Fehlgeschlagene Loginversuche anzeigen

Ich würde dann den Login-Alias ändern, um meinen Account zusätzlich abzusichern.

Das heißt, Du prüfst regelmäßig auf fehlschlagende Logins und änderst dann den Login-Alias, auch auf allen Clients?

Erscheint mir etwas viel Aufwand für wenig Sicherheitsgewinn, wenn ein starkes Passwort verwendet wird.

Im Normalfall sollte man ja keine fehlgeschlagenen Logins haben. War die E-Mail-Adresse aber Teil eines Datenleaks, könnte man dann daraus folgern, dass man "zum Angriffsziel" wurde. Fände ich nicht uninteressant.

Bei einem anderen Anbieter konnte ich einsehen, dass ich Loginversuche aus dem Ausland hatte und habe dann den Login-Nutzername geändert. Seitdem gab es dort keine fehlgeschlagenen Logins mehr. Abgesehen von einem sicheren Passwort hätte man dann mit einem unbekannten Login-Alias wieder zwei unbekannte Faktoren. Zudem ggf. ein "gutes Gefühl", wenn man keine fehlgeschlagenen Logins sieht.

Wäre für mich jetzt aber insgesamt auch keine entscheidende Funktion, wollte es nur einmal vorschlagen.

E-Mail-Adressen sind ja selten geheim, schließlich möchtest Du dort ja E-Mails empfangen. Meine Adressen finden sich z.B. auch in Git-Commits oder als Teil von PGP-Keys.

Das mit dem "guten Gefühl" kann ich verstehen, aber bei mir sorgen da eher ein sicheres Passwort und aktives 2FA für.

Nicht persönlich nehmen, aber ich wäre gegen eine Implementierung, da sie aus meiner Sicht zu wenig Mehrwert bietet und die Ressourcen für die Umsetzung woanders (z.B. bessere 2FA-Umsetzung) fehlen.

Hier würde mich aktuell eher interessieren, wie mailbox.org mit (fehlgeschlagenen/erfolgreichen) Login-Versuchen aus anderen/Account unüblichen Regionen (Brasilien, Russland, China usw.) umgeht.

Wird man hier z. Bsp. proaktiv per E-Mail darüber benachrichtigt, wenn ich mich üblicherweise aus Deutschland an meinem Account/Postfach anmelde und jetzt z. Bsp. die erste erfolgreiche Anmeldung aus China erfolgt (analog Google Sicherheitswarnungen)?

Da ich in den letzten 8 Jahren weder bei mir noch von mir geworbenen Nutzern von solchen Meldungen gehört habe, denke ich nicht, dass es solche Warnmeldungen gibt. Wahrscheinlich gibt es Sperren nach einigen Fehlversuchen aber ich glaube nicht, dass das für Nutzer bisher sichtbar ist (daher mein Vorschlag).

Und zu Stephans Beitrag: Ja, die bessere 2FA-Unterstützung würde ich auch priorisieren (darauf warten wir ja auch schon einige Jahre). Ich fände es diesbezüglich auch mal hilfreich, eine Art Roadmap für zukünftige Features etc. zu sehen (auch wann bzw. ob Open-Xchange 8 eingeführt wird).

Für eine Roadmap wäre ich definitiv auch. Schafft einfach Klarheit & Transparenz wohin die Reise geht.

Verstehe zwar, wenn manche Entwickler/Firmen bedenken dazu haben (erst Recht, wenn man Abhängigkeiten von Dritten berücksichtigen muss). Man muss sich halt überlegen, wie man so etwas ordentlich kommuniziert.

Eine Roadmap muss ja nicht verbindliche Termine enthalten. Es würde schon helfen zu sehen, was und in welcher Reihenfolge die nächsten 2-3 Jahre geplant ist umzusetzen. Vielleicht auch mit unverbindlichen Meilensteinen versehen.