Willkommen im User-Forum von mailbox.org
 

2FA leichter nutzbar machen und kleine Anmerkung zu Problem.

7265611 hat dies geteilt, 3 Wochen her
unbeantwortet

Ich habe es jetzt endlich geschafft 2FA zu aktivieren und wundere mich wieso ich mein passwort nichtmehr brauche.

Jetzt habe ich 4-Digit-Pin + 6-Digit-OTP was nur 12 Zahlen sind, und sich nicht wirklich wirklich sicher anfuehlt!

Wieso ist es nicht ganz einfach: Standard Passwort + 6-Digit-OTP ?

Ausserdem: Bevor man den Token generiert, sollte man ihn zuerst einmal bestaetigen koennen. Ich habe es zuerst auf einem Test Account versucht und gleich mal locked out gewesen weil mein browser spontan den code aktiviert hat und ich mich nichtmehr ausgekannt hab.

Token generieren -> Token bestaetigen. Damit keine Fehler passieren koennen!

Wuerde mich sehr ueber eine Antwort freuen weil es sich so nicht wirklich sicher anfuehlt.

Kommentare (56)

Foto
1

Zur Frage

"Wieso ist es nicht ganz einfach: Standard Passwort + 6-Digit-OTP ?":

Weil dann immer noch jemand das Standardpasswort in seine Hände bekommen könnte und damit je nach Konfiguration (d. h. z. B. Zugriff per IMAP weiterhin erlaubt) trotzdem noch sehr viel kaputt machen könnte.

Siehe zu der Thematik bspw. diesen Beitrag, sowie die folgenden: https://userforum.mailbox.org/topic/warum-ist-die-zwei-faktor-authentifizierung-so-unglaublich-umst%C3%A4ndlich-und-verwirrend-aufgebaut#comment-10297

Zusätzlich ist das hier auch noch bzgl. Passwortreset relevant. Siehe dazu u. a.: https://userforum.mailbox.org/topic/2fa-durch-passwort-reset-deaktivieren-2fa-sinnlos

Übrigen muss die PIN entgegen ihres Namens nicht nur aus Zahlen bestehen, sodass man dann 4 alphanumerische Zeichen + 6 Zahlen hätte.

Foto
1

Aber ist es nicht wesentlich einfacher einen 4-digit-pin herauszufinden als ein Passwort?

Foto
1

Den Pin kannst du aber ausschließlich mit dem OTP verwenden. Damit ist es nicht so schlimm, wenn jemand ihn errät - schließlich braucht er noch den zweiten Faktor und der ist zeitabhängig.

Ich nutze übrigens ein 8-Ziffern-OTP.

Foto
1

Jede 2FA-Variante ist sicherer als Benutzername & Passwort. Wenn du es noch sicherer willst, hol dir z.B. einen YubiKey hier bei Mailbox.org.

Foto
2

Auch wenn sich das mit dem pin hier anscheinend alle schoen reden, bitte einfach wie jede andere normale Platform, Passwort+OTP ermoeglichen. Fuer alle die Pin+OTP wuenschen. bitte gerne

mir ist das zu unsicher

Foto
1

Never ever. Was du forderst bedeutet in Bezug auf 2FA nichts weniger als die Zerstörung des Konzeptes.

Lies dich bitte in das Thema ein. Bei 2FA wird mit voller Absicht eben gerade das Passwort NICHT benutzt.

Punkt. Alles andere wäre Schwachsinn.

Foto
1

Wozu habe ich dann ein Passwort? Mir kann doch niemand erzaehlen das mein 40+ Stellen Passwort + OTP weniger sinnvoll ist das ein 4-Digit-Pin + OTP

Foto
2

OTP mit Passwort ist UNSICHER.

OTP mit PIN ist SICHER.

Wobei eine PIN nichts anderes als ein Passwort ist. Sozusagen "OTP + OTPPASSWORTPIN". Nichts anderes ist das.

Es ist sicherlich schwierig, wenn Nutzer das nicht verstehen. Das wird aber keinesfalls dazu führen, daß ich OTP+Passwort anbiete und meinen Nutzer einen unsicheren Unfug als sicher verkaufe, sie verarsche und gefährde.

Wenn andere OTP+Passwort als gute Idee verkaufen, dann können sie das tun. Ich nicht.

Wer kein Problem darin sieht, daß OTP+Passwort verwendet wird, hat den Gedanken, daß die Bekanntgabe des Passworts zu verhindern ist, nicht verinnerlicht/verstanden. Es ist KEINE gute Idee das eigene Passwort überall in der Weltgeschichte zu verteilen. Ist es einfach nicht. Und wenn es nur ist, weil 90% der User das bei OTP benutzte und damit kompromittierte Passwort auch woanders verwenden.

Foto
3

Niemand hat gesagt, daß ein 40 stellioges Passwort unsicherer ist, als eine PIN.

Es ist nur so, daß auch ein 1.000 stelliges Passwort sinnfrei ist, wenn es BEKANNT ist.

Und da es immer auch Dienste gibt, die sich nicht mit OTP bedienen lassen und einen normalen Passwort-Login ermöglichen ist es keine gute Idee, ein Passwort zu kompromittieren, indem man es im OTP-Login verwendet und "verbrennt".

1) OTP ermöglicht den sicheren Login auch in unsicheren Umgebungen / fremden Rechnern ohne dass das Passwort kompromittiert wird.

2) Sofern ein Dienst OTP unterstützt ermöglicht OTP einen Login ausschließlich auf Basis von Wissen+Besitz.

Diese ganze Diskussion hier (und in anderen Fällen) basiert nur darauf, daß Nutzer (2) sehen und (1) aber nicht auf dem Schirm haben.

Passwörter

sollte

man

nicht

kompromittieren.

Foto
1

Die Sicherheit kommt über den 2. Faktor. Das Prinzip ist ein ganz anderes, weil man den 2. Faktor nicht mehr hacken kann. Nenne den 2. Faktor einfach " Superpasswort", dann wird das klarer.

Foto
1

vielleicht ... statt einem PIN einfach ein beliebiges Passwort als Option anbieten? Mein Passwort ist niemandem bekannt und es wird NUR fuer mailbox.org verwendet....

Ein Zweitpasswort + OTP > PIN + OTP

Foto
1

Wozu brauchst du dann 2FA, wenn es niemandem bekannt ist?

Foto
Foto
1

Passwörter

sollte

man

nicht

kompromittieren.

dann

lasst

mich

doch

ein

zweites

seperates

machen... und nicht irgendeine Steinzeit PIN

Foto
1

Jedes Passwort kann gesnifft werden. Der 2. Faktor nicht. 2FA mit PIN ist sicher.

Ich bin jetzt hier raus.

Foto
1

Wäre es möglich lesbar zu schreiben? So wirkt das einfach nur dumm hingetrollt und ist keiner Antwort würdig.

Foto
1

Ich kann '7586310' ein wenig verstehen. Die Diskussion wurde in den letzten Wochen in mehreren Threads schon rauf und runter geführt. Ich glaube nicht, dass noch wirklich neue und wichtige (Gegen-)Argumente kommen. ;-)

Foto
1

@rq: der einzige, der hier derzeit dumm hintrollt, bist leider in diesem Fall du...

Also extra für dich: jedes Passwort kann erschnüffelt ("gesnifft") werden. Deswegen ist es egal, ob Passwort oder PIN. NUR der zweite Faktor ist sicher, da der NIE abgehört werden kann.

2FA macht man deswegen, weil man dann nie sein Passwort angibt, und es nie abgehört werden kann.

Nur noch 3FA ist sicherer als 2FA. Die PIN ist deswegen sicher, weil man sie nirgendwo notieren muss, weil man sie sich so leicht merken kann. Ein 40-stelliges Passwort muss man notieren, und dieses kann dann auch wieder abgehört werden.

Der Trick bei 2FA ist die Nutzung vonbetwas, was niemand außer dir haben kann.

Jetzt klar?

Foto
1

@7586310 Ich meinte eigentlich 7265611 aber dennoch danke für die Erklärung, die mir jedoch keinerlei neue Erkenntnisse brachte. Ist ja wohl nicht zu viel verlangt einen Satz ohne dutzende Zeilenumbrüche zu schreiben.

Foto
1

Alles klar, sorry für meine Einleitung - das Thema geht seit einigen Wochen durchs Forum mit immer den gleichen falschen Ansätzen.

Foto
Foto
1

Entschuldige, eine Sache schreibe ich noch dazu, obwohl oben schon erwaehnt!

Wieso muss es ein 4 stelliger PIN sein? Wenn ich das richtig verstehe; geht es darum Nutzer, in dem Sinne, vor sich selbst zu beschuetzen, schon kompromittieren Passwoerter nochmals zu verwenden.

Das verstehe ich auch, und ich verstehe auch das Konzept das OTP+Passwort immer sicherer ist als nur Passwort, und insoweit natuerlich auch ein 4 stelliger PIN.

Aber waere es nicht trozdem angebracht vielleicht die Moeglichkeit zu bieten statt einem 4-digit-PIN einfach ein neues leangeres Passwort selbst benutzen zu duerfen? Oder was verstehe ich da falsch?

Wuerde mich sehr ueber eine Antwort freuen!

Foto
1

Nein, das ist nicht unbedingt sicherer. Man müsste bei OTP+PIN in einem 30 Sekundenzeitraum ca. 10^(6+4) / 2 also 5 Milliarden Kombinationen ausprobieren. Das ist nicht realistisch machbar.

Gefühlte Sicherheit bringt dir hier gar nichts.

Foto
1

Dazu ein kleines Zitat:

„Einfachheit ist die höchste Form der Raffinesse.“

(Leonardo da Vinci, auch Steve Jobs soll dieses Zitat verwendet haben)

Ein Passwort statt 4-stelliger PIN würde das Verfahren nur komplexer machen, jedoch keinen Sicherheitsgewinn mit sich bringen.

Insofern - gut gemacht mailbox.org!

Foto
1

Wenn der zweite Faktor kompromittiert ist, ist ein komplexes Passwort ein deutlicher Sicherheitsgewinn gegenüber einer vierstelligen PIN.

Foto
Foto
1

Passwort > PIN.

alles ist sicherer als eine 4 stellige Nummer. Man kann ruhig argumentieren das es GLEICH sicher ist wegen dem 2FA aber............ ein 4 stelliger PIN ist ja wohl gradeaus aus 1998

Foto
1

Du hast oben (1) nicht verstanden.

Foto
1

Nein. @7265611 Hör bitte auf, permanent die falschen Dinge zu wiederholen. Du hast es ganz offensichtlich immer noch nicht verstanden.

WAS DU SCHREIBST IST FALSCH.

Foto
Foto
1

Proof me wrong:

Man versucht 2 accounts zu knacken:

Einen mit 4digitpin+OTP

Einen mit 48 Buchstaben mit den erlaubten Sonderzeichen zufaellig von einem guten Passwort Manager wie KeePass generiert + OTP (Natuerlich ein neues Passwort, statt dem PIN, denn wie wir da oben schon gelernt haben ist ein PIN auch nur ein Passwort das jedoch wesentlich kuerzer ist als andere)

welches ist THEORETISCH leichter zu knacken? (wobei es sowieso schon sehr sehr schwer ist, das seh ich schon ein, durch den 2FA natuerlich)

Es ist einfach nur logisch, aber ist ok es will mir ja niemand erklaeren wieso ich hier flasch liege sondern es wird nur drauf verwiesen das ich flasch liege.

"OTP mit Passwort ist UNSICHER.

OTP mit PIN ist SICHER.

Wobei eine PIN nichts anderes als ein Passwort ist"

daher:

"OTP mit Passwort ist UNSICHER.

OTP mit Passwort ist SICHER.

Wobei eine Passwort nichts anderes als ein Passwort ist"

Also wieso nicht einfach statt einem schwachen Passwort, also einer PIN, ein starkes Passwort zulassen?

Foto
2

Weil es immer nur darum geht, ob das Passwort abgegriffen wird - es ist völlig egal, wie lang es ist.

Die Sicherheit kommt über den zweiten Faktor. Der wird durch einen abgesicherten Modus erstellt, den man nicht knacken kann, z.B. weil er mit und auf einem YubiKey erstellt wird.

Die PIN sorgt dafür, dass das Passwort nie benutzt wird. Bei der 2FA wird dann durch den zweiten Faktor ein unknackbares Passwort hinzugefügt, dass sich jedes mal ändert, und eben nicht geknackt werden kann. Die PIN kann so kurz sein, weil der zweite Faktor immer dazu kommt.

Die 4-stellige PIN ist deswegen nicht unsicherer als ein 1000stelliges Passwort, wenn sie bei 2FA genutzt wird.

Foto
1

"Prove me wrong". Wenn ein Post schon so anfängt, braucht man gar nicht mehr weiterlesen.

Ich empfehle hier, https://de.wikipedia.org/wiki/Russells_Teekanne zu lesen. Kurz: Wenn Du eine Behauptung aufstellst, ist es *Deine* Aufgabe, sie zu beweisen. Es ist nicht die Aufgabe von anderen, Dich zu widerlegen.

Grüße

Rene

Foto
Foto
1

Die Argumentation hier scheint auf der Annahme zu beruhen, dass der zweite Faktor nicht kompromittiert werden kann. Wenn das so ist, warum brauchen wir dann überhaupt noch eine PIN?

Wenn der OTP nicht mehr sicher ist (Smartphone geklaut etc), dann möchte ich nicht, dass die letzte Hürde eine vierstellige PIN ist.

Daher zwei Bitten:

  1. Frei wählbares Passwort für den Web-Zugang im Zusammenspiel mit OTP.
  2. Applikationspasswörter für die einzelnen Dienste wie IMAP

Foto
2

Weil eine 2-Faktor-Authentisierung nur dann eine 2FA ist, wenn sie 2 Faktoren benutzt.

Und weil die beiden Faktoren zusammen das Passwort bilden. Und weil es auch Hardware gibt als zweiten Faktor. Und weil das größte Problem bei der Sicherheit leider immer nur das Smartphone ist, und eigentlich sogar der User.

Foto
1

Die Frage war rhetorischer Natur.

Das OTP ist jedoch nicht "der zweite Teil des Passworts", sondern dient der Trennung von Wissen (Passwort) und Besitz (OTP-Generator).

Foto
1

Falsch.

Das bisherige Passwort wird durch ein zweiteiliges Passwort ersetzt.

Dieses besteht sodann aus dem PW-Teil "Wissen" und dem PW-Teil "Besitz".

Ich benutze dabei für wichtige Dinge keinen Smartphone-basierten Generator, sondern YubiKey & Co.

Foto
1

Nur weil die Eingabemaske bei mailbox.org so aufgebaut ist, ändert das noch nichts an den Grundlagen. Stell Dir einfach vor, Du würdest beides in zwei Schritten oder zwei Eingabefelder eingeben.

Es wäre übrigens toll, wenn Du mal einen Namen fürs Forum angeben würdest. "7586310" ist über verschiedene Diskussionstränge schwer wiederzuerkennen.

Foto
1

Ich stelle mir das so vor, wie es hier und auch sonst an vielen Stellen gemacht wird. Das Passwort wird bei OTP nicht mehr genutzt. Es wird ersetzt durch 2 voneinander unabhängige Teile, die das bilden, was man nach der Benutzerkennung anzugeben hat, aka das Passwort.

Foto
1

So? Ich habe 14 Dienste in meiner OTP-App. Bei jeder einzelnen nutze ich das bisherige Passwort und zusätzlich das generierte OTP. Ich kenne keinen anderen Dienst, der das wie mailbox.org handhabt.

Kannst Du etwas näher erläutern, was Du mit "an vielen Stellen" meinst?

Foto
1

Alle meine Webhoster, Server und Mailzugänge, auch meine NAS-Logins. Wenn Win10 1809 auf meinen Rechner kommt, hoffentlich auch mein Rechner.

Foto
1

Geht das etwas spezifischer? Welche Dienste sollen das genau sein?

Hetzner als Hoster zum Beispiel funktioniert wie von mir beschrieben, genau wie Gmail.

Foto
1

Bei Hetzner wurden vor einigen Jahren massenweise Kundendaten geklaut; bei mailbox.org noch nicht. ;-)

Foto
1

Was genau soll das aussagen? Und was hat das mit der aktuellen Diskussion zu tun?

Foto
1

Ich wollte damit nur sagen, dass Sicherheit etwas Relatives ist, und von mehr Faktoren abhängig ist, als von der hier diskutierten Ausgestaltung der 2-Faktor-Authentifizierung.

Im Übrigen finde ich es ein wenig seltsam, mit welcher Energie hier und in anderen Threads seit Wochen immer wieder die gleichen richtigren und falschen Argumente ausgetauscht werden. Es ist doch niemand gezwungen bei mailbox.org zu bleiben. ;-)

Bei allem Verständnis dafür, dass man gerne Verbesserungsvorschläge (und individuelle) Wünsche anmelden kann und soll, so sollte man irgendwann auch akzeptieren, dass mailbox.org seine Gründe hat, bestimmte Dinge so zu regeln wie sie sind. Das hat Peer Heinlein weiter oben und auch in den früheren Threads deutlich gemacht. Für mich ist eine weitere Diskussion zu diesem Thema nicht weiter zielführend.

Foto
2

Das hat mit der aktuellen Diskussion zu tun, weil man nur mit der MBO-Strategie das Passwort nicht mehr benutzt. Das ist u.a. deswegen wichtig, weil IMAP mit 2FA nicht geht. Das Angebot von 2FA mit Passwort ist so gesehen echt gefährlich, weil jeder, der das Passwort snifft, sofort den Login hat.

Meine Hoster nenne ich hier nicht, weil ich da zum Teil um besondere Anpassungen gebeten habe, die ich brauche, um auch journalistische Projekte sicher machen zu können. Die habe ich bekommen, darf aber nicht drüber reden. Wenn man mit den Leuten redet, geht viel.

Ich finde nur die 2FA-Lösung von Mailbox richtig und achte darauf, dass ich das so überall umsetzen kann.

Foto
1

Mich brauchst Du nicht zu überzeugen. Anderseits zeigt Deine Antwort, dass auch Du falsche Annahmen machst.

"Das Angebot von 2FA mit Passwort ist so gesehen echt gefährlich, weil jeder, der das Passwort snifft, sofort den Login hat."

Das gilt aber nur, wenn "das" Passwort gemeint ist, mit dem man sich bei anderen Diensten bzw. ohne 2FA anmeldet. Die Mehrzahl der "gegnerischen" Äußerungen (so habe ich sie verstanden) wollen aber nicht "das" Passwort als 1. Faktor, sondern ein anderes Passwort. Siehe z.B. Stephan weiter unten. Also geht es letztlich darum, ob man als 1. Faktor ein langes Passwort oder eine 4-stellige PIN nutzt. Und ab da dreht sich die Diskussion im Kreise.

Ich bin dann hier raus.

Foto
1

@thgeiges: mailbox.org ist ein großartiger Dienst, der vieles richtig und meist besser macht als die Konkurrenz. Die Diskussionen zum Thema 2FA zeigen aber, dass an mindestens dieser Stelle noch Verbesserungspotenzial liegt. Mit Deiner Einschätzung von wegen "im Kreis drehen" liegst Du richtig, allerdings fällt hier noch das Thema "Applikationspasswörter" unter den Tisch.

@7586310: Du behauptest also, es gäbe viele Dienste, die einen 2FA-Zugang mit alternativem Passwort bieten, willst aber keinen einzigen nennen, wenn man Dich fragt? Dass das Deiner Argumentation nicht förderlich ist, dürfte Dir wohl klar sein.

Foto
1

Ich bin voll bei @thegeiges, den Peer Heinlein hat doch schon klargestellt, dass es bei Mailbox.org so bleiben wird, daher warum diese endlose Diskussion, das führt doch zu keinem Ergebnis? An jeder Aussage wird etwas dran sein, aber eigentlich ist die 2FA bei Mailbox.org schon in Ordnung bzw. sicher, man braucht immer zwei Faktoren, egal wie herum man das dreht. Und wenn jemand beide Faktoren in der Hand hat, dann ist doch vorher schon woanders etwas schiefgelaufen und derjenige hat, glaube ich, größere Probleme.

Schönen Abend @all

Foto
2

Hallo,

ich glaube auch, daß sich die Diskussion hier sehr im Kreis dreht. Danke für die allgemeine Einschätzung, daß mailbox.org vieles besser macht, als die Konkurrenz. Ich würde das gerne ändern: Vieles auch ANDERS macht, als andere. Und nichts davon ist unüberlegt, das kann ich versichern.

Auch OTP machen wir ANDERS. Und dahinter stecken absolut durchdachte Gründe. Wir reden hier keinesfalls von einer Laune oder einer Schlampigkeit wo irgendwie mal was entschieden wurde, sondern hier haben sich Admins mit 30 Jahren Erfahrung, Crypto- und auch Privacy-Experten zusammengetan und das so diskutiert und festgelegt.

Man mag immer einwenden, daß man persönlich subjektiv der Meinung ist, da wäre vielleicht Verbesserungspotential. Man kann auch sagen, daß man Dinge in einer Abschätzung anders sieht und Argumente anders gewichtet. Alles okay.

Aber "objektiv falsch"?

Für unsere Regelung gibt es Gründe. Dazu zählt eben auch (wie einige hier schon angemerkt haben), daß wir hier nicht nur über die Absicherung eines rein webbasierten Dienstes diskutieren, wo "das Passwort" dann eben der 2. Faktor ist, weil es nirgendwo sonst verwendet werden kann und damit wertlos ist. Das gilt anderswo, aber nicht bei uns. Sollte man also in der Diskussion bitte bedenken.

mailbox.org bietet eine ganze Vielzahl verschiedener Services an, manche kann man mit 2FA absichern, andere nicht. Das ist bei uns grundsätzlich anders, als in anderen Portalen. Niemand hier kann sich auf den Standpunkt stellen, daß das Generalpasswort verwendet werden kann. Eben weil es Zugriff auf andere Dienste ermöglicht. Die kann man abschalten -- aber wir machen unseren Nutzern eben auch möglich, diese Dienste ohne 2FA mit einem normalen Passwort zu verwenden und 2FA-taugliche Dienste da draußen "in the wild" mit einem sicheren 2FA ohne Verwendung des Generalpasswortes.

Aus diesem Grund bieten wir ein ANDERES Passwort an, ein OTP-Passwort sozusagen.

Dieses wurde damals nach langer Diskussione auf einen PIN-Code mit fixer Länge festgelegt. Nur einige (sicher nicht alle!) der Gründe dafür sind beispielsweise:

  • Wenn Nutzer Passwort und Passwort :-) verwechseln, sorgt das für viel Support-Aufwand, aber auch für unzufriedene kündigende Nutzer (die es nicht verstehen), schlechte Reputation, Genöle in öffentlichen Foren ("war ausgesperrt obwohl bezahlt, Frechheit!") und und und. Das ist auch nicht im Interesse der Nutzer. Und, da muß ich ehrlich sein: Das Risiko hier am Ende mehr Ärger als Vorteile zu haben und damit den Aufbau von mailbox.org selbst zu sabotieren, ist mir zu hoch. Damit würden wir auch unseren Nutzern einen Bärendienst erweisen. Es muß verständlich und ohne zu großes Verwechselungsrisiko für Nutzer sein. Und wir kämpfen ja schon damit, daß Leute sich ihren Login-Namen nicht merken können.
  • OTP hatte -- als wir anfingen -- noch sehr wenig Akzeptanz und mailbox.org tritt auch an um zu zeigen, daß Sicherheit und sichere Kommunikation mit Absicherungsmaßnahmen nicht nur etwas für Freaks & Nerds sind (wie uns gegenüber auch heute noch immer wieder auch gesagt wird), sondern wir zeigen, daß es FÜR ALLE geht. Daß es einfach ist. Daß man es wie selbstverständlich benutzen kann. Auch (nicht nur, aber auch!) aus diesem Grunde haben wir uns für die Kombi 4-Ziffern-PIN entschieden, weil Otto-Normaluser das von seiner EC-Karte her kennt und wir damit gewohntes Wissen und gewohnte Verhaltensweisen abbilden kann. Der geilste heißeste OTP-Shit nützt nichts, wenn er nicht akzeptiert und angewendet wird.
  • Gerade weil das OTP-Passwort (pardon: Die PIN) bei OTP natürlich immer und immer wieder neu eingegeben werden muß, ist ein ausreichend kurzer, schnell zu tippender Code wichtig und sinnvoll, um die Akzeptanz der Masse zu erreichen. Passwort-Nutzer speichern sich Passwörter oft im Browser-Safe. Kann man gut finden, oder auch nicht: Ist aber halt so. OTP-Nutzer können das nicht. Wenn es ihnen aber zu kompliziert ist, verwenden sie es nicht mehr.
  • Ein vierstelliger PIN-Code hat immer noch 1.000 Kombinationen. Das halten wir für ausreichend sicher, als daß man damit Brute Force durchprobieren kann. Zumal dann zusätzlich auch der Faktor "Besitz" kompromittiert worden sein müßte. Insofern hängt die Sicherheit in Step-1 absolut nicht an der PIN. Vielleicht würde ich heute sechs stellen wählen, statt vier. Vielleicht auch nicht. Aber falsch ist dieser Weg sicher nicht.
  • Uns nützt kein Verfahren, daß am Ende des Jahrzehnts nur 0,001% Freakshow-Nutzer anwenden. Wir möchten gerne 10% oder 25% Verbreitung sehen. Und daran arbeiten wir. Und damit, nur damit, erweisen wir der großen Masse im Internet, der Gesellschaft, den richtigen und wichtigen Dienst mit unserer Arbeit. Darum eben: Usability und Akzeptanz sind ganz, ganz wichtige Faktoren. Wir werden nie einen Kompromiss in der Sicherheit machen und nur das zulassen, was wir für vertretbar halten. Aber am Ende ist jede Lösung es immer ein Kompromiss aus Sicherheit und Usability. Aber nur der richtige Kompromiss der führt zur Verbreitung und macht es nutzbar -- und damit aber eben auch sicher. Und trotzdem bieten wir Sicherheit auf absolut hohem, mehr als nur ausreichendem Niveau.
  • Wir haben uns damals auch für eine einfache Anmeldemaske entschieden, wo OTP+PIN als Passwort angegeben wird. Bei der Anmeldung müssen wir im Hintergrund erkennen, welches OTP-Verfahren im Einsatz ist, ob und welcher Tokengenerator wie YubiKey im Einsatz ist und und und. Wir haben uns darum absichtlich für eine fixe Zeichenzahl (und damit gegen ein frei wählbares OTP-Passwort!) entschieden, um die PIN sicher vom OTP abziehen zu können.
  • Solche Entscheidungen treffen wir stets auch auf dem Gedanken der Nachhaltigkeit: Was wir heute implementieren und "erfinden" muß auch in 10, 15 oder 20 Jahren noch funktionieren. Wir können heute keine Entscheidungen fällen, die uns irgendwann auf die Füße fallen und Wege und Möglichkeiten verbauen. Das passiert sowieso hier und da -- aber das will man nicht noch gedankenlos forcieren. Teile meines Providers und meiner Userdatenbanken und Strukturen sind aktuell rund 20 Jahre alt. Und sie funktionieren noch heute. Unverändert! Weil die Konzepte dahinter gut & safe sind. Und übrigens, weil wir auch damals schon recht konsequent vieles anders gemacht haben, als "man" es üblicherweise damals gemacht hat. Unser LDAP-Baum mit den Userdaten besteht seit fast zwei Jahrzehnten -- und ich erinnere mich gut daran wie mir damals erklärt wurde, daß man LDAP bitte anders verwenden solle und ich es angeblich nicht verstanden hätte. Achja. Aber: Solche Kontinuität und Zukunftssicherheit nenne ich ein verdammt erstrebenswertes Ziel (und als Mail-Consultant habe ich bei meinen Kunden genug schmerzhafte Migrationsprojekte mitgemacht, die teilweise ein Jahr in Anspruch genommen haben). Und dazu gehört eben auch, daß man manchmal vorsichtiger sein muß und Eventualitäten und Möglichkeiten vorhersehen muß, die am Ende vielleicht auch nie eintreten, überflüssig waren und die man sich hätte sparen können. Wie auch immer: Wir wollten eine FIXE Länge der PIN und kein variables Passwort. Und am Ende hängen am Fortbestand dieses Providers nicht nur 35 Familien, die mir vertrauen, sondern auch meine gesamte eigene private Existenz nebst ein paar Millionen EUR Investitionssumme oder mal eben 100.000 EUR Schaden/Aufwand, die eine eventuell notwendige Änderung des Verfahrens im laufenden Betrieb kostet zusammen mit ein paar Zehntausend frustrierten Nutzern, denen etwas gewohntes wegbricht und die darum aus Prinzip schonmal dagegen sind. Den Support-Aufwand (und die Kosten daraus) kann sich ein Laie kaum vorstellen. Ich sage nur: Anpassung des Login-Formulars letzten November. Hui, was war da wegen einer vergleichsweise kleinen Lappalie los. Übrigens: Dieses zweistufige Login-Formular wollten wir AUCH wegen mehr Flexibilität in OTP-Anmeldemasken mit flexibler Passwort-/PIN-Länge einführen. Der Schuss ging nach hinten los, das kann ich Euch sagen. Naja: Kontinuität meiner Firma müßte keinen Nutzer interessieren, das verlange ich auch nicht, aber man muß es respektieren, wenn uns das interessiert. Und: Klar, doch, es interessiert Nutzer. Weil diese das Interesse haben daß das, wo sie sich heute privat einrichten, auch in einen oder zwei Jahrzehnten noch Bestand hat. Das schulde ich denen. (Mein erster Provider jpberlin.de wurde 1989 gegründet und existiert heute noch. Wo gibt's sowas noch?)

Dies sind nur EINIGE Gründe. Sicherlich nicht alle. Und sicherlich mag man dies so oder so gewichten. Wer auf der Suche nach der höchsten perfektesten Sicherheit der Welt ist und dem Shitegal ist, daß ein solcher Dienst am Ende nur 1.000 special high security interest Kunden hat (statt 1 oder 10 Millionen), der kommt zu anderen Schlüssen. Aber dem kann ich dann auch nur sagen, daß das nicht unsere Mission hier ist. Wir bringen Sicherheit für alle und zeigen, daß es eben nicht special interest, sondern alltäglich ist und für jeden, nochmal: JEDEN, funktioniert.

Nochmal:

Und auf Basis all dieser ganz, ganz, ganz, ganz vielen verschiedenen Punkte und Kleinigkeiten aus

  • technischen Vor- und Nachteilen (die hier in solchen Diskussionen selten erkannt oder thematisiert werden!)
  • vorhandenen oder zu schaffenden Implementierungen (und damit Möglichkeiten)
  • Usability- und Support-Erfahrungen (der Unterschied zwischen "Theorie und Praxis")
  • nebst einer Prise Bauchgefühl aus fast 30 Dienstjahren

machen wir Dinge ganz ganz problemlos vollständig anders, als andere im Netz.

Und wer all das ohne jedes Detail- und Hintergrundwissen als "das ist Unsinn" abtut, verfügt über ein grenzenloses Selbstbewußtsein mit dem Anspruch der alleinigen göttlichen vollumfassende Weisheit.

Respekt.

Ansonsten kann und soll aber natürlich jeder zu dem Schluß kommen, daß er es anders sieht und anders machen WÜRDE (achja, der Konjunktiv der jede Forderung so einfach macht!). Denn, ja, klar, das ist ja unbestritten und niemand sagt was dagegen: OTP und ein tausendstelliges Passwort WÄREN beim Verlust des OTP-Generators NATÜRLICH einen Ticken schöner, als "nur" die PIN. Niemand bestreitet das. Zumindest nicht, wenn man sämtliche anderen Faktoren einer solchen Entscheidung ausblendet. Aber es muß halt praktikabel und sinnvoll bleiben, sonst hat niemand was davon.

In diesem Sinne: Schönen guten Abend.

(Ich bitte um Verständnis, daß mir Zeit und Möglichkeiten fehlen, hier jetzt tagelang weiter zu diskutieren und ich mit dem Post vermutlich alles gesagt habe. War ja lang genug...)

Foto
1

Guten Morgen Peer,

vielen Dank erst einmal für die ausführliche Antwort. Gerade solch persönlicher Einsatz gehört zu der Liste von Dingen, die Ihr besser macht als die Konkurrenz.

Ohne zu wissen, auf wen Du Dich konkret beziehst, finde ich es in der Diskussion aber eher unglücklich, anderen "jedes Detail- und Hintergrundwissen" abzusprechen, ohne sie persönlich zu kennen. Aus meiner Sicht ist das unnötig persönlich in einer ansonsten sachlichen Diskussion. Auch die von Dir zitierten Phrasen "das ist Unsinn" und "objektiv falsch" sind zumindest in diesem Topic nicht gefallen.

Deinem Argument der jahrzehntelangen Erfahrung kann ich naturgemäß wenig entgegensetzen. Was mich aber wundert ist die Einschätzung des erhöhten Supportaufwands. Egal ob Google, Twitter, Hetzner, Dropbox oder Facebook, alle nutzen einen ähnlich aussehenden Ansatz für 2FA. Große Tageszeitungen erklären ihrer nicht-technik-affinen Leserschaft (aka nicht-Freakshow), wie diese einzurichten sind. Vor dem Hintergrund würde ich ja eher erwarten, dass bei einer anders aussehenden Lösung Supportaufwand entsteht.

Zusammengefasst lese ich aus Deinem Text, dass Ihr Euch damals aus guten Gründen für die PIN-Lösung entschieden habt und dass es den Aufwand nicht lohnt, das zu ändern. Damit kann ich leben.

Für mich bedeutet das aber, dass ich 2FA für mailbox.org bei mir nicht nutzen werde. Denn für mich ist die Wahrscheinlichkeit eines kompromittierten Token-Generators (was ich nicht ausschließen kann) deutlich höher als das Einloggen an nicht vertrauenswürdigen Rechnern (was ich ausschließen kann). Das ist dann schade, ändert aber nichts daran, dass ich ansonsten mit mailbox.org rundum zufrieden bin und gerne für das Angebot und den erstklassigen Service zahle.

Foto
1

Das Argument mit dem kompromittieren Tokengenerator ist interessant, weil es auf das maßgebliche Problem hinweist: es geht letztlich um die Gerätesicherheit.

Da würde ich jedem empfehlen, anstatt das via Smartphone zu machen, einen Hardwaretoken wie den YubiKey zu nehmen.

Für den Fall, dass man sich via Browser in den Webclient einwählt, ist 2FA übrigens immer sicherer als alles andere, auch wenn man denkt, dass man ein ganz tolles sicheres Passwort und/oder einen unangreifbaren Rechner hat, ganz einfach, weil das Token extrem sicher ist, auf jeden Fall als Hardwaretoken. Es kann nämlich nicht ausgelesen werden wie ein egal wie sicheres Passwort.

Was bleibt, ist ein ganz anderes Problem: ausgerechnet für die meistgenutzten und unsicheren Geräte "Smartphone" gibt es derzeit so gut wie keine Option, einen Mailclient zu nutzen, in den man sich mit 2FA einloggen kann - es gibt keinen, und mit IMAP geht das auch nicht, zumindest derzeit nicht. Das ist ein Problem, dass sich lohnen würde zu lösen, kann aber nicht von mailbox.org bewirkt werden.

Foto
1

Auch einen YubiKey kann man verlieren, das Problem ist daher nicht primär die Gerätesicherheit.

Foto
Foto
1

ich orakel mal: Vielen Threads hier kann man ja entnehmen , das viele User mit der Umsetzung der 2FA nicht zufrieden sind. Stichwort : App Passwörter, einbinden externer Accounts, Fehlermeldung wenn man sich vergessen hat auszuloggen, etwas lieblose Einrichtung etc..

Ich glaube das Mailbox.org an der Front nicht tätig wird, weil Open-Xchange auch an einer 2FA Lösung arbeitet und die dann die von Mbo ersetzen wird.

Foto
3

Ich kann dieses ganze Gejammer und Gemecker nicht mehr hören. In den letzten Tagen kamen Meldungen über Milliarden gehackte Passwörter.

Und hier gibt es Leute, die wegen der Sicherheit zu Mailbox gekommen sind. Mailbox.org wurde noch nicht gehackt, soweit ich das mitbekommen habe. Spam-Mail habe ich noch nie in meinem Postfach gesehen.

Und etliche Leute haben nichts besseres zu tun, als wegen fehlender Features bei Details der LogIn-Möglichkeiten nur noch abzumeckern und den Eindruck zu vermitteln, hier sei etwas unsicher. Einige habe 2FA noch nicht mal verstanden.

Das ist schon echt schräg.

An alle Meckerer hier: Wer von euch nutzt hier wirklich 2FA? Wer von euch mailt nur über den Webclient?

Ich mache das absehbar so, weil ich erkannt habe, dass die größte Sicherheitslücke ich mit meiner Bequemlichkeit bin, wenn ich alles auf dem völlig unsicheren Smartphone nutze. Und ihr?

Und ja, ich freue mich auch über Updates und Funktionserweiterungen bei mailbox.org. ich meckere aber nicht dauernd rum.

Foto
1

Das Anbringen konstruktiver Verbesserungsvorschläge ist ja wohl etwas deutlich anderes als "Gemecker".

Zu Deiner Frage: In meiner OTP-App sind 14 Dienste verzeichnet. Die, bei denen es nicht anders geht (z.B. Paypal) nutze ich zusätzliche SMS-TANs.

Und der einzige, bei dem ich 2FA nicht nutze ist zugleich der wichtigste: mailbox.org. Die Lösung mit der PIN ist ja laut Herrn Heinlein dafür gedacht, sich an öffentlichen bzw. nicht vertrauenswürdigen Rechnern anzumelden, ohne sein Passwort preiszugeben. Dieses Nutzungsszenario gibt es bei mir aber gar nicht.

Wenn man ein eigenes, komplexes Passwort für 2FA vergeben könnte, das unabhängig vom IMAP-Passwort ist, wären viele Kritiker hier wahrscheinlich schon zufrieden. Die Einschränkung auf eine vierstellige PIN erscheint mir willkürlich wenig.

Foto
Foto
3

@7586310 gut geschrieben, ich bin voll bei Dir. Wenn man sich nur mal annähernd mit dem beschäftigt was Mailbox.org unter der Motorhaube zu bieten hat (Stichwort: Mailheader), dann sieht man was man hier eigentlich hat. Einen sehr guten Provider der die neuesten technischen Entwicklungen unterstützt (Stichwort: MTA-STS). Es werden auf DKIM Einträge außerhalb der regulären Werbung gesetzt (auch wenn das vielleicht länger dauert, ist aber vollkommen okay) oder ein siebentägiges Backup angeboten.

Mannchens ist vielleicht nicht ganz benutzerfreundlich umgesetzt, aber sorry, Sicherheit ist leider nie Benutzerfreundlich. Dafür habe ich aber meine Daten für mich und Mails werden (soweit ist das weiß) nicht gescannt oder sonst ein Unfug mit gemacht.

Daher denke ich das Mailbox.org insoweit eine super Arbeit macht und die Diskussion insoweit nichts bringt. Wenn doch alles so schrecklich und unsicher ist, warum setzt ihr Mailbox.org ein, genau weil es doch sehr sicher und einfach gut ist. Und bitte bedenkt immer, was man hier für einen Euro bekommt. Ich denke auch das wir uns in Zukunft noch auf viele Feature freuen dürfen und der Preis wahrscheinlich gleich bleibt. So what, weiter so!

Foto
1

Bzgl. leicht nutzbar machen und kleines Problem habe ich eine Frage:

Wenn ich die 2FA wie angeleitet einrichte, mit Token (Android App: andOTP), ereignisbasiert, für's Webinterface, Rest Passwort, kann ich mich einmalig mit PIN + Token anmelden. Ein 2. Mal jedoch ist dies nicht mehr möglich, ein neuer Token wurde jedoch nicht erstellt, musste dann das PW zurücksetzen. Hat hier jmd. eine Idee? Danke vorab.

Foto
2

Kannst du einen anderen Tokengenerator ausprobieren? Sind ggf. benötigte Cookies erlaubt? Einige Tokengeneratoren haben Zeitsperren, in denen man sich nicht schnell erneut wieder anmelden kann, kann es das sein?

EDIT Der Fehler spricht für einen parallelen LogIn. Kann das sein?

Foto
1

An den Cookies lag es nicht, habe das nach Tests ausschließen können. Habe es gelöst, indem zeit- statt ereignisbasiert auswählte, das funzt nun, danke für deine Antwort!

Ebenfalls edit: Ja, aber nur per IMAP, was bei zeitbasiert keine Probleme bereitet.

Foto