Rückmeldungen der mailbox.org BETA Tester
Salut, ich fange mal an, meine Rückmeldungen zur Beta hier aufzuschreiben. Ich habe das bewusst unter Idee einsortiert, da es eine Beta ist, und für mich Dinge, die da auffallen, nicht wirklich Probleme sind.
Einrichtung der neuen 2FA: die Einrichtung ist sehr einfach. Noch geht das nur per Authenticator-App, aber es funktioniert. Cool ist das Single-Sign-On. Weitere Verfahren sollen folgen, es sind wohl auch App-Passwörter für IMAP und weitere geplant.
Single-Sign-On: das funktioniert, aber noch nicht für alle von Mailbox angebotenen Dienste. Es wäre auch toll, wenn dann alle Links (auch die zum Forum und Support) auf der Website auftauchen wenn man eingeloggt ist, weil man dann alle Bereiche wirklich per SSO aus dem Backend erreichen kann. Ich nutze mailbox.org auf meinen mobilen Geräten nämlich ab sofort nur noch per Web, weil ich mit dem SSO überall direkt hinkommen, und so lokale Apps und lokal gespeicherte Daten vermeide.
Alternativ wäre es toll, wenn man einzelne Dienste nach einer einheitlichen SubDomain-Bezeichnung ansteuern könnte, sowas wie userforum.mailbox.org, blog.mailbox.org etc. Das wäre leichter zu merken.
App-Passwörter: ich wollte nach Aktivierung der neuen 2FA die App-Passwörter nutzen. Diese scheinen aber nicht zu funktionieren in der Beta, ich muss derzeit das Hauptpasswort nutzen.
Ich finde diese Idee klasse 
2FA: Es funktioniert auch mit der Authenticator-Hardware von Reiner SCT, mit der Passwort-App auf einem iPhone oder mit dem Passwort-Manager Enpass (und sicher auch anderen).
Single-Sign-On: Kann ich komplett unterstreichen.
App-Passwörter: Bei mir funktioniert es problemlos. Eingerichtet nach Beta-Beitritt, aber vor 2FA-Einrichtung. Verwende(te) die mailbox.org-Anmeldung und nicht die Anmeldung mit eigener Domain. Da scheint es unterschiedl. Varianten der Erzeugung der Passwörter zu geben (https://userforum.mailbox.org/topic/7683-2fa-beta-applikationspassworter-fur-caldavcarddav).
2FA: Es funktioniert auch mit der Authenticator-Hardware von Reiner SCT, mit der Passwort-App auf einem iPhone oder mit dem Passwort-Manager Enpass (und sicher auch anderen).
Single-Sign-On: Kann ich komplett unterstreichen.
App-Passwörter: Bei mir funktioniert es problemlos. Eingerichtet nach Beta-Beitritt, aber vor 2FA-Einrichtung. Verwende(te) die mailbox.org-Anmeldung und nicht die Anmeldung mit eigener Domain. Da scheint es unterschiedl. Varianten der Erzeugung der Passwörter zu geben (https://userforum.mailbox.org/topic/7683-2fa-beta-applikationspassworter-fur-caldavcarddav).
Hallo @7586310, danke für den Anfang. Tolle Idee!
Zwei-Faktor-Authentifizierung: Die Einrichtung funktionier einwandfrei und sehr einfach. Bisher keine Probleme feststellen können. Läuft mit gängigen Apps wie z. B. OTP Auth (iOS).
Single-Sign-On: Schließe mich den beiden Vorredner an.
Applikationspasswörter: Bisher keine Fehler feststellen können. Diese funktionieren wie vor der Beta auch, einwandfrei. Freue mich, sobald dort auch IMAP unterstützt wird.
Weboberfläche: Das neue Design für die Weboberfläche ist sehr ansprechend.
Hallo @7586310, danke für den Anfang. Tolle Idee!
Zwei-Faktor-Authentifizierung: Die Einrichtung funktionier einwandfrei und sehr einfach. Bisher keine Probleme feststellen können. Läuft mit gängigen Apps wie z. B. OTP Auth (iOS).
Single-Sign-On: Schließe mich den beiden Vorredner an.
Applikationspasswörter: Bisher keine Fehler feststellen können. Diese funktionieren wie vor der Beta auch, einwandfrei. Freue mich, sobald dort auch IMAP unterstützt wird.
Weboberfläche: Das neue Design für die Weboberfläche ist sehr ansprechend.
Die neue 2FA funktioniert gut. Allerdings muss ich mich ständig, mehrmals am Tag, neu einloggen, da die Sitzung beendet wurde. Unter "Sicherheit" ist nach wie vor bei "Automatisch Abmelden: Nie" ausgewählt.
Die neue 2FA funktioniert gut. Allerdings muss ich mich ständig, mehrmals am Tag, neu einloggen, da die Sitzung beendet wurde. Unter "Sicherheit" ist nach wie vor bei "Automatisch Abmelden: Nie" ausgewählt.
Hi,
ich habe gerade eben mal Login 2.0 getestet und das ist mir aufgefallen:
Grundsätzlich solltet ihr überlegen, wie ihr Feedback sammeln wollt. Hier im Forum ohne eigene Kategorie etc. scheint mir nicht optimal zu sein.
Hi,
ich habe gerade eben mal Login 2.0 getestet und das ist mir aufgefallen:
Grundsätzlich solltet ihr überlegen, wie ihr Feedback sammeln wollt. Hier im Forum ohne eigene Kategorie etc. scheint mir nicht optimal zu sein.
Ich habe temporär die BETA verlassen. Wieso wird nach der Reaktivierung der BETA und LOGIN 2.0 plötzlich nach einem OTP gefragt, obwohl ich das noch nicht eingerichtet habe? Ich habe das zuvor deaktiviert... Vor dem Verlassen der BETA und vor der Neueinrichtung der BETA und mich dazwischen immer abgemeldet. OTP habe ich natürlich schon gelöscht; jetzt darf ich wohl das Passwort zurücksetzen. s/BETA/ALPHA?
Ich habe temporär die BETA verlassen. Wieso wird nach der Reaktivierung der BETA und LOGIN 2.0 plötzlich nach einem OTP gefragt, obwohl ich das noch nicht eingerichtet habe? Ich habe das zuvor deaktiviert... Vor dem Verlassen der BETA und vor der Neueinrichtung der BETA und mich dazwischen immer abgemeldet. OTP habe ich natürlich schon gelöscht; jetzt darf ich wohl das Passwort zurücksetzen. s/BETA/ALPHA?
Passwort zurückgesetzt und es wird noch immer nach dem OTP gefragt. Wollt ihr euch euren "guten" Ruf komplett ruinieren?
Passwort zurückgesetzt und es wird noch immer nach dem OTP gefragt. Wollt ihr euch euren "guten" Ruf komplett ruinieren?
Backup Security-Codes
Werden Security-Codes als Backup-Funktion noch hinzugefügt? Ich möchte ungern extra ein zweites Smartphone, etc. nur für diesen Fall anschaffen. Einen zweiten Security-Key evtl. schon, aber diese Möglichkeit gibt es ja (noch?) nicht.
In jedem Fall sollte für ein sehr deutlicher Hinweis dazu, dass bei verlorenem 2FA-Gerät der Login prinzipiell nicht mehr möglich ist. Oder gibt es doch dafür Hintertüren?
Backup Security-Codes
Werden Security-Codes als Backup-Funktion noch hinzugefügt? Ich möchte ungern extra ein zweites Smartphone, etc. nur für diesen Fall anschaffen. Einen zweiten Security-Key evtl. schon, aber diese Möglichkeit gibt es ja (noch?) nicht.
In jedem Fall sollte für ein sehr deutlicher Hinweis dazu, dass bei verlorenem 2FA-Gerät der Login prinzipiell nicht mehr möglich ist. Oder gibt es doch dafür Hintertüren?
Ich verstehe die Verbesserungen der Beta offenbar nicht, und finde die neue 2FA scheiße!
1.) Bei der neuen 2FA habe ich genau das Problem, vor dem die alte 2FA geschützt hat. Bei der alten 2FA habe ich mich NICHT mit meinem regulären Passwort angemeldet, sondern mit einem ANDEREN neuen Passwort in das der zweite Faktor integriert war. Geniale Idee. So konnte ich mich von einem unsicheren Gerät (z.B. GästePC im Hotel, Laptop bei Freunden, PC auf der Arbeit etc.) einwählen, ohne dass mein Hauptpasswort eingegeben werden musste. Mit der neuen 2FA gebe ich aber das Hauptpasswort ein!!! Wähle ich mich also auf einem unsicheren Gerät mit 2FA ein, dann hat jeder der die Kontrolle über dieses unsichere Gerät hat, sofort mein Hauptpasswort, und kann auf mein Postfach zugreifen (mails lesen und in meinem Namen versenden), sowie eventuell auch auf Kalender, Adressbuch und Drive. Um das zu umgehen müsste ich erst mühsam für jeden Zugangsweg ein separates App-passwort eingeben ... in der Hoffnung dass ich keinen Zugangsweg vergesse und damit offen lasse. Aktuell ist das übrigens noch gar nicht möglich, da es kein separates imap bzw. smtp-Passwort gibt!!! Die neue 2FA ist für mich ein krasser Rückschritt was die Sicherheit anbelangt. Reine Kosmetik für Leute die sich sicher fühlen wollen aber entweder keine Ahnung haben, oder gänzlich andere Anforderungen wie ich. 2FA ist meines Wissens NICHT dafür gedacht, dass ich ein unsicheres Billigpasswort wie qwertz123 durch einen zweiten Faktor absichere, sondern dafür, dass ich mich von unsicheren Geräten einwählen kann, ohne dass man damit mein Hauptpasswort in die Finger bekommt, und damit über die Umwege IMAP, SMTP, caldav, carddav, webdav etc.) doch wieder auf all meine Daten zugreifen kann. Sofern ich auf dem Holzweg bin, bitte ich um Erhellung, aber ich finde die neue 2FA scheiße, und die alte 2FA viel besser.
2.) Auch die Verbesserung von SSO verstehe ich auch nicht so ganz. Ich konnte mich bisher auf der OX-Weboberfläche immer schon ohne erneutes Passwort auf fast allen Diensten einwählen (Mail, Kalender, Adressbuch, Drive, Einstellungen, etc.). Lediglich das Forum und die Videokonferenzen waren separat. Natürlich ist das eine Verbesserung, aber jetzt m.E. nix weltbewegendes.
Mein persönliches FAZIT: Die Beta brauche ich nicht und will ich nicht! Sollte die Beta für alle ausgerollt werden, würde das bedeuten, dass ich mich bei meinem Arbeitgeber und bei meiner Freundin nicht mehr auf deren PCs in die Weboberfläche einwählen kann, weil ich damit meinem Arbeitgeber und meiner Freundin mein IMAP/SMTP Passwort mit Benutzernamen auf dem Silbertablett serviere. Die Lösung wie im Blog angekündigt, dass ich irgendwann IMAP und SMTP deaktivieren kann, ist doch keine Lösung! Dann kann ich ja gleich die Option nehmen "alles außer Webzugang deaktivieren". Das ist zwar vielleicht sicher, aber total unpraktisch. Weil nur noch über den Browser mailbox.org zu verwenden kommt für mich nicht in Frage. Ich verwende Mail/Adressbuch/Kalender und Drive fast nie über den Browser, sondern fast immer über Apps/Programme wie z.B. die Systemapps meiner Mobilgeräte (Smartphone, Tablet), oder Programme am PC (Thunderbird), etc... . Insofern ist die neue 2FA zumindest für mich ein krasser Rückschritt. Ich könnte mailbox.org dann nur noch von sicheren Geräten verwenden, die ausschließlich unter meiner Kontrolle sind ... genau dann ist aber 2FA komplett sinnlos .... immerhin könnte ich falls die Beta wirklich verpflichten für alle ausgerollt wird 2FA deaktivieren, und wäre wieder zurück in der Steinzeit, könnte aber weiterhin IMAP/SMTP etc. auf meinen mobilen Endgeräten mit Apps und am PC mit Drittprogrammen verwenden ohne ausschließlich auf die Weboberfläche von OX angewiesen zu sein.
Ach was bin ich heilfroh, dass ich die Beta nicht auf meinem normalen Account aktiviert habe, sondern auf einem Testaccount für den ich einen Monat eingezahlt habe. Und sorry für meinen etwas ungehobelten Unterton, aber ich bin wirklich ein bisschen entsetzt ... und hoffe dass ich da was falsch verstanden habe .... aber ich befürchte nicht.
Ich verstehe die Verbesserungen der Beta offenbar nicht, und finde die neue 2FA scheiße!
1.) Bei der neuen 2FA habe ich genau das Problem, vor dem die alte 2FA geschützt hat. Bei der alten 2FA habe ich mich NICHT mit meinem regulären Passwort angemeldet, sondern mit einem ANDEREN neuen Passwort in das der zweite Faktor integriert war. Geniale Idee. So konnte ich mich von einem unsicheren Gerät (z.B. GästePC im Hotel, Laptop bei Freunden, PC auf der Arbeit etc.) einwählen, ohne dass mein Hauptpasswort eingegeben werden musste. Mit der neuen 2FA gebe ich aber das Hauptpasswort ein!!! Wähle ich mich also auf einem unsicheren Gerät mit 2FA ein, dann hat jeder der die Kontrolle über dieses unsichere Gerät hat, sofort mein Hauptpasswort, und kann auf mein Postfach zugreifen (mails lesen und in meinem Namen versenden), sowie eventuell auch auf Kalender, Adressbuch und Drive. Um das zu umgehen müsste ich erst mühsam für jeden Zugangsweg ein separates App-passwort eingeben ... in der Hoffnung dass ich keinen Zugangsweg vergesse und damit offen lasse. Aktuell ist das übrigens noch gar nicht möglich, da es kein separates imap bzw. smtp-Passwort gibt!!! Die neue 2FA ist für mich ein krasser Rückschritt was die Sicherheit anbelangt. Reine Kosmetik für Leute die sich sicher fühlen wollen aber entweder keine Ahnung haben, oder gänzlich andere Anforderungen wie ich. 2FA ist meines Wissens NICHT dafür gedacht, dass ich ein unsicheres Billigpasswort wie qwertz123 durch einen zweiten Faktor absichere, sondern dafür, dass ich mich von unsicheren Geräten einwählen kann, ohne dass man damit mein Hauptpasswort in die Finger bekommt, und damit über die Umwege IMAP, SMTP, caldav, carddav, webdav etc.) doch wieder auf all meine Daten zugreifen kann. Sofern ich auf dem Holzweg bin, bitte ich um Erhellung, aber ich finde die neue 2FA scheiße, und die alte 2FA viel besser.
2.) Auch die Verbesserung von SSO verstehe ich auch nicht so ganz. Ich konnte mich bisher auf der OX-Weboberfläche immer schon ohne erneutes Passwort auf fast allen Diensten einwählen (Mail, Kalender, Adressbuch, Drive, Einstellungen, etc.). Lediglich das Forum und die Videokonferenzen waren separat. Natürlich ist das eine Verbesserung, aber jetzt m.E. nix weltbewegendes.
Mein persönliches FAZIT: Die Beta brauche ich nicht und will ich nicht! Sollte die Beta für alle ausgerollt werden, würde das bedeuten, dass ich mich bei meinem Arbeitgeber und bei meiner Freundin nicht mehr auf deren PCs in die Weboberfläche einwählen kann, weil ich damit meinem Arbeitgeber und meiner Freundin mein IMAP/SMTP Passwort mit Benutzernamen auf dem Silbertablett serviere. Die Lösung wie im Blog angekündigt, dass ich irgendwann IMAP und SMTP deaktivieren kann, ist doch keine Lösung! Dann kann ich ja gleich die Option nehmen "alles außer Webzugang deaktivieren". Das ist zwar vielleicht sicher, aber total unpraktisch. Weil nur noch über den Browser mailbox.org zu verwenden kommt für mich nicht in Frage. Ich verwende Mail/Adressbuch/Kalender und Drive fast nie über den Browser, sondern fast immer über Apps/Programme wie z.B. die Systemapps meiner Mobilgeräte (Smartphone, Tablet), oder Programme am PC (Thunderbird), etc... . Insofern ist die neue 2FA zumindest für mich ein krasser Rückschritt. Ich könnte mailbox.org dann nur noch von sicheren Geräten verwenden, die ausschließlich unter meiner Kontrolle sind ... genau dann ist aber 2FA komplett sinnlos .... immerhin könnte ich falls die Beta wirklich verpflichten für alle ausgerollt wird 2FA deaktivieren, und wäre wieder zurück in der Steinzeit, könnte aber weiterhin IMAP/SMTP etc. auf meinen mobilen Endgeräten mit Apps und am PC mit Drittprogrammen verwenden ohne ausschließlich auf die Weboberfläche von OX angewiesen zu sein.
Ach was bin ich heilfroh, dass ich die Beta nicht auf meinem normalen Account aktiviert habe, sondern auf einem Testaccount für den ich einen Monat eingezahlt habe. Und sorry für meinen etwas ungehobelten Unterton, aber ich bin wirklich ein bisschen entsetzt ... und hoffe dass ich da was falsch verstanden habe .... aber ich befürchte nicht.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.