Willkommen im User-Forum von mailbox.org
 

2FA - zweiter HW Token und/der FIDO2 Unterstützung

2361916 hat dies geteilt, 3 Monaten her
vorgeschlagen

Ich habe gestern 2FA mit meinem eigenen Yubikey eingerichtet:

Als Fallback kann ich 1. zweite Mailadresse, 2. Mobilfunknummer und/oder 3. Telefonpassword hinterlegen.

1. Ich würde gern weitere HW/SW Token als Fallback/weitere aktive Token einrichten und auf obige Optionen verzichten wollen. Ab wann wird dies möglich sein (oder übersehe ich die Option)?

2. Ab wann ist eine Unterstützung für FIDO2 Token geplant? Aus meiner Sicht gern innerhalb MFA und nicht nur als Passwortersatz.


btw. Ich bin irritiert, dass ich für die Anmeldung im Forum weiterhin mein altes Kennwort statt der 2FA Anmeldung nutzen muss.

Kommentare (2)

Foto
1

Es gibt (meines Wissens) keinen Zwang, eine Recovery-Methode hinzuzufügen. Dies stellt sicher, dass mailbox.org vollkommen anonym genutzt werden kann. Bei einem Passwort/Tokenverlust ist aber dann keine Recovery mehr mögloch.

Es lassen sich doch in den Optionen der 2FA mehrere Token hinzufügen.

Die 2FA gilt ausschließlich fürs Webinterface, nicht für Forum, Helpdesk, IMAP, SMTP etc. Man kann das in den Einstellungen deaktivieren, womit obige Dienste (inkl. Forum) nicht mehr genutzt werden können.

Bedenke auch, dass die 2FA mit Zugriff auf das Postfach (via IMAP reicht das Kennwort dafür aus, wenn nicht deaktiviert) deaktiviert werden kann.

Foto
1

Vielen Dank!


Keine Anhnung, warum ich die Option weitere Token hinzufügen zu könnem, nicht im ersten Anlauf gesehen habe - die anderen Fallbackmöglichkeiten (2. Email, etc) kann ich wieder entfernen.

Bleibt noch die Frage nach Unterstützung für FIDO2? Oder was muss ich verwenden, um einen FIDO2 Tocken für 2FA zu verwenden?

Foto
1

Meines Wissens wird FIDO2 derzeit nicht unterstützt. Die Authentifizierung zu modernisieren, ist aber zumindest auf der Roadmap von mailbox.org. Zumindest hat Peer Heinlein dies einmal hier im Forum geäußert. (OpenID)

Foto
1

Ich kann mich da nur anschließen: FIDO2 wäre eine super Sache!

Foto
1

Mit Zugriff auf das E-Mail-Postfach ist jederzeit ein Deaktivieren der 2FA möglich. Diese Recovery-Maßnahme lässt sich meines Wissens nach nicht deaktivieren.

FIDO2 oder zumindest U2F würde auch ich sehr begrüßen.

Foto
1

"Es lassen sich doch in den Optionen der 2FA mehrere Token hinzufügen." Meinen Sie damit, dass man unter "Zahnrad -> One Time-Passwörter" einfach "OTP-Generatoren und andere Yubikeys" auswählt, und dann dort seinen zweiten (dritten) Token aufsetzt? Ich nutze schon einen Mailbox-Yubikey, welcher dort halt eingetragen ist. Das Interface machte auf mich gar nicht den Eindruck, dass man dort einen zweiten Token hinterlegen kann, sondern eher, dass ich den, den ich schon hinterlegt habe, *ändere* oder *lösche* - deswegen frage ich auch so explizit nach.

Es steht hier zwar auch als offizielle Antwort, dass das gehen sollte (https://userforum.mailbox.org/topic/mehrere-yubikeys), aber das Interface ist dahingehend etwas uneindeutig.

Vielen Dank für Ihre Hilfe!

Foto
Foto
1

Hallo!

Sowohl was den Wunsch nach (zeitnaher) Unterstützung von FIDO2 anbelangt, möchte ich hier Unterstützung signalisieren, als auch die Frage des Vorposters bezüglich mehrere Yubikeys beantwortet haben, da ich in exakt der selben Situation bin!

