Willkommen im User-Forum von mailbox.org
 

2FA: Passwort und OTP getrennt

Thomas hat dies geteilt, 9 Monaten her
vorgeschlagen

Hallo Mailbox.org Team,

habt ihr zufällig auf der Roadmap, die 2FA analog den gängigen Webdiensten anzupassen?

Also Passwort und OTP getrennt.

Beim Kombifeld PIN+OTP spielt leider mein Passwortmanager nicht mit.

Außerdem (vielleicht bin ich hier ein bisschen paranoid) möchte ich neben dem OTP ein möglichst komplexes Passwort verwenden.

Viele Grüße

Thomas

Kommentare (4)

Foto
1

Zumindest unter KeepassXC geht das, indem man "{USERNAME}{TAB}{PASSWORD}{TOTP}{ENTER}" als Auto-Type-Sequenz nutzt.

Nichts desto trotz würde ich mir auch den Umbau der 2FA wie angekündigt wünschen.

Foto
1

Funktioniert bei allen Passwort-Managern, wenn die PIN im Passwortfeld alleinig eingetragen wird und das Haupt-Passwort separat in einem eigenen Feld. So kann dann der Passwortmanager die PIN eintragen und den TOTP-Code in die Zwischenablage kopieren und der Nutzer muss nur noch im Webseiten-Passwortfeld mit STRG+V den TOTP-Code "fallen lassen" (alternativ beim Mac mit CMD+V).

Foto
2

Ich habe es aufgegeben zu hoffen. Die 2fa bei Mailbox ist ein Krampf und es scheint seit Jahren keine Änderung daran gewollt. Klar, es gibt auch gute Aspekte. Die Trennung von Login-Passwort (was hier eben nur ein kurze Pin ist) und Account Passwort ist dabei natürlich wirklich gut gedacht.


Aber das Bestehen auf den sehr kurzen Pin bleibt mir unbegreiflich und ist frustrierend, muss ich zugeben. Es kommt wohl aus dem Glauben, dass der zweite Faktor nicht in falsche Hände geraten kann.


Die Sicherheit von kurzen Pins mit OTP Token ist sicher ausreichend, aber es geht hier nicht um ausreichend. Sicherheit basiert einfach auf Stochastik und warum soll ich mir die Wahrscheinlich durch einige Zeichen mehr nicht um Faktoren weiter senken?

Dazu kommt, beim Login mit relativ kurzen Passwörtern ist ein Brute-Force Schutz besonders wichtig. Und die Details dazu kenne ich nicht, wodurch ich die Sicherheit noch weniger einschätzen kann.


Die Argumentation von Mailbox hier im Forum hat bei mir viel Vertrauen verspielt, denn sie zielte nie darauf ab eine bessere Lösung zu finden, sondern nur die eigene Entscheidung zu rechtfertigen.

Foto
3

Ich unterstütze diesen Vorschlag ebenfalls. Die Bedienbarkeit wird aus meiner Sicht durch die Kombination von PIN und OTP unnötig eingeschränkt. Eine separate Abfrage des Token nach erfolgreichem Login mit dem Passwort, dazu eine E-Mail, falls der Login von einem unbekannten Ort, mit einem unbekannten Browser oder einer unbekannten App (IMAP!) erfolgte, das wäre klasse.

Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen