Über meine gelungene Einrichtung von Mailbox Beta - 2FA-ohne Gewähr

Über meine gelungene Einrichtung von Mailbox Beta - 2FA. (von einem Laien und ohne Gewähr)

In einer Info_Mail wurde mir mitgeteilt, dass man an der Testphase von Mailbox.org Beta und des neuen Systems der 2FA( Zwei-Faktor-Authentifizierung) teilnehmen könne. Hier und in weiteren Infos wird allerdings auch gewarnt, dass es in der Testphase zu Problemen kommen könne, sodass man, wenn man mailbox.org geschäftlich verwendet, besser nicht an der Testphase teilnehmen sollte.

Nach der Anmeldung in mailbox.org habe ich „Einstellungen/Mailbox.org/Sevices/Mailbox.org Beta“ geöffnet. Die für mich wichtigste Information dort war:

„Für Notfälle: Mit einem Passwort-Reset wird die Zwei-Faktor-Authentifizierung im Login 2.0 deaktiviert (sodass ein Login ohne zweiten Faktor wieder möglich wird).“

Deshalb bin ich zuerst zu „Einstellungen/Mailbox.org/Mein Account/Persönliche Daten“ gegangen und habe dort eine Telefonnummer und eine E-Mail-Adresse eingegeben, die ich für ein Passwort-Reset benötige. Die Eingaben sollte man mehrmals überprüfen, bevor man auf „Speichern“ klickt, weil man sie danach nur in Form von Sternchen sieht und es auch kein Bestätigungsverfahren über SMS oder E-Mail gibt.

Danach habe ich unter Einstellungen/Mailbox.org/Sevices/Mailbox.org Beta“ auf „Aktivieren“ geklickt. (Ich gehe davon aus, dass meine Erinnerung richtig ist, weil man hier das Beta-Programm auch deaktivieren kann.)

Wenn ich mich richtig erinnere, bin ich danach automatisch zu „Einstellungen/Mailbox.org/Mein Account/Zwei-Faktor-Authentifizierung“ weitergeleitet worden. Man kann dies nach der Aktivierung jederzeit auch selbst aufrufen. Nach dem Lesen der Informationen dort habe ich mich erst einmal über mögliche Apps zur Zwei-Faktor-Authentifizierung informiert.

Zuerst habe ich die Open-Source-App „Aegis“ installiert, die es im Play Store und in F-Droid gibt. Bei der Einrichtung wurde empfohlen, dass man ein Passwort einrichten solle, dessen Sinn und Zweck mir in diesem Moment nicht klar war. Deshalb habe ich die Einrichtung abgebrochen

Es gibt eine gute Einführung zu dieser oft empfohlenen App unter: https://yourdevice.ch/aegis-die-google-authenticator-alternative/

Danach habe ich mit schlechtem Gewissen – da ich mir eigentlich ein Android-Smartphone ohne Google vorstellen könnte, im Play Store den Google „Google Authenticator“ installiert, der den Vorteil hat, dass er im Gegensatz zu Aegis auch im Ipad und damit vermutlich auch im Iphone funktioniert. Hier musste ich auch kein Passwort eingeben, da Google sowie fast alles über mich weiß. Man kann aber, wenn ich das richtig verstehe, auch verschiedene Apps zur Authentifizierung auf unterschiedlichen Geräten einrichten. Also „Aegis“ auf einem Android-Smartphone und eine andere App auf einem Ipad.

Jetzt habe ich unter „Einstellungen/Mailbox.org/Mein Account/Zwei-Faktor-Authentifizierung“ unter „Schritt 1“ den Namen meines Smartphones eingegeben. Danach habe ich mit meinem dort installierten „Google Authenticaor“ (=TOTP-App) unter „Schritt 2“ den dortigen QR-Code gescannt und danach in „Schritt 3“ den durch die App erzeugten TOTP-Code eingegeben. Zuletzt habe ich auf „Überprüfen und speichern“ geklickt.

Dann habe ich mich unter Debian in Firefox ESR von Mailbox.org abgemeldet und wieder im Login mit Benutzernamen und Passwort neu angemeldet. Danach öffnete sich eine Seite, auf der mein Benutzername zu lesen war. In die Zeile mit der Bezeichnung „One-time code“ habe ich den sechsstelligen Zahlencode eingegeben, der in der Google Authenticator App in kurzen Zeitabständen immer wieder neu gebildet wird.

Da man nicht die Möglichkeit hat, das“Gerät“ bzw. den Internetbrowser darin wie z. B. bei Icloud“ oder bei „Google“ als „vertrauenswürdig“ zu markieren, benötigt man trotz Speicherns des Benutzernamens und des Passwortes immer wieder einen von der jeweiligen Authenticator App erzeugten „One-time code“, um sich anzumelden.

Wenn aus irgendwelchen Gründen die mit mailbox.org verbundene Authenticator app nicht mehr zur Verfügung steht und man auch auf einem anderen Gerät keine Authenticator app hat, die mit mailbox.org verbunden ist, muss man den oben beschriebenen Passwort-Reset durchführen, um sich wieder in mailbox.org einloggen zu können.

Um jetzt seine Apps für Kalender, Adressen und Cloud-Zugang (gewöhnlich OX-Drive) mit mailbox.org zu verbinden benötigt man für jede app einen besonderen Benutzernamen mit einem neuen Passwort. Das macht man unter „Einstellungen/Sicherheit/Applikationspasswörter“.

Dort kann man eine von drei Applikationsarten auswählen: Kalender-und Adressbuch-Client (CalDAV/CardDAV) – WebDAV-Client – Drive-Sync-App). Unter „Passwortname“ gibt man den Namen der App an, für die man den neuen Benutzernamen und das neue Passwort benötigt. (Bei E-Mail-Apps meldet man sich zur Zeit also noch normal mit seinem bisherigen Benutzernamen und Passwort an.) Zuletzt klickt man auf „Neues Passwort hinzufügen und erhält einen Benutzernamen, der aus Ziffern und einem @-Zeichen dazwischen besteht (z. B. 123456@123456) und einem 16-stelligen Buchstaben-Code jeweils mit einem Minuszeichen zwischen jeweils vier Buchstaben (z. B. abcd-abcd-abcd-abcd). Man sollte das Fenster erst schließen, wenn man Benutzename und Passwort in die enstprechende app eingegebn hat, weil sie danach in der Liste darüber nicht mehr aufgeführt sind.

Bei allen Anmeldungen in den jeweiligen Apps benötigt man immer den Namen des Servers :“dav.mailbox.org“ oder „https://dav.mailbox.org“ sowie - wie im vorherigen Abschnitt beschrieben - den Benutzernamen (aus Zahlen) und das 16-stellige Passwort aus Buchstaben.

Da es für Debian Linux kein OX-Drive gibt, verwende ich stattdessen die WebDAV-Anmeldung über den Dateimanager, indem ich unter „+Andere Orte“ unten die Serveradresse „davs://dav.mailbox.org/servlet/webdav.infostore“ eingebe (siehe dazu: https://kb.mailbox.org/de/privat/datei-cloud-mailbox-org-drive/webdav-unter-linux/ ), danach den unter WEBDAV-Client erzeugten Benutzernamen samt neuem Passwort eintrage und auf „nie vergessen“ klicke. Bei Änderungen kann ich diese Angaben löschen, indem ich in debian Gnome auf „Einstellungen/Anwendungen/Passwörter und Verschlüsselung/Öffnen“ gehe.

Im Ipad habe ich die App „OXDrive“ neu installiert, um die veränderten Angaben eintragen zu können.