2FA durch Passwort-Reset deaktivieren, 2FA sinnlos?
Hallo,
ein E-Mail-Konto benötigt in der Regel einen höheren Schutz, da sich hiermit über die bekannten Passwort-Reset-Funktionen sämtlicher Webseiten weitere Accounts übernehmen lassen.
Natürlich habe ich deswegen 2FA aktiviert (Yubikey), damit sich niemand fremdes über die Weboberfläche an meinem Account anmelden kann, wenn er/sie in den Besitz meines Passwortes gelangt. Für alle anderen Dienste reicht ein Passwort, damit ich E-Mails über mein Smartphone/etc. abrufen kann.
Und hier liegt der Knackpunkt: 2FA kann meinen Account nicht vor einer Übernahme schützen, sofern jemand mein Passwort kennt (Keylogger/etc.), denn über die Passwort-Reset-Funktion von mailbox.org lässt sich der Reset-Link auch an das eigene Postfach schicken und für dieses reicht es aus, das Passwort zu kennen, um es in einen beliebigen Client per IMAP/POP einzubinden. Resettet man dann das Passwort erfolgreich, wird zeitlich auch 2FA deaktiviert und der "Angreifer" kann sich über die Weboberfläche an meinem Account anmelden, weitere Accounts übernehmen und mit im schlimmsten Fall sogar aussperren.
Wie kann man sich dagegen schützen? Andere Dienste bieten in solchen Fällen einen einzelnen Backup-Code an, den man am Besten sehr gut schützt und besser schützen kann, als ein Passwort, dass ich ggf. irgendwo eintippe oder man aus den E-Mail-Clients auslesen kann, etc. Es braucht nur etwas mehr Aufwand: Anstatt nur das Passwort zu stehlen, muss man bei aktiviertem 2FA noch einmal das Passwort resetten. Aber im Endeffekt schützt 2FA hier nicht.
Gruß
Alternativ könnte man die PW Reset Funktion als Option deaktivieren lassen und einen zweiten Yubikey verwenden. Aber einen SEED würde ich ebenfalls bevorzugen.
Genau dieses Problem ist mir gerade auch aufgefallen. Ich hatte 2FA über Yubikey aktiviert und mich (aus noch unbekannten Gründen) selbst aus dem Web Interface ausgesperrt. Nachdem ich per IMAP noch Zugriff auf den Account hatte, konnte ich per Passwort-Reset den 2FA Prozess einfach deaktivieren.
Ich bin gerade dabei mailbox.org als neuen Haupt-Mail Account zu evaulieren – die Möglichkeit des einfachen Deaktivierens des second factor ist für mich leider ein Showstopper.
Also, damit ein Passwort-Reset funktioniert, müsste der Angreifer ja zunächst das Mailkonto übernommen haben. Einen Reset bräuchte er dann nicht mehr, da er ja das Passwort schon erbeutet hat. Sofern der Eigentümer des Kontos die 2FA oder einen Yubikey nur für den Webmailer nutzt und für alles andere (IMAP) das Passwort, würde der Angreifer somit natürlich über einen IMAP-angebundenen Client alles mitsniffen können oder er könnte das Konto sogar für seine Machenschaften (z.B. echt aussehende Mail an Kontaktadressen des Geschädigten mit Schadsoftware-Inhalt) missbrauchen.
Das sicherste wäre, die 2FA bzw. den Yubikey für den Webmailer zu verwenden und alles andere zu deaktivieren. Klaro bleibt dabei die Usability auf der Strecke, wer sich jedoch als potentielles Target erachtet (z.B. Politiker) sollte so agieren. Das ursprüngliche Kennwort könnte dabei vergessen werden. Verliert man den Schlüssel, müsste über eine Telefonnummer oder eine zweite Mailadresse der Reset initiiert werden. Diese Notfall-Konten müssen natürlich ebenfalls geschützt werden.
Für die allermeisten Nutzer reichen diese Instrumente vollkommen aus. Ich selbst nutze auf fremden Rechnern nur die 2FA (z.B. Hotelrechner, Internet-Cafe). Meine IMAP-Geräte haben Zugangssicherungscodes und sind im Falle des Verlustes hinreichend geschützt.
Die technischen Sicherungen von mailbox.org als potentielles Sicherheitsrisiko zu titulieren halte ich für sehr gewagt. Für den Normaluser sind diese Möglichkeiten mehr als ausreichend. Wer sich als Target fremder Geheimdienste sieht oder sich als Whistleblower betätigen möchte, muss sich sowieso ganz anders aufstellen...
Edit: mailbox.org ist der einzig mir bekannte Anbieter, welcher 2FA richtig macht. Er schützt das Passwort VOR dem Verlust. Alle anderen schützen nur den Login, nicht jedoch das Passwort.
Also "nur" weil jemand an meine Zugangsdaten zu meindem E-Mail Account gekommen ist, bedaeutet es ja noch lange nicht, dass dieser Jemand auch tatsächlich Zugriff hat, sofern Yubikey als 2FA aktiviert ist. Vorausgesetzt natürlich, alle anderen Dienste wurde deaktiviert (anders macht der Yubikey keinen Sinn).
Aber jetzt kommt der Knackpunkt.
Es darf nicht möglich sein, einfach mit einer PW vergessen Funktion die 2FA auszuhebeln, denn ab dann hat dieser Jemand Zugriff auf das Postfach. Wenn das nicht möglich ist, braucht dieser Jemand unbedingt eine Physische komponente (Yubikey). Und genau deshalb würde ich es gut finden, wenn es als Absicherung (z.B. bei Verlust) einen SEED zur Deaktivierung geben würde und die das Ausheblen mit PW vergessen deaktiviert werden würde.
GLG
Im Grunde ist es ja nicht mal nötig an das normale Passwort zu gelangen. Ein Zugang zu einem Endgerät, welches E-Mails vom entsprechenden Account empfängt genügt.
Natürlich sollte ein solches Gerät jederzeit gut vor unbefugtem Zugriff geschützt sein, wenn man schon sein Passwort speichert oder auch nur gerade die Mailapplikation offen hat (genügt ja sich schnell den Rücksetzcode abzufotografieren). Aber in der Realität sieht das leider oft anders aus...
Ich fände es auch gut, wenn diese Möglichkeit das Passwort zurückzusetzen deaktiviert wird (zumindest optional). Und die Möglichkeit eines Onlinerücksetzcodes analog zum Telefonpasswort, wie oben vorgeschlagen, wäre auch ein guter Weg die Zahl der Hotlineanrufe niedrig zu halten, wenn o. g. Rücksetzfunktion mit E-Mail an das Postfach selbst deaktiviert würde.
Es gibt hier viele unterschiedliche Ansichten darüber, was 2FA nun eigentlich bedeutet und welche Sicherheitsversprechen dahinter stecken – keine davon ist "richtig" oder "falsch", jeder User hat unterschiedliche Vorstellungen und Herangehensweisen.
Das oft zitierte Prinzip von Haben/Wissen wird meiner persönlichen Meinung in der derzeitigen Implementierung auf mailbox.org ad absurdum geführt, weil ich 2FA dadurch aushebeln kann, dass ich ausschliesslich über den einen Faktor "Wissen" (nämlich das Passwort) verfüge. Mein Verständnis von sinnvollem 2FA ist, dass ich zur Deaktivierung auch über einen Faktor "Haben" verfügen muss (z.B. ein bei der Einrichtung erstellter Seed oder Ähnliches).
Aber wie gesagt, es gibt unterschiedliche Vorstellungen davon, was ein sinnvolles 2FA ausmacht.
> Mich hat dies leider dazu bewegt, mich nach einer alternative umzusehen: Diese bietet Passwort
> Reset, welches 2FA nicht deaktiviert, aber beim Einrichten von 2FA einmal gültige Backup-Codes
> anzeigt, die Möglichkeit des Passwort-Reset komplett deaktivieren lässt
Danke @1188026 für den Hinweis! Für "kritischere" Anwendungen, also typischerweise zum Empfangen von "Passwort-Zurücksetzen-Mails", nutze ich nun einen der beiden genannten alternativen Anbieter. Für den normalen, täglichen Gebrauch reicht mir die 2FA-Lösung von Mb.org aus, auch wenn sie für wirklichen Schutz vor Übernahme des Mailkontos in der Tat nicht gut zu Ende gedacht ist. Aber vielleicht ändert sich das auch irgendwann einmal.
@1188026
Sorry, das wird hier zu schräg. Das jemand, wenn er das Passwort hat, und die Mailadresse kennt, sich einloggen kann, sollte irgendwie klar sein.
Hier geht es um andere Fragen.
Die Passwort-Vergessen Funktion kann ein "Angreifer" nur dann aktiv ausnutzen, wenn er Zugriff auf das Gerät hat. Nur dann kann er die entsprechende Mail mit dem Rücksetzlink sehen.
Somit kann man diese Problem nur mit Gerätesicherheit lösen.
Zugriffssicherheit erreicht man mit 2FA. Dann muss jemand die PIN und den zweiten Faktor haben.
Auch hier gilt: wenn man trotz 2FA Zugriff auf das Gerät hat, kann man das Passwort zurücksetzen.
Das ist aber AUCH wieder eine Frage der Gerätesicherheit.
Ach ja, mein Passwort ist übrigens Osterhase. Oder auch nicht. Oder eben anders. Und der Yubikey.
Ich denke in dem Ausgangspost ging es um das Szenario in dem man die 2FA nicht auf der sichersten Stufe stehen hat, sondern noch IMAP/POP3/... per normalem Passwort erlaubt. Das dürfte für nicht wenige Leute eine gängige Variante sein.
Was hier nun thematisiert wurde ist, dass es für einen Angreifer genügt (auf welchem Wege auch immer) das Passwort ODER das Gerät zu erbeuten. Dass in einem solchen Fall der Schaden bereits immens ist, weil der Täter nun Zugriff auf alle E-Mails hat, sowie welche unter fremdem Namen (vom echten Account) versenden kann, ist denke ich auch allen klar. Was aber hierbei das Problem ist, ist dass der Angreifer nun sich auch Zugang zum (eigentlich per 2FA geschützten) Webinterface verschaffen und durch Passwortänderung (und Deaktivierung der 2FA) den legitimen Accountinhaber nachhaltig aussperren kann. Denn aufgrund der potentiellen Anonymität der Accounts dürfte es dem eigentlichen Besitzer schwer fallen die Kontrolle zurückzuerlangen (oder dies wäre zumindest zeitraubend, während der Angreifer weiter Kontrolle über den Account hat).
Das Risiko aus dem bereits vom Themenersteller geschilderten Szenario ließe sich ja durchaus durch eine Änderung des Verfahrens das Passwort zurückzusetzen eliminieren. Daher verstehe ich nicht wirklich, warum sich hier Leute dagegen sperren, diesen Angriffspunkt zu beseitigen, zumal das ja keinerlei (negative) Auswirkungen auf die Nutzer der puren 2FA-Option hat.
Dieser Angriffspunkt kann natürlich beseitigt werden, aber die sichere 2FA-Variante ist da schon passend.
Der Ausgangspost ging davon aus, das jemand das Passwort bereits hat. Dann ist alles egal.
Sowie man nicht gesicherte Geräte hat, kann alles mögliche passieren. Da liegt der wahre Haken verborgen, und dagegen helfen auch andere Rücksetzoptionen nicht wirklich was. Bei dem Thema geht es also letztlich um LogIn UND Gerätesicherheit.
Ich finde die 2FA-Funktion hier gut umgesetzt, aber ein ungutes Gefühl bleibt schon, wenn man IMAP noch aktiv hat. Leider sieht der IMAP-Standard 2FA nicht vor, daher wird man da nichts machen können.
Kommentare wurden auf dieser Seite deaktiviert!