Willkommen im User-Forum von mailbox.org
 

Passwort vergessen

Jan hat dies geteilt, 4 Monaten her
erledigt

Hallo,


wenn man sein PW vergessen und die 2FA kann man sich ja einen Link an das Postfach senden lassen das dann auch die 2FA deaktiviert.

Kann man das auch abschalten ? Denn jemand bekommt mein PW raus, deaktiviert damit die 2FA loggt sich in mein Konto ein und kündigt es oder was auch immer.

Kommentare (4)

Foto
1

Wenn du keine EMail Adresse oder Telefonnummer hinterlegst, dann kannst du das Passwort nicht zurücksetzen. Wenn du deine 2FA verlierst, ist dein Account verloren.

Foto
1

Sorry @4030395M, aber deine Antwort ist leider falsch.

Unabhängig davon, was man in den Einstellungen hinterlegt hat, kann man die 2FA immer durch Zugriff auf das eigene Postfach (z.B. IMAP/POP3) deaktivieren. Dies lässt sich derzeit auch nicht abstellen. Fände ich auch besser, wenns dafür eine Option gäbe.

Du kannst lediglich IMAP/POP3 etc. deaktivieren, das deaktiviert aber unter anderem auch den Zugriff hier fürs Forum.

Foto
1

Du meinst doch Passwort Reset per EMail? Wenn du das Passwort nicht mehr kennst, kommst du auch nicht mehr an die EMails.

Ich habe dort jedenfalls eine alternative EMail Adresse hinterlegt!

Foto
1

Wenn Du das Passwort nicht mehr kennst, aber bspw. noch einen konfigurierten E-Mail-Client hast, kannst Du Dir das Passwort zusenden lassen. Dazu braucht es keine alternative Adresse.

Foto
1

Klar. Es ist aber wahrscheinlich, das alles weg ist. Zum Beispiel die Festplatte defekt. Installierte Programme nicht mehr verfügbar und Passwort nirgendwo anders notiert.

Jemanden ist gerade der ganze Computer geklaut worden. Der kommt nicht mehr an seine Firmen EMails, weil der das Passwort nicht (mehr) kennt und die Telekom nicht mehr bei t-online Adressen helfen will.

Foto
1

Das Thema war aber nicht "Wie sieht eine ordentliche Recovery-Strategie aus?" sondern "Ich benötige diese Recovery-Möglichkeit nicht und will sie deaktivieren."

Foto
Foto
1

oder anders : So lange diese Möglichkeit besteht brauche ich die 2FA ja auch nicht aktivieren. Sobald jemand das Kennwort hat, kommt er so oder so auch komplett ans Konto

Foto
1

Naja, das kommt auf dein Threat-Modell an. Die 2FA erlaubt dir, dich ohne Gefahr auf fremden nicht vertrauenswürdigen Geräten einzuloggen. Gegen einen Verlust des Passworts hilfft sie dagegen nicht.

Foto
1

Naja, je nachdem wie man es sieht.

Es schützt eben genau doch VOR einem Verlust des Passworts.

Es schützt nicht BEI (bereits erfolgtem) Verlust.


Aber ich persönlicher find's ja cooler, wenn die Daten gar nicht erst kompromittiert werden.

Foto
1

@Peer Heinlein: Das Problem ist halt, dass es aktuell keine Möglichkeit gibt, sich bei kompromittiertem Passwort gegen eine Account-Übernahme zu wehren. Normalerweise sollte es ja ausreichen, sich per 2FA am Webinterface anzumelden und dort das Passwort zu ändern, dann ist der Angreifer ausgesperrt.

Mit diesem nicht-deaktivierbaren Recovery-Feature kann der Angreifer aber trotz aktiviertem 2FA den Account übernehmen und das Passwort ändern.

Foto
1

@Stephan: Genau so ist es.


Sowohl Passwort als auch 2FA (PIN + OTP-Secret) erlauben Vollzugriff auf den Account inkl. aller Einstellungen. Während man das OTP-Secret recht gut schützen kann, ist das beim Passwort nur bedingt möglich. Mein Passwort ist bei verschiedenen Anwendungen (Thunderbird, FairEmail, DAVx5 etc.) auf verschiedenen Clients hinterlegt, zusätzlich wird es hier fürs Forum benötigt. Was fehlt, wären App/Protokoll-spezifische Passwörter ;-).

Foto
1

da hast du Recht. Aber Herrn Heinlein hat ja durchblicken lassen, das auch an einer Verbesserung der aktuellen Situation gearbeitet wird. Also ist noch Hoffnung da.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen