Reset hierbei weiter erhalten.

Ich würde mir hierzu einen Kommentar von Mailbox.org wünschen, wie wir uns davor schützen können.

Foto
2

Wie heißt die Alternative?

Foto
1

Das sind die mit dem Berg aus er Schweiz, wobei ich hierbei nicht von einer vollwertigen Alternative reden würde, da Mailbox.org deutlich mehr Features bietet. Da ich aber nur einen sicheren E-Mail-Account brauche, ist dies für mich ausreichend und für mich dementsprechend die Alternative da ich dort: 2FA habe, Ende-zu-Ende-Verschlüsselung, IMAP explizit aktivieren muss, Passwort-Reset deaktivieren kann und hier beschrieben Problem nicht existiert.

Foto
2

"Der Königsweg wäre gewesen, dass ich irgendwo einen sicher gespeicherten, einmaligen Backup-Code, o.ä., hätte ausgraben müssen und diesen statt der Yubikey-Eingabe verwendet hätte um mich einmalig in den Account einzuloggen und dann 2FA zu deaktivieren oder neu einzurichten."


Du könntest dir eine Liste mit Einmal-Codes (HOTP) selber erstellen und ausgedruckt aufbewahren, z.B. mit OATHtool. Für den Fall, dass z.B. ein Yubikey nicht mehr funktioniert,


Schön wäre es, wenn Mailbox.org es implementieren könnte, genau so eine HOTP- oder andere Backup-Codeliste für jeden Nutzer einmalig in der OTP-Verwaltung anzuzeigen.


Gleichzeitig sollte es dann natürlich auch unmöglich gemacht werden, dass 2FA mittels PW-Reset wieder ausgeschaltet werden kann - deutliche Warnungen im Einrichtungsprozess an den Nutzer vorausgesetzt, dass er sich ab dann ohne Backup-Codes komplett aussperren könnte.


http://www.nongnu.org/oath-toolkit/oathtool.1.html

Foto
Foto
1

Also, damit ein Passwort-Reset funktioniert, müsste der Angreifer ja zunächst das Mailkonto übernommen haben. Einen Reset bräuchte er dann nicht mehr, da er ja das Passwort schon erbeutet hat. Sofern der Eigentümer des Kontos die 2FA oder einen Yubikey nur für den Webmailer nutzt und für alles andere (IMAP) das Passwort, würde der Angreifer somit natürlich über einen IMAP-angebundenen Client alles mitsniffen können oder er könnte das Konto sogar für seine Machenschaften (z.B. echt aussehende Mail an Kontaktadressen des Geschädigten mit Schadsoftware-Inhalt) missbrauchen.

Das sicherste wäre, die 2FA bzw. den Yubikey für den Webmailer zu verwenden und alles andere zu deaktivieren. Klaro bleibt dabei die Usability auf der Strecke, wer sich jedoch als potentielles Target erachtet (z.B. Politiker) sollte so agieren. Das ursprüngliche Kennwort könnte dabei vergessen werden. Verliert man den Schlüssel, müsste über eine Telefonnummer oder eine zweite Mailadresse der Reset initiiert werden. Diese Notfall-Konten müssen natürlich ebenfalls geschützt werden.

Für die allermeisten Nutzer reichen diese Instrumente vollkommen aus. Ich selbst nutze auf fremden Rechnern nur die 2FA (z.B. Hotelrechner, Internet-Cafe). Meine IMAP-Geräte haben Zugangssicherungscodes und sind im Falle des Verlustes hinreichend geschützt.

Die technischen Sicherungen von mailbox.org als potentielles Sicherheitsrisiko zu titulieren halte ich für sehr gewagt. Für den Normaluser sind diese Möglichkeiten mehr als ausreichend. Wer sich als Target fremder Geheimdienste sieht oder sich als Whistleblower betätigen möchte, muss sich sowieso ganz anders aufstellen...

Edit: mailbox.org ist der einzig mir bekannte Anbieter, welcher 2FA richtig macht. Er schützt das Passwort VOR dem Verlust. Alle anderen schützen nur den Login, nicht jedoch das Passwort.

Foto
1

> Also, damit ein Passwort-Reset funktioniert, müsste der Angreifer ja zunächst das Mailkonto übernommen haben. Einen Reset bräuchte er dann nicht mehr, da er ja das Passwort schon erbeutet hat.

Das ein Angreifer sich dadurch die Möglichkeit schafft, E-Mails von meinem Konto zu lesen/schrieben ist die eine Sache. Dass er sich aber, durch Zurücksetzung des Passworts und Deaktivierung von 2FA, zusätzliche Rechte verschaffen kann, die er allein mit dem Passwort nicht hätte, nämlich den eigentlich durch 2FA geschützen Zugriff auf den Webmailer mit allen Administrativen Möglichkeiten zu erhalten, ist mMn ein Sicherheitsproblem. Das Passwort erlaubt allein das Empfangen/Senden von E-Mails via IMAP/POP, 2FA wird benötigt um den Webmailer zu verwenden. Wenn das Wissen des einen aber zum erhalt der Rechte, für die das zweite benötigt wird, ausreicht, dann ist das zweite praktische ineffektiv und somit nutzlos.

Ich gehe gerne das Risiko ein, dass das Passwort mit viel Aufwand gebruteforced wird, aber dann schützt mich die 2FA vor weiterem Schaden und ich kann diesen durch Ändern des Passwortes begrenzen und weiteren Schaden verhindern. Hier würde das nicht funktionieren.


> mailbox.org ist der einzig mir bekannte Anbieter, welcher 2FA richtig macht. Er schützt das Passwort VOR dem Verlust. Alle anderen schützen nur den Login, nicht jedoch das Passwort.

Das ist wohl wahr und schätze ich sehr, da ich mir den 4-stelligen PIN einfacher merken kann, als langes/sicheres Passwort.

Foto
1

Hi 1188026, du schreibst


"Dass er sich aber, durch Zurücksetzung des Passworts und Deaktivierung von 2FA, zusätzliche Rechte verschaffen kann, die er allein mit dem Passwort nicht hätte, nämlich den eigentlich durch 2FA geschützen Zugriff auf den Webmailer mit allen Administrativen Möglichkeiten zu erhalten, ist mMn ein Sicherheitsproblem"


Bitte sage mir, wo du hier das "Sicherheitsproblem" siehst. Nochmal ... hat er dein Passwort und IMAP ist offen, kann er deine E-Mails lesen, speichern, ändern, neue E-Mails schreiben und verschicken, er kann deine Kalender lesen etc., Kontaktdaten lesen etc., Aufgaben und Notizen lesen etc. Welche administrativen Möglichkeiten sollte es hier zu verbieten geben? Das er die Farbe des Webmailers ändern kann? Die verdeckten Operationen sind für den Eindringling interessant. Er nutzt deinen Account, um sich in alle sonstigen Dienste zu schleichen, welche du mit deinem E-Mail-Account verheiratet hast (z.B. Online-Shops, Sozial-Media-Accounts, etc.). Das blanke aussperren würde nur dazu führen, dass du dich bei mailbox.org meldest und um Hilfe rufst und der Account innerhalb kürzester Zeit down wäre.


Ich denke, dass die Sicherheitsoptionen hier hinreichend durchdacht sind und Technik, Sicherheit, Nutzungsmöglichkeiten sowie Preis in einem gesunden und mehr als angemessenen Verhältnis stehen.


Nix für ungut, ich habe Verständnis für deine Bedenken, wir sollten jedoch bezüglich der Sicherheitsrisiken realistisch bleiben.

Foto
2

> Er nutzt deinen Account, um sich in alle sonstigen Dienste zu schleichen, welche du mit deinem E-Mail-Account verheiratet hast (z.B. Online-Shops, Sozial-Media-Accounts, etc.). Das blanke aussperren würde nur dazu führen, dass du dich bei mailbox.org meldest und um Hilfe rufst und der Account innerhalb kürzester Zeit down wäre.


Und damit liegst du falsch, denn wie beweise ich Mailbox.org, dass dies mein Account ist. Ich habe weder meinen Namen hinterlegt, noch lässt sich über die Zahlungswege zurückverfolgen, von wem das Guthaben einbezahlt wurde, denn ich habe Zwecks der Anonymität per Postweg oder Bitcoin eingezahlt. Sobald ich aus meinem Account ausgeschlossen wurde, gibt es für mich keine Möglichkeit diesen wieder zu erlangen. Würde ich mich "bei mailbox.org melden und um Hilfe rufen und der Account innerhalb kürzester Zeit down wäre" müsst ich mailbox.org zweifelsfrei beweisen, dass ich der tatsächliche Besitzer des Accounts bin und das dieser gekapert wurde, sonst könnte ja jeder dort einfach anrufen und Accounts abschalten lassen. Die Gegenseite behauptet natürlich ebenfalls, dass sie der eigentliche Besitzer ist und vermutlich würde nichts weiter passieren, weil mailbox.org nicht einfach den Account abschalten kann und ich nicht beweisen kann, dass man mich ausgesperrt hat.

Damit muss sich der Angreifer gar nicht erst die Mühe machen mich im Hintergrund auszuspähen, sondern kann diese Accounts, die mit meinem E-Mail-Account "verheiratet" sind, gleich ganz normal nutzen, als wäre er ich, denn er ist im Besitz der E-Mail-Adresse.

Ich habe weder meine Personalausweisnummer noch ein Bild von mir in jedem Online-Account hinterlegt, mit dem ich beweisen könnte, dass ich der eigentliche Inhaber bin.

Denn ich möchte mich ja Anonym in diesen Diensten bewegen und damit wirbt nunmal auch mailbox.org, aber ermöglich durch eine solche Schwachstelle, dass mein Account viel zu einfach übernommen werden kann.


Bei mailbox.org kann man Accounts zu 100% anonym betreiben. Das birgt das Risiko, dass man, sobald man keinen Zugriff mehr hat, auch nie wieder Zugriff darauf bekommt. Deshalb schütz man sich vor dieser Gefahr mit Passwort und 2FA. Wenn ich mein Password zusammen mit dem Yubikey natürlich irgendwo rumliegen lasse und der Account übernommen wird, dann hat der menschliche Faktor versagt, aber nicht die Technik. Mit der oben beschriebenen Verhalten versagt aber die Technik.

Bei 2FA sind immer zwei Geheimnisse (Wissen/Haben) nötig, um Schaden anzurichten. Mit dem oben beschriebenen Vorgang reicht aber einer (Wissen). Damit ist Haben hinfällig.


Vielleicht schickst du mir einfach mal dein Passwort von deiner mailbox.org-Adresse aus an eine Wegwerfadresse von mir (das machst du natürlich nicht!) und ich verspreche dir, dass ich dir trotz deiner 2FA deinen Account einfach wegnehme. Dein 2FA ist in diesem Fall nutzlos. Und selbst wenn du schnell bist und mailbox.org den Account sperrt, bis dahin ist der Schaden schon da. Und dein zweiter Faktor hat dich nicht davor geschützt.


Bei mailbox.org ist vieles sehr gut durchdacht, aber in diesen Punkt einfach nicht, weil 2FA hier für die Katz ist, wobei es so einfach zu lösen wäre: Der Reset-Code darf niemals an die dafür gedachte Adresse gesendet werden, sondern entweder an ein Telefon oder einen anderen Account. Damit braucht man dann nämlich wieder einen zweiten Faktor: Das Passwort des mailbox.org Accounts und das Telefon/Zugriff auf das zweite Postfach.


> Nix für ungut, ich habe Verständnis für deine Bedenken, wir sollten jedoch bezüglich der Sicherheitsrisiken realistisch bleiben.

So realistisch, dass für 5791834 und mich das der Showstopper ist. Meine Adresse ist übrigens mkss0lqlnne@temp.mailbox.org , falls du es dir nochmal überlegen magst ;) Probieren wir es aus. Vielleicht gibt es ja tatsächlich irgendeinen Sicherheitsmechanismus. Meinen Account hat es leider nicht geschützt, als ich mich durch misskonfiguriertes 2FA ausgesperrt habe und ich dennoch mit nur einem Faktor und ohne Probleme wieder an den Account kam.


Gruß

Foto
1

@1188026: Bei dem von dir beschriebenen Szenario ist nun die Frage - wie identifizierst du dich gegenüber mailbox.org, wenn du deren Postfach zuvor vollständig anonym genutzt hast? Hier gäbe es evtl. einen Lösungsansatz...

- Zunächst ist jedoch anzumerken, dass selbst bei anonymer Nutzung des Postfachs und ansonsten normalen Gebrauchs (Bestellung in Online-Shops, etc.), das Postfach letztlich nicht vollständig anonym ist, da du über die Bestellbestätigungen mit Rechnungen oder ähnlichen E-Mails identifizierbar bis. Ich vermute mal, dass du für diese Fälle die INBOX-Verschlüsselung mittels PGP aktiviert hast und auch den mailbox.org-Guard nutzt.

- Die mögliche Lösung zur Identifizierung liegt nun im PGP-Schlüssel selbst. Das Schlüssel-Mantra (Kennwort des private-keys) ist nirgends in deinem Postfach hinterlegt und auch nicht in deinen E-Mails zu finden. Der Angreifer kann dieses nicht erbeutet haben, da es lediglich lokal bei dir in deinen Endgeräten liegt oder sonstwo gespeichert ist.

- Erstelle eine PDF-Datei mit einer Kopie eines eindeutigen Identitätsnachweises (z.B. als Ausweiskopie). Lege diese Datei versteckt (mit vorgestelltem Punkt) in deinem Drive ab, nenne sie z.B. "Identitätsnachweis" und verschlüssle sie anschließend mit deinem PGP-key.

- Gehe auf die Webseite https://pgp.governikus.de/pgp/ und lasse deinen pgp-public-key dort beglaubigen. Dies funktioniert über die Online-Ausweisfunktion des nPAs. Den beglaubigten key behältst du lokal bei dir auf deinem Rechner oder sonstwo. Du musst ihn nicht zwangsweise auf mailbox.org kopieren. Governikus-PGP-Beglaubigung ist ein Dienst, welcher im Auftrag des BSI (BMI) betrieben wird. Du solltest dich auch über die Richtlinien informieren, es kann nämlich sein, dass der key automatisch auf Schlüsselserver veröffentlicht wird. Dies ist jedoch nicht weiter schlimm, da der public-key ja "öffentlich by design" ist.

- Wird dein Account nun übernommen, kannst du dich gegenüber mailbox.org eindeutig identifizieren. Du kannst nachweisen, dass alle E-Mails im Postein- und ausgang durch einen Schlüssel verschlüsselt wurden, welcher für dich von Governikus beglaubigt wurde. Du musst den beglaubigten public-key nur an mailbox.org schicken. Ferner kannst du mailbox.org auf die versteckte Datei hinweisen. Schlimmstenfalls könntest du denen sogar den private-key schicken, damit diese die Datei entschlüsseln und prüfen können. Ob du den private-key aus der Hand gibst, musst du in diesem Falle selbst beurteilen und für dich prüfen, ob der Verlust des Schlüssels im Vergleich zur Wiedererlangung des Postfachs nicht das geringere Übel ist.

Vielleicht helfen dir diese Gedanken...

Nochn kleines Edit:

Du könntest mailbox.org auch die zuletzt von dir empfangenen E-Mails mit Zeitstempeln und TO/FROM nennen. Die Mails sollten ja noch lokal bei dir auf dem Rechner bzw. Client liegen. Dies wäre ein zusätzliches Indiz, dass du der rechtmäßige Eigentümer des Postfachs bist.

Foto
1

Danke, super Beschreibung und Tipps!

Foto
Foto
2

Also "nur" weil jemand an meine Zugangsdaten zu meindem E-Mail Account gekommen ist, bedaeutet es ja noch lange nicht, dass dieser Jemand auch tatsächlich Zugriff hat, sofern Yubikey als 2FA aktiviert ist. Vorausgesetzt natürlich, alle anderen Dienste wurde deaktiviert (anders macht der Yubikey keinen Sinn).


Aber jetzt kommt der Knackpunkt.

Es darf nicht möglich sein, einfach mit einer PW vergessen Funktion die 2FA auszuhebeln, denn ab dann hat dieser Jemand Zugriff auf das Postfach. Wenn das nicht möglich ist, braucht dieser Jemand unbedingt eine Physische komponente (Yubikey). Und genau deshalb würde ich es gut finden, wenn es als Absicherung (z.B. bei Verlust) einen SEED zur Deaktivierung geben würde und die das Ausheblen mit PW vergessen deaktiviert werden würde.


GLG

Foto
1

Ok, nur zum Verständnis. Du gibst in deiner Accountverwaltung die "Kontaktdaten zum Passwortreset" an. Wenn dort keine alternative Mailadresse hinterlegt ist, geht die Reset-E-Mail an die Hauptadresse von mailbox.org, richtig? Wenn du dort jedoch eine alternative Adresse angegeben hast, z.B. eine von dem "schweizer Anbieter" oder von Tutanota, dann sollte die Reset-E-Mail doch dort hingehen, oder verstehe ich das falsch? Diese alternative Mailadresse könnte doch dann weggesperrt werden, oder?

Foto
1

Es gibt immer die Möglichkeit "If you still have access to your mailbox but cannot remember the password, we can send the password reset link to your mailbox.org mailbox." auszuwählen, egal ob eine alternative E-Mail-Adresse angegeben wurde oder nicht.


Wenn sie auf https://login.mailbox.org/en/passwordrecovery gehen und dort Ihre E-Mail-Adresse eingeben, sehen Sie, dass sie trotz 2FA und alternativer E-Mailadresse auch die Möglichkeit haben, den Reset-Code an ihre mailbox.org Adresse zu senden, für die sie den Code anfordern.

Foto
1

Wenn jemand anders mit der Passwort-Vergessen-Funktion an dein Konto kommen kann, hast du ein ganz anderes Problem, denn dann hat automatisch jemand Fremdes totalen Zugriff auf dein Gerät. Sonst geht es nicht. Also musst du deine Geräte absichern. Win 10 kann ab Version 1509 die Anmeldung mit 2FA absichern. Dein Notebook und Smartphone musst du verschlüsseln. Der LogIn in das Smartphone sollte auch per 2FA erfolgen.


Es ist kein Problem der 2FA oder der Funktionen von mailbox.org, es ist ein Problem der eigenen Bequemlichkeit. Leider.

Foto
1

@7586310

> Wenn jemand anders mit der Passwort-Vergessen-Funktion an dein Konto kommen kann, hast du ein ganz anderes Problem, denn dann hat automatisch jemand Fremdes totalen Zugriff auf dein Gerät.

Ich kann wirklich alles so gut wie ich mag verschlüsseln, sobald jemand ein mein mailbox.org-Passwort kommt, helfen auch meine ganzen verschlüsselten Geräte nichts. Er kann dennoch mein mailbox-org-Account übernehmen. Der "Angreifer" braucht nichts weiter, als mein Passwort.

Foto
Foto
2

Im Grunde ist es ja nicht mal nötig an das normale Passwort zu gelangen. Ein Zugang zu einem Endgerät, welches E-Mails vom entsprechenden Account empfängt genügt.

Natürlich sollte ein solches Gerät jederzeit gut vor unbefugtem Zugriff geschützt sein, wenn man schon sein Passwort speichert oder auch nur gerade die Mailapplikation offen hat (genügt ja sich schnell den Rücksetzcode abzufotografieren). Aber in der Realität sieht das leider oft anders aus...


Ich fände es auch gut, wenn diese Möglichkeit das Passwort zurückzusetzen deaktiviert wird (zumindest optional). Und die Möglichkeit eines Onlinerücksetzcodes analog zum Telefonpasswort, wie oben vorgeschlagen, wäre auch ein guter Weg die Zahl der Hotlineanrufe niedrig zu halten, wenn o. g. Rücksetzfunktion mit E-Mail an das Postfach selbst deaktiviert würde.

Foto
1

Wenn jemand das Passwort hat, ist eh alles gelaufen. Es kann nur jemand die 2FA aushebeln, wenn er die Kontrolle über eines deiner Geräte hat, denn die Passwort erinnern-Funktion schickt das PW immer nur an die Hauptadresse. Das in diesem Thread diskutierte Problem ist daher eher ein Problem der Gerätesicherheit, als der Sicherheit der Implementierung der 2FA. Trotzdem wurden hier tolle Tipps gegeben, um das ganze besser zu härten.

Foto
2

Hi, ich habe hier viel mitdiskutiert und muss abschließend dem Tread-Ersteller in diesem Punkt Recht geben. Gerätesicherheit löst nicht das Problem alleine, denn


sehr sehr viele „Internetuser“ nutzen ihr Passwort für verschiedenste Dienste. Hier schlägt der Faktor Mensch zu. Wir können uns ohne Inselbegabung wirklich gute Passwörter sehr schlecht merken und wenn wir alles richtig machen, nutzen wir für jeden Dienst (Onlineshop, Mail, Banking, etc.) ein eigenständiges, gutes Passwort, was die Merkfähigkeit fast unmöglich macht.


Verliert ein Onlineshop seine Kundendaten und der Angreifer hat die üblicherweise verwendete E-Mailadresse erbeutet und das zugehörige Passwort passt zufällig auch zum Mailkonto, dann wird es sehr schnell dunkel.


Nutzt der Geschädigte die 2FA, hat jedoch IMAP mit Cal-/CardDAV offen, könnte der Angreifer das Mailkonto komplett übernehmen,


wenn das Passwort zum Rücksetzen der 2FA an die Haupt-Mailadresse versandt wird.


Selbst wenn ich in den Einstellungen eine alternative Mailadresse hinterlegt habe, könnte der Passwortreset an die eigentliche (gekaperte) Hauptadresse versandt werden ... und genau hier liegt das Problem.


Die Lösung wäre, entweder


- den Passwortreset wirklich nur an die alternative Mailadresse zu versenden oder

- alternativ zum Passwortreset mit Backupcodes oder dergleichen zu arbeiten.


Also von mir ein +1 für die Stärkung der Sicherheit der 2FA!

Foto
1

Das hat aber primär nichts mit 2FA oder Mailbox.org zu tun, sondern mit der Gerätsicherheit! Und wenn man einen Passwort-Manager benutzt, sind dezidierte und sehr sichere Passwörter überhaupt kein Problem. Die eigene Bequemlichkeit aber schon...

Foto
1

@7586310

> Wenn jemand das Passwort hat, ist eh alles gelaufen. Es kann nur jemand die 2FA aushebeln, wenn er die Kontrolle über eines deiner Geräte hat, denn die Passwort erinnern-Funktion schickt das PW immer nur an die Hauptadresse. Das in diesem Thread diskutierte Problem ist daher eher ein Problem der Gerätesicherheit, als der Sicherheit der Implementierung der 2FA. Trotzdem wurden hier tolle Tipps gegeben, um das ganze besser zu härten.

Dem muss ich widersprechen. Für das oben beschrieben Szenario ist nicht die Kontrolle über eines deiner Geräte notwendig. Das Passwort reicht, denn damit kann ich das Konto in meinem eigenen Client einrichten und dann an den Reset-Code an die selbst eingebundene Hauptadresse schicken.


Das kann jeder für sich selbst testen. Richtet euer Konto einfach mal per IMAP auf einem anderen Rechner/Smartphone ein und schickt euch selbst den Reset-Code. Ihr könnt das Passwort problemlos resetten und euer 2FA wird dadurch deaktiviert. Ihr könnt euch dann von dem neuen Gerät aus gleich mit dem neuen Passwort an der Web-Oberfläche des Accounts einloggen. Ohne 2FA natürlich.


@7586310 mir reicht es, wenn ich Ihr Passwort habe. Dann gehört Ihr Account mir, bis Sie sich mit mailbox.org geeinigt haben. In Anbetracht der oben gegeben Tipps lösche ich natürlich alle Dateien im Drive auch die "versteckten" mit führendem Punkt. Darauf fällt vielleicht ein Windows-Nutzer rein. Ich verspreche Ihnen, dass Sie wirklich Mühe haben werden, Ihren Account wiederzuerlangen und bis dahin habe ich von sämtlichen anderen Accounts, für die Sie Ihren mailbox.org-Account als Kontaktadresse verwenden, die Kontrolle übernommen. Es wird wirklich viel Arbeit für Sie, das ganze wieder zu richten.


Probieren Sie es einfach selbst aus. Nehmen Sie das Gerät eines Freundes/Partners, einen alten Laptop oder so. Egal was.

Foto
1

Entschuldigung, das schrieb ich ja - wenn jemand das Passwort hat, hat er den Account, was denn auch sonst. Genau das hat aber nichts mit 2FA zu tun, ganz im Gegenteil. Wie ich schrieb, ist es primär (!) eine Frage der Gerätesicherheit, nicht der von 2FA.

Foto
Foto
3

Es gibt hier viele unterschiedliche Ansichten darüber, was 2FA nun eigentlich bedeutet und welche Sicherheitsversprechen dahinter stecken – keine davon ist "richtig" oder "falsch", jeder User hat unterschiedliche Vorstellungen und Herangehensweisen.


Das oft zitierte Prinzip von Haben/Wissen wird meiner persönlichen Meinung in der derzeitigen Implementierung auf mailbox.org ad absurdum geführt, weil ich 2FA dadurch aushebeln kann, dass ich ausschliesslich über den einen Faktor "Wissen" (nämlich das Passwort) verfüge. Mein Verständnis von sinnvollem 2FA ist, dass ich zur Deaktivierung auch über einen Faktor "Haben" verfügen muss (z.B. ein bei der Einrichtung erstellter Seed oder Ähnliches).


Aber wie gesagt, es gibt unterschiedliche Vorstellungen davon, was ein sinnvolles 2FA ausmacht.

Foto
1

Das geht alles erst, wenn du die Kontrolle über das Gerät hast! Die 2FA kann erst resettet werden, wenn du das betreffende Gerät hast, um ein neues Passwort generieren zu können. Somit liegt das Problem im Schritt davor!

Foto
2

@7586310

Und auch hier nein. Schicken Sie mir Ihr Passwort an mkss0lqlnne@temp.mailbox.org, wenn Sie sich so sicher fühlen. Ihr Account ist danach weg, ich verspreche es Ihnen.

(Natürlich mache ich das nicht, aber es wäre möglich ohne Probleme möglich)

Foto
2

Das Gerät ist meines Wissens nach nicht notwendig, das Passwort alleine reicht aus. Siehe dazu auch https://userforum.mailbox.org/topic/2fa-durch-passwort-reset-deaktivieren-2fa-sinnlos#comment-17171

Foto
1

Wo hier gerade lebhaft diskutiert wird, eine kurze Zwischenfrage. Gibt es noch jemanden, bei dem das "Deaktivieren aller anderen Dienste außer Webmail mit OTP" AUCH NICHT funktioniert? Das ist ein anderes Thema im Forum. Bei mir geht es partout nicht. IMAP bleibt immer an. Also insofern habe ich gerade keine Chance, die "Hintertür" über IMAP abzustellen.

Foto
1

@7167736 Wird ja immer besser. Ich werde es bei Gelegenheit einmal ausprobieren.

Foto
Foto
2

> Mich hat dies leider dazu bewegt, mich nach einer alternative umzusehen: Diese bietet Passwort

> Reset, welches 2FA nicht deaktiviert, aber beim Einrichten von 2FA einmal gültige Backup-Codes

> anzeigt, die Möglichkeit des Passwort-Reset komplett deaktivieren lässt


Danke @1188026 für den Hinweis! Für "kritischere" Anwendungen, also typischerweise zum Empfangen von "Passwort-Zurücksetzen-Mails", nutze ich nun einen der beiden genannten alternativen Anbieter. Für den normalen, täglichen Gebrauch reicht mir die 2FA-Lösung von Mb.org aus, auch wenn sie für wirklichen Schutz vor Übernahme des Mailkontos in der Tat nicht gut zu Ende gedacht ist. Aber vielleicht ändert sich das auch irgendwann einmal.

Foto
1

@1188026


Sorry, das wird hier zu schräg. Das jemand, wenn er das Passwort hat, und die Mailadresse kennt, sich einloggen kann, sollte irgendwie klar sein.


Hier geht es um andere Fragen.


Die Passwort-Vergessen Funktion kann ein "Angreifer" nur dann aktiv ausnutzen, wenn er Zugriff auf das Gerät hat. Nur dann kann er die entsprechende Mail mit dem Rücksetzlink sehen.


Somit kann man diese Problem nur mit Gerätesicherheit lösen.


Zugriffssicherheit erreicht man mit 2FA. Dann muss jemand die PIN und den zweiten Faktor haben.


Auch hier gilt: wenn man trotz 2FA Zugriff auf das Gerät hat, kann man das Passwort zurücksetzen.


Das ist aber AUCH wieder eine Frage der Gerätesicherheit.


Ach ja, mein Passwort ist übrigens Osterhase. Oder auch nicht. Oder eben anders. Und der Yubikey.

Foto
1

>"Sorry, das wird hier zu schräg. Das jemand, wenn er das Passwort hat, und die Mailadresse kennt, sich einloggen kann, sollte irgendwie klar sein"<


Offensichtlich ist es dir nicht klar, in diesen Fällen sollte im Webinterface normalerweise die 2FA schützen!


>"Die Passwort-Vergessen Funktion kann ein "Angreifer" nur dann aktiv ausnutzen, wenn er Zugriff auf das Gerät hat. Nur dann kann er die entsprechende Mail mit dem Rücksetzlink sehen."<


Das ist mitnichten so. Ich brauche keinen Zugriff auf das Gerät. Die Passwort-Rücksetzen-Funktion geht browserbasiert von jedem Rechner und von Überall.


>"Somit kann man diese Problem nur mit Gerätesicherheit lösen.<


Falsch, du hast das Problem noch nicht verstanden und dein Yubikey wird nutzlos, sobald du IMAP offen hast und jemand deine Hauptadresse samt Passwort kennt, dann kommt er jederzeit in den Webmailer, wo eigentlich 2FA schützen sollt ... ganz einfach, weil er via IMAP die Rücksetz-E-Mail bekommt!

Foto
1

Sorry, nur für dein Verständnis: Wenn du meine Mail-Adresse kennst, und diese in deinem Rechner in den Webbrowser eintippst und auf Passwort vergessen gehst,

kannst du GAR NICHTS machen. Die Mail mit dem Rücksetzcode kommt nämlich bei DIR NIE AN.

Dein Szenario kann erst funktionieren, wenn du MEIN Gerät hast. Hast du aber nicht.

Es ist also zuallererst eine Frage der GERÄTEsicherheit.

Wenn jemand das Passwort hat, ist alles anders, aber das hat NICHTS mit 2FA zu tun!

Troll bitte woanders rum.


EDIT: Wenn du - was empfohlen wird - überall 2FA einstellst, geht IMAP nicht mehr. Aber auch dann brauchst du das Gerät. Wer dein Passwort kennt, kann damit immer agieren, aber das ist hoffentlich klar.

Foto
2

Sorry, nochmal im Guten. Ich möchte nicht trollen und nehme deine Gedanken und Hinweise sehr ernst. Es ging in der primären Diskussion zunächst um die Annahme, dass jemand Mailadresse und Passwort hat, sich mittels IMAP von irgendwo mit dem Account connectiert und im Browser (von irgendwo) auf "Passwort rücksetzen" klickt und via IMAP die Rücksetz-Email bekommt.

Jetzt kann der zweite Fakter ja auchmal verloren gehen und für diese Fälle sieht mailbox.org vor, dass bei Durchführung der Rücksetzfunktion die 2FA außer Kraft gesetzt wird und die Rücksetz-E-Mail an die Mailadresse versandt wird. Das grundsätzlich zuvor gesetzte und durch den Angreifer erbeutete Passwort (wie von mir oben angeführt, z.B. über einen gehackten Onlineshop, wenn Nutzer Passwörter recyclen und öfter verwenden) wird dadurch wieder wirksam. Laut der Aussage eines der Mitredner kann die Rücksetz-E-Mail dabei an die Hauptadresse versandt werden, welche jeder via IMAP-connectierte Client lesen kann. Die in den Einstellungen eingetragene alternative Mailadresse scheint dabei nicht zwingend verwendet zu werden.

Wie ich oben schon geschrieben habe, scheint Gerätesicherheit nicht alleinig des Rätsels Lösung zu sein...

Foto
1

Ja. Wobei festzustellen bleibt, dass es immer schlecht ist, wenn jemand unbefugtes die gesamten Anmeldedaten hat. Er kann sich dann nämlich direkt in den Account einloggen, ganz ohne IMAP. Davor schützt 2FA. Und für das Passwort-rücksetz-Ding bleibt, dass das jemand nur mißbrauchen kann, wenn er ein Gerät von dir hat, denn da geht die E-Mail hin.


Also sollte man Mailbox.org mit 2FA nur im Browser verwenden, und sein Gerät auch mit 2FA-Anmeldung absichern. Auf keinem Gerät sollte ein lokaler Mailclient installiert sein.


Das ist dann sicher & "digital Detox".

Foto
1

Der Beitrag von 7842928 hierüber fasst die bisherigen Erkenntnisse gut zusammen, finde ich.

Foto
1

Nein, das finde ich nicht, weil es eine nicht zutreffende Betrachtung ist. Der Ausgangspost vermischt Dinge, und dadurch wird es falsch. Also nochmal:

Zitat: "Es ging in der primären Diskussion zunächst um die Annahme, dass jemand Mailadresse und Passwort hat, sich mittels IMAP von irgendwo mit dem Account connectiert und im Browser (von irgendwo) auf "Passwort rücksetzen" klickt und via IMAP die Rücksetz-Email bekommt."

Antwort: Wer die Mailadresse und das Passwort kennt, hat den LogIn. Das ist ja genau das Gegenteil von 2FA-Anmeldung. Da braucht es gar kein IMAP, derjenige HAT den LogIn. Das ist der GAU, den man mit 2FA VERHINDERT.

Zitat: "Jetzt kann der zweite Fakter ja auchmal verloren gehen und für diese Fälle sieht mailbox.org vor, dass bei Durchführung der Rücksetzfunktion die 2FA außer Kraft gesetzt wird und die Rücksetz-E-Mail an die Mailadresse versandt wird."

Antwort: Das ist die SICHERE Variante, außer, jemand hat den LogIn, Das nützt hier aber nichts, weil: Anmeldung per 2FA. Die Rücksetzmail kann der Angrifer nur sehen, WENN ER DAS GERÄT HAT. Nochmal: Die Behauptung aus dem Zitat greift nur dann, wenn der Angreifer Zugriff auf das GERÄT hat, an das die Rücksetzmail gesandt wird.

Zitat: "Das grundsätzlich zuvor gesetzte und durch den Angreifer erbeutete Passwort (wie von mir oben angeführt, z.B. über einen gehackten Onlineshop, wenn Nutzer Passwörter recyclen und öfter verwenden) wird dadurch wieder wirksam."

Antwort: Wenn der Angreifer das Passwort hat, hat er den LogIn, er muss dann gar nichts resetten. Mit 2FA hat ds nichts zu tun. Siehe dazu auch die Erläuterung ganz am Ende.

Zitat: "Laut der Aussage eines der Mitredner kann die Rücksetz-E-Mail dabei an die Hauptadresse versandt werden, welche jeder via IMAP-connectierte Client lesen kann. Die in den Einstellungen eingetragene alternative Mailadresse scheint dabei nicht zwingend verwendet zu werden."

Antwort: Nein, das ist Unsinn. Wer das Passwort hat, muss gar nicht rumfummeln, er HAT den LogIn direkt ins Konto. Das hat NICHTS mit IMAP und 2FA zu tun. Wer das Passwort hat, kann sich einloggen, aber er bekommt das Passwort NICHT einfach über den Rücksetzlink.

Zitat: "Wie ich oben schon geschrieben habe, scheint Gerätesicherheit nicht alleinig des Rätsels Lösung zu sein..."

Antwort: Falsch. Neben rigidem 2FA IST die Gerätesicherheit genau die kritische Komponente.

Zusammenfassung:

Wer eine Mailadresse nebst dem zugehörigen Passwort hat, hat das Mailkonto. Punkt. Übrigens bei JEDEM Mailprovider, außer z.B. bei Mailbox.org in der sichersten 2FA-Stufe..

Die Passwort-Rücksetzfunktion kann nur dann ausgenutzt werden, wenn man DAS GERÄT hat, an das die Rücksetzmail gesendet wird. Es ist so, denkt mal nach.

Deswegen ist 2FA hier auch nicht angreifbar, wie in dem falschen Beispiel konstruiert. Solange jemand bei mit 2FA aktiviertem Konto das Gerät NICHT hat, kann er sich das Passwort NICHT zuschicken lassen. Punkt. 2FA ist also eben gerade so NICHT angreifbar.

Und dann schaut euch bitte mal die Optionen an, wenn man hier 2FA aktiviert. Wenn man die sichere Variante wählt, kann man sich NUR NOCH über 2FA anmelden, IMAP geht dann NICHT mehr, POP auch nicht. Wenn das so ist, kann man sich das Passwort über Passwort zurücksetzen NUR AN DIE hinterlegte Adresse schicken lassen, und eben NUR an das Gerät, auf dem die Adresse eingerichtet ist zum Empfang. EDIT: Der markierte Satz kann so ja nicht funktionieren, denn: IMAP und POP gehen dann nicht mehr. Das muss ich doch glatt mal den Support fragen, wie es dann ist.

Also ist festzustellen: Wenn jemand deinen kompletten LogIn hat, hat er dein Konto. 2FA schützt davor, weil ein Angreifer den Rücksetzlink empfangen können müsste, was er nur mit deinem Gerät kann, NIE ohne dein Gerät.

2FA ist sicher, wesentlich sicherer als Name / Passwort bei der Anmeldung.

Die Passwort-Rücksetzen-Funktion kann nur dann ausgenutzt werden, wenn man im Besitz der Geräte ist, auf die der Rücksetzlink geschickt wird. 2FA macht das nicht unsicherer, trotz Rücksetzfunktion, denn: du brauchst das Gerät, auf dem Rücksetzmails empfangen werden können.

2FA in der sichersten Stufe erhöht die Sicherheit massiv, denn: man kann sich nur noch mit den Geräten einloggen, die über 2FA reingehen. IMAP und POP gehen nicht mehr. In der Regel gibt es also kein Mailprogramm mehr auf dem Smartphone, auf das man sich die Rücksetzmail schicken lassen könnte. Also wird ausgerehnet durch sichere 2FA die Sicherheit, weil ein Handydieb dein Rücksetzmail einfach gar nicht empfangen KANN.

Der größte Teil der Diskussion hier im Thread war sinnlos, weil Dinge vermischt wurden. 2FA hat NICHTS mit einem erbeuteten Passwort zu tun, im Gegenteil, 2FA schützt davor.

Die Behauptung, dass die Rücksetzfunktion so angreifbar ist, wurde falsch thematisiert, weil davon ausgegangen wird, dass man das Pssswort kennt - dann brauche ich es nicht zurückzusetzen, ich habe es ja bereits. Und ich kann das Passwort nur erfolgreich rücksetzen, wenn ich die Rücksetzmail empfangen kann, Dazu brauche ich aber das Gerät.

Im Ergebnis wurde dann noch falsch behauptet, dass es auf die Gerätesicherheit nicht ankomme.

Das einzige Angriffsszenario, dass es wirklich gibt, ist aber AUSGERECHNET das Szenario, in dem jemand DAS GERÄT erbeutet, und sich über Passwort zurücksetzen ein neues Passwort zuschicken lässt.

Also stellen wir fest: NUR 2FA ist sicher, und es hängt ALLES von der Gerätesicherheit ab. Wenn man Angst hat, dass einem jemand das Passwort klaut, sollte man 2FA aktivieren, und zwar in der Variante, dass man nur noch via Webinterface ins Konto kommt.

Dann ist es aber vorbei mit immer und überall mailen können. Aber das heißt ja jetzt "Digital Detox"

Thank you for using 2FA. Peace.

Foto
1

Ich gebs auf...probieren Sie es doch bitte einfach wie beschrieben aus. Danke!

Oder senden Sie mir Ihre Zugangsdaten am die zuvor genannte Adresse. Ich brauch in diesem Fall Ihr Gerät nicht, um Ihren Account zu übernehmen.

Foto
2

Entschuldigung, Sie verstehen nicht, was ich hier schreibe.

Das jemand, der die Benutzerkennung und das Passwort hat, sich in einen Account einloggen kann, oder sich den Account einrichten kann, ist auf gar keinen Fall eine Nobelpreisverdächtige Entdeckung. Es ist das Wesen der E-Mail-Technologie. Seit rund 30 Jahren.

Sie trollen hier wirklich nur dumm rum.

"Senden Sie mir Ihre Zugangsdaten, und ich übernehme ihren Account."

Aber warten Sie, ich habe eine Idee !!!

Senden Sie mir IHRE Zugangsdaten, und ich beweise Ihnen, dass es NICHT klappt. Also los. Falls ich mich irre, habe Sie auch fast kein Problem. Zumindest ihre Trollerei hört hier dann aber auf, da ich dann ihren Account auf "No Troll" stelle. Ist nur ein Klick, heißt "Account löschen".

Also los. Mit gutem Beispiel voran.

Noch besser:


VERÖFFENTLICHEN Sie hier ihre Zugangsdateh. Dann können es ganz viele Leute nacheinander probieren.

Foto
Foto
2

Ich denke in dem Ausgangspost ging es um das Szenario in dem man die 2FA nicht auf der sichersten Stufe stehen hat, sondern noch IMAP/POP3/... per normalem Passwort erlaubt. Das dürfte für nicht wenige Leute eine gängige Variante sein.


Was hier nun thematisiert wurde ist, dass es für einen Angreifer genügt (auf welchem Wege auch immer) das Passwort ODER das Gerät zu erbeuten. Dass in einem solchen Fall der Schaden bereits immens ist, weil der Täter nun Zugriff auf alle E-Mails hat, sowie welche unter fremdem Namen (vom echten Account) versenden kann, ist denke ich auch allen klar. Was aber hierbei das Problem ist, ist dass der Angreifer nun sich auch Zugang zum (eigentlich per 2FA geschützten) Webinterface verschaffen und durch Passwortänderung (und Deaktivierung der 2FA) den legitimen Accountinhaber nachhaltig aussperren kann. Denn aufgrund der potentiellen Anonymität der Accounts dürfte es dem eigentlichen Besitzer schwer fallen die Kontrolle zurückzuerlangen (oder dies wäre zumindest zeitraubend, während der Angreifer weiter Kontrolle über den Account hat).


Das Risiko aus dem bereits vom Themenersteller geschilderten Szenario ließe sich ja durchaus durch eine Änderung des Verfahrens das Passwort zurückzusetzen eliminieren. Daher verstehe ich nicht wirklich, warum sich hier Leute dagegen sperren, diesen Angriffspunkt zu beseitigen, zumal das ja keinerlei (negative) Auswirkungen auf die Nutzer der puren 2FA-Option hat.

Foto
1

Auch dein Post geht von einer falschen Annahme aus. Um den Account bei aktivierter 2FA kapern zu können, kann ein Angreifer sich eben NICHT das Passwort selber zusenden lassen. Dazu brauchtber das Gerät, das die Mail empfangen kann, die Eingabe einer Mailadresse in das Webinterface und der Klick auf Passwort vergessen reicht eben NICHT.


Das Szenario Passwort wurde gesnifft wird NUR durch 2FA verhindert.


Die sicherste 2FA-Variante ist "Webinterface only".


Bei KEINEM Szenario kann sich ein Angreifer das Passwort durch zurücksetzen selber zuschicken lassen.


Alle Funktionen bei Mailbox.org in Bezug auf 2FA und Passwort zurücksetzen sind sicher. Der Angriffsvektor sind die Geräte, auf die das Passwort gesendet wird, wenn man es zurücksetzt. Wer das Gerät hat, kann das Konto kapern. Und hierzu würde es reichen, wenn man im Backend einstellen kann, dass beim zurücksetzen NIE eine Mail geschickt wird, sondern man beim Support anruft und sein Telefonpasswort nennen muss.

Foto
1

Dem muss ich leider ein wenig widersprechen. Es gibt bei der 2FA zwei Optionen:

Option 1: Zugriff auf den Account nur noch per Webinterface und auch nur per 2FA.

Option 2: Zugriff auf das Webinterface per 2FA und zusätzlich Zugriff per IMAP mit normalem Passwort.

Option 1 ist sicher.

Bei Option 2 ist es möglich für den Angreifer an das normale Passwort zu gelangen. Damit kann er von jedem beliebigen Gerät dann per IMAP Mails empfangen und senden. Das alleine ist schon eine Katastrophe, was noch ein wenig verschlimmert wird, dass man bei mailbox.org (wie bei etlichen anderen Anbietern) so einen Fremdzugriff nicht so einfach entdecken kann.

Was der Angreifer nun jedoch zunächst nicht tun kann, ist sich im Webinterface einzuloggen, denn das ist ja per 2FA geschützt. Er kann also zunächst nicht Einstellungen ändern, insbesondere solche zum Login, womit er den legitimen Accountinhaber aussperren könnte.

Jedoch kann der Angreifer (und darum geht es in dieser gesamten Diskussion) nun mit Kenntnis des normalen Passworts sich einen Rücksetzcode zusenden lassen und sich in der Folge Zugriff zum Webinterface verschaffen, mit der Möglichkeit den Accountbesitzer auszusperren. Denn offenbar wird beim Zurücksetzen des Passworts die 2FA deaktiviert.

Um das Ganze nochmal kurz zusammenzufassen:

Option 1 ist sicher.

Option 2 ist unsicher in Bezug auf das normale Passwort (das ist hier so gewollt und geht kaum anders, wenn man Zugriff per IMAP möchte). Aber bei Option 2 ließe sich wenigstens verhindern, dass ein Angreifer einen Zugriff auf das Webinterface erhält und somit den Account komplett übernehmen kann. Dazu müsste das Rücksetzverfahren für das Passwort geändert werden.

Foto
1

Nein.


Auch Option 2 ist so nicht möglich. Es hat nichts mit IMAP zu tun. Option 2 setzt voraus, dass der Angreifer DAS GERÄT HAT, auf das die Rücksetzmail geschickt wird.


Bitte einen guten Freund von dir, bei Mailbox.org deine Mail-Adresse einzugeben, und auf "Ich habe mein Passwort vergessen" zu klicken. NUR DU wirst die Rücksetzmail bekommen, NICHT ER.


Also ist es nicht so, dass Option 2 unsicher ist, in keiner Konstellation. Das Rücksetzen des Passwortes ist nicht unsicher. Außer, jemand hat dein Gerät. Aber das hat nichts mit der angeblichen Unsicherheit des Passwort-Rücksetzens zu tun.

Foto
1

Hallo 7586310, dazu hätte ich nochmal eine Verständnisfrage und ich würde mich freuen, wenn du mir diese beantworten könntest. Du brauchst auch nicht in BRÜLLschrift zu schreiben und kannst auch auf Fettschrift verzichten und ich wäre dir ferner dankbar, wenn du den Treadersteller, mich oder einen sonstigen Kommentierer nicht als Troll bezeichnen würdest.

Mal angenommen, du nutzt für den Webmailer den Yubikey und bist mit deinem Mailaccount auch via IMAP auf deinem PC verbunden (im obigen Beispiel die Option 2). Da du auch gerne mal in deiner Arbeitsstelle deine Mails abrufst, hast du dein Arbeitsplatz-Notebook auch via IMAP mit deinem Mailaccount verbunden - soweit ist alles gut. Nun verlierst du deinen Yubikey und du möchtest dich wieder in deinen Webmailer einloggen, wie gehtst du nun vor? Und wenn du eine Rücksetz-Mail bekommst, auf welchem Rechner würde diese eingehen, Zuhause-PC und/oder Arbeitsplatz-Notebook?

Vielen Dank noch für deine bisherigen Erläuterungen!

Foto
1

Auch das ist eine Frage, die auf die Gerätesicherheit abstellt. Du alleine entscheidest, auf welchen und auf wie vielen Geräten du deine Mail-Konten anrufst.


Es ist klar, dass alle Geräte die Rücksetzmail abrufen können, die du dafür eingerichtet hast.


Das ist aber kein Mangel der Rücksetzfunktion, sondern eine Frage, wie du das mit der Gerätesicherheit handhabst.


Ich finde es befremdlich, mit was für Argumenten hier ein Sicherheitsleck herbeidiskutiert wird. Und ich Stelle fest: es ist eine Frage der Gerätesicherheit. Wenn überhaupt, würde ich die Mails von dienstlichen Rechnern nur in einer Privaten Browsersession mittels 2FA-Login abrufen. Und eben nicht etwas installieren, was ich nicht unter Kontrolle habe.


Wer jetzt sagt "Siehste, die Rücksetzmail geht ja an ganz verschiedene Rechner" sollte mal einen Kurs mitmachen, wo was zu Sicherheit im Umgang mit Login-Daten vermittelt wird.

Foto
2

Ok, vielen Dank für deine Einschätzung, wir nähern uns gerade an. Stell dir nun vor, das Arbeitsplatz-Notebook würde nicht dir gehören sondern das Notebook würde bei einem Hacker Zuhause stehen, mit deinen Mail-Zugangsdaten, welche er zuvor von einem Online-Shop gehackt hat (wir sprechen hier von einer durchaus möglichen Variante, weil viele Leute halt mal ihr Passwort recyclen).

Würde dieser auch eine Rücksetzmail bekommen, wenn er via IMAP connectiert wäre? Und wenn ja, erkläre mir bitte nochmal deine Aussage bezüglich der Gerätesicherheit.

Und wenn du nun feststellen würdest, dass der Hacker auf seinem Notebook auch die Rücksetz-Email bekommen würde, was müsste an dem Verfahen von mailbox.org geändert werden, um dies etwas besser in der "Anwendbarkeit" zu machen? Wäre es evtl. besser, die Rücksetz-E-Mail nur an die angegebene alternative Mailadresse zu senden?

Nochmals vielen Dank!

Foto
1

Warum sollte ein Hacker, der deine Zugangsdaten erbeutet hat, oder ein Gerät von dir hat, auf dem er per IMAP agieren kann, auf irgendetwas warten?


Erklär mir das mal.


Lies sich bitte mal in das Konzept von POP, IMAP und Mailclient ein. Überlege mal, wo man Mailclients installiert, und was das mit Sicherheitsfragen die Geräte betreffend zu tun hat, auf die man da installiert hat. Ohne Gerätezugriff kann hier nichts schiefgehen. Wer Angst hat, dass Hacker sein Passwort erbeuten, sollte 2FA nutzen.


Ich werde hier jetzt nicht mehr antworten, denn hier ist nichts weiter zu klären.

Foto
3

Ok, ich denke, du hast nun mich und alle anderen hier in diesem Thread verstanden. Ich denke du weißt nun ganz genau, auf was wir abzielten, bist jedoch nicht in der Lage dies zu akzeptieren. Scroll nochmal etwas zurück und lies dir deine Kommentare nochmal durch, in welch übergriffiger Art und Weise zu versucht hast dich hier durchzusetzen und wie du Leute hier als Trolle bezeichnet hast, die ganz normal argumentiert haben. Wie fühlt sich das für dich an?

Ich bin ein Fan von mailbox.org!

Sofern mailbox.org das beschriebene und durchaus denkbare Szenario des Threaderstellers bestätigen kann, wäre es denn möglich, die Rücksetz-E-Mail bei vorhandener "alternativer Mailadresse" ausschließlich an diese zu versenden oder mit Backup-Codes zu arbeiten aka Nextcloud?

+1 für die Stärkung der ohnehin tollen und gut durchdachten Lösungen der 2FA!

Foto
1

@ 7586310 bitte schicken Sie mir von Ihrer mailbox.org-Adresse aus das dazugehörigt Passwort an mkss0lqlnne@temp.mailbox.org. Ich verspreche, dass ich keines Ihrer Geräte im Besitz habe und es dennoch Ihren Account mit der beschriebenen Methode kapern kann. Einzige Voraussetzung: Account ist mittels 2FA mit "OTP für Web-Interface, alles andere Passwort" geschützt. Also gar nicht in dem Fall ;)


@ 7842928 Hut ab für Ihre Geduld.

Foto
1

@7842928


Worauf sie "abzielen", ist die ganze Zeit klar. Und gerade das macht es nicht besser, weil sie Dinge vermischen und falsch darstellen.


Stellen Sie ihr Konstrukt ordentlich dar, und reduzieren sie sich auf das, was sie fragen wollen. Die Annahme, dass jemand bereits im Besitz des Passwortes sei, macht den größten Teil ihrer Ausführungen nämlich schlicht absurd.


Und für die Lösung, die sie hören wollen, besteht im übrigen das gleiche Sicherheitsproblem, dass sie ausgangs kritisieren.

Foto
1

Vielleicht noch ganz passend zu diesem Thema ein aktueller Artikel auf heise.de:

https://www.heise.de/security/meldung/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht-4279375.html

auch nachzulesen in diesem Blog:

https://stadt-bremerhaven.de/have-i-been-pwned-27-milliarden-datensaetze-mit-e-mail-adressen-und-passwoertern-im-netz/

Sicherheit fängt immer bei einem selbst an, ich muss mich da auch immer an der eigenen Nase fassen! Rund 2,7 Milliarden Datensätze mit E-Mail-Adressen und Passwörtern kursieren im Netz.

Sollte jemand hier mitlesen und sein mailbox.org-Passwort auch noch bei anderen TK- und Telemediendiensten nutzen, wäre ein Passwortwechsel (einmaliges, gutes Passwort exklusiv für mailbox.org) sicherlich gewinnbringend.

Liebe Grüße in die Runde


Edit: Und natürlich an die Gerätesicherheit denken ;-)

Foto
1

@1188026


Das tut echt weh, so viel Ignoranz.


Frei übersetzt schreiben sie:


Sagen sie mir, wo sie wohnen, und schicken sie mir ihren Schlüssel, dann kann ich bei ihnen einbrechen.


Und dann behaupten sie, das Schloß sei unsicher.


Sie scheinen etwas ganz grundsätzliches nicht verstanden zu haben. Das mit 2FA, dem Passwort-rücksetzen und der Bedeutung von Geräten, auf denen man Mailclients eingerichtet hat, schon mal nicht.


Das ist ganz schlecht für ihre Sicherheit, hat aber nichts mit Mailbox zu tun.

Foto
1

7586310, nein das haben Sie falsch verstanden: Ich sage, geben Sie mir Ihren Schlüssel (Passwort) und ich umgehe Ihren Irisscanner (2FA), um in Ihr Haus (Account) einzubrechen.

Ihr Schloss ist nicht unsicher und Ihr Irisscanner auch nicht, aber ich brauche nur den Schlüssel und kann dem Irisscanner getrost ignorieren, um in Ihr Haus zu glangen.

Foto
1

AUA.

Sie haben es tatsächlich immer noch nicht verstanden.

Wobei das lustige ist, dass sie mit ihrer Ausführung belegen, dass das, was sie in dem Ausgangspost behaupten, gar nicht gehen kann. Aber das können sie scheinbar gar nicht erkennen. Sie verstehen es einfach nicht.

Viel Erfolg weiterhin.

EDIT Der Kater maunzt mich an, ich soll ihnen einen Tipp geben:


Wenn ich Ihnen den Schlüssel geben würde, würde er automatisch immer wieder in meine Hand kommen. So schnell, dass sie ihn gar nicht sehen können. Sie stehen weiter vor dem Irisscanner, der jetzt abgeschaltet ist. Aber sie haben keinen Schlüssel.


So funktioniert das.

Der Kater räkelt sich und lächelt, kann leider kein Foto schicken.

Viel Erfolg!

Foto
2

Was 1188026 meint, um beim Analogon von 7586310 mit dem Haus zu bleiben:

Wenn ich den Schlüssel zum Briefkasten (IMAP) habe, dann kann ich mir dorthin vom Hausverwalter einen Schlüssel (Rückstellcode) für einen Hintereingang zuschicken lassen. Damit komme ich dann in das Haus, ohne die schwer gesicherte Haupttür (Webinterface mit 2FA) benutzen zu müssen. Einmal drin kann ich dann alle Türen so verriegeln (oder Schlösser austauschen), dass der Besitzer nicht mehr rein kommt.

Und genau darum geht es hier doch. Es geht nicht darum, dass es mit dem Passwort für IMAP möglich ist Nachrichten zu lesen/schreiben. Sondern es geht darum, dass man auf diesem Wege die 2FA des Webinterfaces umgehen und somit dem Accountbesitzer den Account stehlen kann.


Ich bin inzwischen recht ratlos und weiß auch nicht mehr, wie man es ihm sonst noch erklären könnte. Ein Vorschlag wäre noch folgendes:

1. Testaccount erstellen.

2. Mit 2FA absichern und IMAP aktiviert lassen.

3. IMAP-Passwort an einen im Forum weiter geben (aber besser nicht direkt ins Forum schreiben).

4. Sehen, wie dieser Nutzer unter Umgehung der 2FA für das Webinterface den Account übernimmt und alle anderen aussperrt.

Foto
1

NEIN.


Zitat: "Sondern es geht darum, dass man auf diesem Wege die 2FA des Webinterfaces umgehen und somit dem Accountbesitzer den Account stehlen kann."


Um in dem Bild mit dem Haus zu bleiben:


Du hast ein blaues Auge (verlorener Yubikey) und der Irisscanner erkennt dich nicht. Du gehst in den Garten hinter die Mauer, wo dich niemand sehen kannst, und nimmst den Ersatzschlüssel.


Du schließt auf und gehst rein.


Das falsche an den ganzen Posts hier von 1188026 und wenigen anderen ist, dass Sie davon ausgehen, dass jemand das Passwort schon hat! Das man sich mit dem Anmeldenamen und dem Passwort einen Account einrichten kann, weiß sogar mein 90-jähriger Nachbar !


Das hat aber nichts mit der Frage des Passwort-Rücksetzlinks zu tun, denn damit kann ein Angreifer nichts anfangen, solange er nicht im Besitz des Gerätes ist, zu dem die Mail geschickt wird. Wer die Account-Daten hat, kann so gut wie alles machen. Aber erst, wenn er das Passwort hat ODER Zugriff auf das Gerät.


Solange er das Gerät nicht hat, kann er - S T A U N - NICHTS machen. Das ist der absolut häufigste Fall. Er kommt an das Passwort nicht ran, wenn er nur z.B. deine Mailadresse eingibt und dann auf "Passwort zurücksetzen" klickt.


Also: primär geht es um die Frage der Gerätesicherheit. Wenn du irgendwo auf einem Gerät einen E-Mail-Client installierst, und das Gerät nicht sicherst oder unter deiner Kontrole hast, kann jemand mit diesem Gerät - STAUN - deine Mails senden und empfangen! Und - OH WUNDER - er bekommt auch die Passwortmail zu sehen.


Unabhängig davon kann man diskutieren, wie man das Passwort zurücksetzen verändern kann. Aber da wurde hier vorgeschalgen, ein anderes Mailkonto dafür zu benutzen, dass dann genau so angreifbar ist wie der hier initial kritisierte Mechanismus. Das kann man einen schwachsinnigen Vorschlag nennen.


Solange man aber 2FA benutzt, und die benutzten Geräte sicher sind, kann schlicht nichts passieren, denn bei 2FA kann dein Passwort ja eben nicht gesnifft werden.

Foto
3

Das Problem hier ist, das wir nach links und 7586310 nach rechts schaut. 7586310 hat vollkommen Recht, dass wenn man alle Geräte abgesichert hat, der Angreifer weder an den Account mit dem eingerichteten mailbox.org Konto noch an das Passwort kommt.

Das ist hier aber nicht der Punkt, sondern wir geht davon aus, dass der Angreifer das Passwort hat. Wie bekommt er es trotz abgesicherter Geräte? Brute-Force, Social-Engineering, Keylogger, etc. pp.

Vielleicht kann mir 7586310 beipflichten, dass diese Gefahr besteht. Trotz abgesicherter Geräte. Wenn nun ein solcher Fall eintrifft, schützt mich 2FA. Eigentlich. Und hier ist das Problem, dass wir hier haben. Bei mailbox.org schützt mich 2FA eben nicht, wenn mein Passwort in die Hände eines Angreifers fällt. Und das ist ein Missstand, den andere Dienste besser lösen.

Ich lasse 7586310 Argumentation aber nicht gelten. Mailbox.org kann mich davor schützen, wenn mein Passwort (aus welchen Gründen auch immer) geleakt wird und zwar indem es 2FA und die Passwort-Reset-Funktion voneinander entkoppelt.

7586310 spricht davon, dass der Angreifer keinen Zugriff auf meinen Account erlangen kann, solange er keinen Zugriff auf mein Gerät mit dem eingebundenen Konto oder mein Passwort hat. Aber: Würde Mailbox.org 2FA von der Passwort-Reset-Funktion entkoppeln, würde der Angreifer selbst dann keinen Zugriff haben, wenn er das Gerät mit dem Konto oder das Passwort hat. Selbst wenn die so hochgepriesene Gerätesicherheit einmal versagen würde, würde mich 2FA schützen. Leider bei Mailbox.org nicht.

Nur damit keine Missverständnisse auftreten. Ich gehe von

1. Passwort für Account

2. Smartphone mit eingerichtetem Account (IMAP/POP3)

3. 2FA durch Yubikey

Wenn der Angreifer entweder 1. oder 2. hat, kommt er an meinen Account bei Mailbox.org.

Würde 2FA von der Passwort-Reset-Funktion enkoppelt werden, bräuchter er immer 1. oder 2. in der Kombination mit 3.

Ich halte letzteres für die sicherere Lösung :)

Foto
1

Als einer derjenigen, die hier noch interessiert mitlesen, sage ich einfach vielen Dank an den Themenersteller 1188026 für das Aufzeigen des Problems, an 7842928 für die fast unerschöpfliche Geduld und freundliche Bereitschaft zur Moderation in diesem Thema und auch anderen Beitragenden danke schön, wo sie zum Verständnis beigetragen haben.


Aus meiner Sicht sind die wesentlichen Punkte nun eindeutig und klar geworden. Es wäre dann auch wünschenswert, dass sich beim mailbox.org-Team, wenn denn wieder genug Reserven sind, jemand über das Thema beugt und noch mal genauer anschaut. Es wurden auch Alternativen zu Beginn des Threads angesprochen, bei denen die hier noch problematische Rücksetzoption bereits anders gelöst wurde.


Nochmals vielen Dank und weiterhin noch viel Energie für gute und freundliche Beiträge!

Foto
1

Zitat: "Mailbox.org kann mich davor schützen, wenn mein Passwort (aus welchen Gründen auch immer) geleakt wird und zwar indem es 2FA und die Passwort-Reset-Funktion voneinander entkoppelt"


Das ist schon möglich. Das ist die hohe Sicherheitsstufe in den OTP-Einstellungen , denn dann geht IMAP und POP nicht mehr. Derzeit kann hier nur 2FA mit hoher Stufe dich genau so schützen.


Es gab hier konstruktive Vorschläge, dass man das mit Listen etc. machen kann. Ich hoffe, dass das MBO-Team hier noch mitliest. Vielleicht kommt ja eine Reaktion.


Fakt ist aber: viele der hier gemachten Aussagen, dass das alles gar nicht sicher sei, sind schlicht und ergreifend falsch. Und das so wiederholt zu behaupten, ist extrem unfair gegenüber mailbox.org.


Peace.

Foto
Foto
1

Dieser Angriffspunkt kann natürlich beseitigt werden, aber die sichere 2FA-Variante ist da schon passend.


Der Ausgangspost ging davon aus, das jemand das Passwort bereits hat. Dann ist alles egal.


Sowie man nicht gesicherte Geräte hat, kann alles mögliche passieren. Da liegt der wahre Haken verborgen, und dagegen helfen auch andere Rücksetzoptionen nicht wirklich was. Bei dem Thema geht es also letztlich um LogIn UND Gerätesicherheit.

Foto
1

Ich finde die 2FA-Funktion hier gut umgesetzt, aber ein ungutes Gefühl bleibt schon, wenn man IMAP noch aktiv hat. Leider sieht der IMAP-Standard 2FA nicht vor, daher wird man da nichts machen können.