Willkommen im User-Forum von mailbox.org
 

Sicherheitsrisiko: Passwortreset über eigene Mailadresse

Timo hat dies geteilt, 28 Tage her
vorgeschlagen

Hallo miteinander,

im Knowledbase-Eintrag "Passwort vergessen" heißt es:

"wenn Sie keine Daten hinterlegt haben, aber noch ein E-Mail-Client Zugang zum Konto hat, können Sie hier den Passwortreset über die eigene Adresse auslösen"

Meines Erachtens stellt diese Funktion ein eklatantes Sicherheitsrisiko dar. Wenn ich es richtig verstehe, müsste ein Angreifer nur einen Passwortreset anfordern und dann die Mail abgreifen (z. B. Raub eines entsperrten Mobilgeräts oder Schadsoftware auf einem Computer), um ohne jegliche weitere Sicherheitsmaßnahme das Passwort zu ändern und den legitimen Nutzer auszusperren?

Kann man diese Funktion selbst abschalten, falls ja, wie?

Über einen offiziellen Kommentar durch mailbox.org würde ich mich freuen.

Beste Antwort
Foto

Ich teile die Ansicht, dass diese Option entfallen könnte/sollte, WENN es andere Optionen gibt. Das ist eine sehr gute Idee und vielleicht der beste Weg, um das Dilämma zu lösen.

Denn diese Reset-Methode nicht anzubieten, ist in der Tat problematisch und können wir nicht machen. Aber sie automatisch entfallen zu lassen, wenn es einen besseren Weg gibt, finde ich sehr sinnvoll. Und in Notfällen könnte unser Support nach guter Prüfung den alten Mail-Weg ausnahmsweise auslösen.


Ohne dass es mir zusteht, dass ich hier was versprechen kann und will: Wir nehmen das mal in unserer Product-Management mit rein, würde ich sagen. Das überlegen wir mal detailliert.

Antworten (2)

Foto
1

Hallo Timo,

vielen Dank für Ihre Anfrage. Tatsächlich ist das ein Argument, das öfter gegen diese Resetmethode vorgebracht wird. Es ist nicht möglich, diese Resetfunktion zu deaktivieren. Wir sind der Meinung, dass der Zugewinn an Sicherheit im Vergleich zu dem potentiellen Schaden, nämlich dem Verlust der Daten marginal ist. Wir halten diese Szenarien für sehr unwahrscheinlich. Sollte jedoch tatsächlich ein entsperrtes Mobilgerät geraubt werden oder Schadsoftware auf einem Computer installiert sein, ist der Schaden bereits so signifikant, dass der Angreifer wahrscheinlich auf die meisten anderen Daten Zugriff erlangen wird.

Aufgrund dieser Abwägungen haben wir uns für das derzeitige Modell entschieden.

Mit herzlichen Grüßen

Ihr mailbox.org-Team


---

Ein paar nützliche Links:

b69f2e69b1f417811deb42953758b2a2

Foto
1

Hallo mailbox.org-Team,

Danke für die Antwort. Meines Erachtens ist es dennoch zu unsicher, das Passwort über eine Mail an die eigene Mailbox zurücksetzen zu können. Schade, dass diese Option nicht deaktivierbar ist, besonders wenn andere Wiederherstellungsmethoden eingerichtet sind.

Die von Ihnen beschriebene Sichtweise im Sinne von "dann ist es sowieso egal" teile ich nicht. Falls ein Angreifer ein System erfolgreich kompromittiert hat, sollte es doch durch sinnvolle Sicherheitsmaßnahmen des Mailbox-Anbieters verhindert werden, dass der Angreifer nicht nur an die Mailboxinhalte gelangt, sondern sogar den Mailbox-Eigentümer aussperren kann.

Die Möglichkeit zum Passwort-Zurücksetzen über eine Mail an die eigene Mailbox ist hierbei dann ein sehr schwaches Glied in der Kette der IT-Sicherheit.


Viele Grüße

Timo

Foto
4

Ich teile die Ansicht, dass diese Option entfallen könnte/sollte, WENN es andere Optionen gibt. Das ist eine sehr gute Idee und vielleicht der beste Weg, um das Dilämma zu lösen.

Denn diese Reset-Methode nicht anzubieten, ist in der Tat problematisch und können wir nicht machen. Aber sie automatisch entfallen zu lassen, wenn es einen besseren Weg gibt, finde ich sehr sinnvoll. Und in Notfällen könnte unser Support nach guter Prüfung den alten Mail-Weg ausnahmsweise auslösen.


Ohne dass es mir zusteht, dass ich hier was versprechen kann und will: Wir nehmen das mal in unserer Product-Management mit rein, würde ich sagen. Das überlegen wir mal detailliert.

Foto
1

Vielen Dank für Ihre Rückmeldung! Es ist gut zu wissen, dass Sie als Geschäftsführer die Sicherheit ernst nehmen und für solche Ideen ein offenes Ohr haben.

Es wäre tatsächlich schön, wenn dies umgesetzt würde.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen