2FA nicht per SMS da zu unsicher, aber für Passwort-Reset schon?
unbeantwortet
Mailbox sagt, 2FA per SMS sei zu unsicher. Gleichzeitig kann man aber sein Passwort per SMS zurücksetzen. Dabei wird 2FA natürlich deaktiviert.
Klar, man braucht eine Methode zum zurücksetzen des Passworts. Aber aktuell scheint mir das letztlich nicht ganz konsequent.
Ich setze also einfach das Passwort des Email-Accounts zurück, soweit ich das sehe braucht man dazu nur die Email-Adresse, nichts weiter. Dann fängt man die SMS ab. Schon habe ich 2FA ob per Yubikey oder ähnliches umgangen. Wo ist dann also der Vorteil keine SMS für 2FA zu nutzen? Oder alternativ, wie könnte man den Passwort-Reset besser machen?
Mich würde hier auch sehr die Meinung von Mailbox.org interessieren. Gibt es dazu Überlegungen?
Es is keine offizielle Aussage von mailbox.org, dass SMS zu unsicher sei. Ich wüßte auch nicht, wo wir die getroffen hätten.
Das Problem am Login per SMS sind schlichtweg die Kosten. SMS kosten Geld. Bei jedem Login neu. Und das ist bei den kleinen Margen von mailbox.org schwierig. Man kann das leicht als Bank machen wenn man sein Geld mit der Kontoverwaltung etc. in ganz anderen Summen verdient. Oder mit einem Portal wo Werbung geschaltet wird und sich User eh nur selten einloggen. Aber bei einem Webmaildienst wie mailbox.org bringt das diverse Fragen mit sich:
Das sind alles operative Fragen. Aber mit Sicherheit von 2FA hat das für mich nichts zu tun.
Guten Morgen Zusammen.
@Peer: schau mal hier bzgl. der Aussage: https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten
Ihr schreibt es dort selbst.
„SMS-basierte 2FA bieten wir nicht an und werden es auch zukünftig nicht anbieten, da diese Authentifizierungsmethode als nicht sicher gilt und somit von der Nutzung abgeraten wird.“
ich habe mal gelesen, das Open-Xchange in einer der nächsten Versionen 2FA von "Haus aus " anbieten will. Ich gehe mal davon aus das die das dann besser umsetzen als es aktuell der Fall ist. Die Kritikpunkte wurden ja hier schon im Forum gründlich diskutiert.
Bis dahin glaube ich bringt die 2FA für den Normalnutzer keinen so großen Sicherheitsgewinn. Insbesondere dann, wenn man sich nur vom Smartphone / eigenen PC einloggt.
Kommentare wurden auf dieser Seite deaktiviert!