Willkommen im User-Forum von mailbox.org
 

2FA - zweiter HW Token und/der FIDO2 Unterstützung

2361916 hat dies geteilt, 53 Tage her
vorgeschlagen

Ich habe gestern 2FA mit meinem eigenen Yubikey eingerichtet:

Als Fallback kann ich 1. zweite Mailadresse, 2. Mobilfunknummer und/oder 3. Telefonpassword hinterlegen.

1. Ich würde gern weitere HW/SW Token als Fallback/weitere aktive Token einrichten und auf obige Optionen verzichten wollen. Ab wann wird dies möglich sein (oder übersehe ich die Option)?

2. Ab wann ist eine Unterstützung für FIDO2 Token geplant? Aus meiner Sicht gern innerhalb MFA und nicht nur als Passwortersatz.


btw. Ich bin irritiert, dass ich für die Anmeldung im Forum weiterhin mein altes Kennwort statt der 2FA Anmeldung nutzen muss.

Kommentare (1)

Foto
1

Es gibt (meines Wissens) keinen Zwang, eine Recovery-Methode hinzuzufügen. Dies stellt sicher, dass mailbox.org vollkommen anonym genutzt werden kann. Bei einem Passwort/Tokenverlust ist aber dann keine Recovery mehr mögloch.

Es lassen sich doch in den Optionen der 2FA mehrere Token hinzufügen.

Die 2FA gilt ausschließlich fürs Webinterface, nicht für Forum, Helpdesk, IMAP, SMTP etc. Man kann das in den Einstellungen deaktivieren, womit obige Dienste (inkl. Forum) nicht mehr genutzt werden können.

Bedenke auch, dass die 2FA mit Zugriff auf das Postfach (via IMAP reicht das Kennwort dafür aus, wenn nicht deaktiviert) deaktiviert werden kann.

Foto
1

Vielen Dank!


Keine Anhnung, warum ich die Option weitere Token hinzufügen zu könnem, nicht im ersten Anlauf gesehen habe - die anderen Fallbackmöglichkeiten (2. Email, etc) kann ich wieder entfernen.

Bleibt noch die Frage nach Unterstützung für FIDO2? Oder was muss ich verwenden, um einen FIDO2 Tocken für 2FA zu verwenden?

Foto
1

Meines Wissens wird FIDO2 derzeit nicht unterstützt. Die Authentifizierung zu modernisieren, ist aber zumindest auf der Roadmap von mailbox.org. Zumindest hat Peer Heinlein dies einmal hier im Forum geäußert. (OpenID)

Foto
1

Ich kann mich da nur anschließen: FIDO2 wäre eine super Sache!

Foto
1

Mit Zugriff auf das E-Mail-Postfach ist jederzeit ein Deaktivieren der 2FA möglich. Diese Recovery-Maßnahme lässt sich meines Wissens nach nicht deaktivieren.

FIDO2 oder zumindest U2F würde auch ich sehr begrüßen.

Foto
1

"Es lassen sich doch in den Optionen der 2FA mehrere Token hinzufügen." Meinen Sie damit, dass man unter "Zahnrad -> One Time-Passwörter" einfach "OTP-Generatoren und andere Yubikeys" auswählt, und dann dort seinen zweiten (dritten) Token aufsetzt? Ich nutze schon einen Mailbox-Yubikey, welcher dort halt eingetragen ist. Das Interface machte auf mich gar nicht den Eindruck, dass man dort einen zweiten Token hinterlegen kann, sondern eher, dass ich den, den ich schon hinterlegt habe, *ändere* oder *lösche* - deswegen frage ich auch so explizit nach.

Es steht hier zwar auch als offizielle Antwort, dass das gehen sollte (https://userforum.mailbox.org/topic/mehrere-yubikeys), aber das Interface ist dahingehend etwas uneindeutig.

Vielen Dank für Ihre Hilfe!

Foto