Willkommen im User-Forum von mailbox.org
 

2FA nicht per SMS da zu unsicher, aber für Passwort-Reset schon?

6938853 hat dies geteilt, 18 Tage her
unbeantwortet

Mailbox sagt, 2FA per SMS sei zu unsicher. Gleichzeitig kann man aber sein Passwort per SMS zurücksetzen. Dabei wird 2FA natürlich deaktiviert.

Klar, man braucht eine Methode zum zurücksetzen des Passworts. Aber aktuell scheint mir das letztlich nicht ganz konsequent.

Ich setze also einfach das Passwort des Email-Accounts zurück, soweit ich das sehe braucht man dazu nur die Email-Adresse, nichts weiter. Dann fängt man die SMS ab. Schon habe ich 2FA ob per Yubikey oder ähnliches umgangen. Wo ist dann also der Vorteil keine SMS für 2FA zu nutzen? Oder alternativ, wie könnte man den Passwort-Reset besser machen?


Mich würde hier auch sehr die Meinung von Mailbox.org interessieren. Gibt es dazu Überlegungen?

Kommentare (5)

Foto
1

Es is keine offizielle Aussage von mailbox.org, dass SMS zu unsicher sei. Ich wüßte auch nicht, wo wir die getroffen hätten.

Das Problem am Login per SMS sind schlichtweg die Kosten. SMS kosten Geld. Bei jedem Login neu. Und das ist bei den kleinen Margen von mailbox.org schwierig. Man kann das leicht als Bank machen wenn man sein Geld mit der Kontoverwaltung etc. in ganz anderen Summen verdient. Oder mit einem Portal wo Werbung geschaltet wird und sich User eh nur selten einloggen. Aber bei einem Webmaildienst wie mailbox.org bringt das diverse Fragen mit sich:

  • Wie ist das zu finanzieren? Sollen User pro SMS jeweils die notwendigen 8 Cent zahlen?
  • Wie ist mit Prepaid-Konten umzugehen, die kein Geld mehr haben und die SMS nicht mehr bezahlt werden kann?
  • Was passiert, wenn jemand für eine fremde Mailadresse ständig Loginversuche macht? Können wir diese Kosten dem User in Rechnung stellen?

Das sind alles operative Fragen. Aber mit Sicherheit von 2FA hat das für mich nichts zu tun.

Foto
1

Danke für Deine Antwort, Peer. Macht komplett Sinn und verstehe ich was du sagst.

Ich beziehe mich genau auf die Aussage die Den unten gepostet hat.

„SMS-basierte 2FA bieten wir nicht an und werden es auch zukünftig nicht anbieten, da diese Authentifizierungsmethode als nicht sicher gilt und somit von der Nutzung abgeraten wird.“

Vielleicht sollte man dann den Artikel einfach anpassen? Klar, SMS ist unsicherer als über verschlüsselte Kanäle da hat der Artikel natürlich recht. Aber bei der Aussage kommt eben die Frage auf warum der Passwort-Reset über SMS dann kein Sicherheits-Loch sein sollte.


Wo Du es ansprichst, eine 2FA bei jedem Login: Ich würde mir eh sehr wünschen das ich Geräte per Token oder ähnlichem Freischalten kann wie es bei Amazon oder Google geht. ('Für dieses Gerät nicht wieder Fragen'). Mir mit normalem Sicherheitsbedürfnis reicht es völlig aus, wenn ich mich auf meine Geräte nur normal per Passwort einloggen kann wenn sie einmal per 2FA authentifiziert sind. Mir geht es darum das es kein anderes Gerät von außen kann ohne vorher "FA durchlaufen zu haben.

Ich würde schätzen für 80% der Leute ist ein geleaktes Passwort die größte Gefahr wo dann Dritte probieren sich einzuloggen. Auf meinen Geräten selbst brauche/möchte ich gar kein 2FA bei jedem Login, da es doch sehr viel unkomfortabler ist.

Klar, man bräuchte dann auch eine Übersicht über die authentifizierten Geräte in den Settings oder so und die Möglichkeit die authentifizierten Geräte zu Löschen z.B. beim Verlust des Geräts. Aber damit könnte man es auch mit mehreren Geräten nutzen (Smartphone und Laptop sind bei mir eigentlich komplett parallel in der Benutzung, nur ein möglicher Login geht da schon stark auf den Komfort).


Schönen Gruß

Foto
1

Ist denn was in die Richtung geplant ?

Foto
Foto
1

Guten Morgen Zusammen.

@Peer: schau mal hier bzgl. der Aussage: https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten

Ihr schreibt es dort selbst.

„SMS-basierte 2FA bieten wir nicht an und werden es auch zukünftig nicht anbieten, da diese Authentifizierungsmethode als nicht sicher gilt und somit von der Nutzung abgeraten wird.“

Foto
1

ich habe mal gelesen, das Open-Xchange in einer der nächsten Versionen 2FA von "Haus aus " anbieten will. Ich gehe mal davon aus das die das dann besser umsetzen als es aktuell der Fall ist. Die Kritikpunkte wurden ja hier schon im Forum gründlich diskutiert.


Bis dahin glaube ich bringt die 2FA für den Normalnutzer keinen so großen Sicherheitsgewinn. Insbesondere dann, wenn man sich nur vom Smartphone / eigenen PC einloggt.