Foto
1

Bzgl. meiner Frage habe ich einen eigenen" target="_blank">https://userforum.mailbox.org/topic/mehrere-yubikeys">eigenen Thread erstellt.

TL;DR: der mailbox.org Yubikey kann nicht mit anderen OTP Token kombiniert werden.

Foto
1

Danke für die Info! (Auch wenn es nicht die Antwort ist, die ich mir gewünscht hätte! ;-) )

Foto
1

Ich verstehe die Antwort im https://userforum.mailbox.org/topic/mehrere-yubikeys Thread anders, allerdings habe ich auch einen Yubikey Neo von Yubico und keinen "Yubikey von mailbox.org".

Zusätzlich zu meinem eigenen Yubikey verwende ich aktuell 2 OTP Softtoken (MS Authenticator@Android + Authy auf iOS) - diese ließen sich ohne Probleme einrichten.


Meinen Nitrokey Pro als zweiten HW Token einzurichten habe ich allerdings vorerst aufgegeben - irgendwie muss man mit den Key oder Seed Schlüssellängen rumspielen und irgendwann hatte ich keine Lust mehr.

Foto
1

Sie verstehen es falsch.


In der von Ihnen (wie auch von mir in dem verlinkten Thread) gemeinten Antwort geht es explizit um nicht von Mailbox provisionierte Yubikeys / OTP Tokens. Sie müssen unterscheiden zw. (1) "OTP-Generatoren und andere Yubikeys" und (2) "Yubikey von mailbox.org".

(a) Sie können mehrere von (1) miteinander kombinieren (was sie ja auch gemacht haben).


(b) Sie können nicht mehrere von (2) überhaupt erst erhalten.

(c) Sie können nicht (1) und (2) miteinander kombinieren (genau dies war aber meine Frage sowohl in diesem Thread als auch in dem separat von mir erstelltem - und auch diejenige, auf die 1492610 in diesem Thread Bezug nahm).



Punkt (a) wurde nicht angezweifelt bzw. eben ja schon im Forum verifiziert.


Punkt (c) aber ist nun neu etabliertes Wissen.



Ich glaube, Sie haben entweder nur zu schnell gelesen oder (a) und (c) vermengt. :)


----


Als Ergänzung: meinen Thread findet man hier: https://userforum-en.mailbox.org/topic/1218-2fa-zweiten-yubikey-nutzten-set-up-second-yubikey


Die Verlinkung hat in der ersten Antwort auf die Frage von 1492610 nicht gut geklappt (und man kann wohl leider nicht immer seine Beitrâge editieren). Anscheinend scheinen die Forums-Datenbanken für verschiedene Spracheinstellungen auch voneinander getrennt zu sein (man bemerke das en in meinem Link), sodass mein Thread von dem deutschsprachigen Forum aus anscheinend nicht via Suche zu finden ist...

Foto
1

deleted

Foto
1

@5810821: Warum soll man keinen Yubikey von mailbox.org zusammen mit anderen OTP Generatoren nutzen können? Ein mailbox.org-Yubikey ist schließlich auch ein normaler Yubikey, den man unter der Option "OTP-Generatoren und andere Yubikeys" eintragen kann.

Oder spricht da was dagegen?

Foto
1

Hallo @lufer,

Sie haben vollkommen Recht, man kann natürlich den mailbox.org-Yubikey als normalen Yubikey unter der Option "OTP-Generatoren und andere Yubikeys" eintragen, und dann auch mit anderen OTP-Generatoren nutzen. Dann authentifiziert sich der Yubikey aber gegen den OTP-Server von Yubico, womit Yubico Daten darüber erhält, wann man sich bei mailbox.org authentifiziert.

Wenn Sie den mailbox.org-Yubikey als solchen auch benutzen, authentifiziert sich dieser hingegen gegen den extra von mailbox.org on-premise gepflegten OTP-Server; damit fließen keine Daten an Yubico.

Sie können also den OTP-Slot auf dem mailbox.org-Yubikey löschen und den Yubikey dann normal nutzen. Aber wenn sie die mailbox.org-Provisionierung nutzen möchten, können Sie keinen weiteren OTP-Token damit kombinieren (was ich schade und suboptimal finde - kann aber nur vermuten, dass die technische Implementierung für mailbox.org bis dato zu aufwendig ist).

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen