Willkommen im User-Forum von mailbox.org
 
Neues Thema
mailbox.org UserforumThemaFragePasswort und Sicherheit
Eigenschaften
Kategorie Passwort und Sicherheit

Login 2.0: neue 2FA offenbar nutzlos für Einwahl von unsicheren Geräten?

einuser hat dies geteilt, 2 Monaten her
unbeantwortet

Mal eine Frage: Bisher habe ich 2FA im alten System aktiviert für die Weboberfläche. Bin seit vielen Jahren Kunde hier. Das bedeutet für mich, dass ich mich auf unsicheren Geräten einwählen kann (Hotel-PC, PC eines Bekannten, PC meines Arbeitgebers) ohne mein Hauptpasswort preisgeben zu müssen. Genau das war ja dieser Zahlencode, über den früher hier viele geschimpft haben, den ich aber toll fand. Werden meine Daten vom Hotel oder von meinem Arbeitgeber geloggt, dann haben diese Personen nur einen Zahlencode, der sich regelmäßig ändert, aber nicht mein Hauptpasswort. Das bedeutet alle Zugänge (imap, smtp, caldav, carddav, cloud, forum sowie die Weboberfläche) bleiben sicher. Klar ist das Hauptpasswort auf meinen Handy und Tablet hinterlegt, aber ich halte diese Geräte für sicher, ebenso wie meine eigenen PCs sicher sind. Mit Passwortmanager kann ich auch nicht auf Phishing reinfallen mit Fake-Zugangsseiten.

Wenn ich den neuen Login2.0 verstehe läuft das so: Ich habe ein Hauptpasswort, und kann zwar für die Weboberfläche 2FA aktivieren, muss dabei aber immer noch das Hauptpasswort eingeben. So wie es viele Anbieter mit 2FA machen. Mit diesem Hauptpasswort alleine kann ich auch bei aktivierter 2FA alle Zugänge (imap, smtp, caldav, carddav, cloud, forum) verwenden. Mit App-Passwörtern kann ich also den sehr unwahrscheinlichen Fall absichern, dass NSA, CIA oder FBI mein Handy übernommen haben. Weil nämlich für die Zugangswege imap, smtp, caldav, carddav und cloud kann ich separate App-Passwörter vergeben. Wenn ich diese App-passwörter dann in mein Handy oder mein Tablet eingebe, kann der entsprechende Geheimdienst nur auf die einzelne App zugreifen, nicht aber auf die Weboberfläche. Den regelmäßigen Fall aber, dass ich mich von einem wirklich unsicheren System (Hotel, Arbeitgeber, Bekannte) per Webbrowser einwähle, den kann ich mich mit dem neuen Login2.0 und der damit verbundenen neuen 2FA nicht absichern, weil ich auf diesem unsicheren PC das Hauptpasswort eingebe, und mit diesem Hauptpasswort sind alle Zugangswege (imap, smtp, caldav, carddav, cloud) offen, da die APP-Passwörter offenbar nur einen zusätzlichen Zugang darstellen. Zumindest bei meinem letzten Test über einen separaten Account bei dem ich den Beta-Test aktiviert hatte, war es so. App-Passwörter haben für den entsprechenden Zugang (z.B. imap) nur einen zusätzlichen Zugang geschaffen, das normale Hauptpasswort ging aber auch noch. Ich habe das als Fehler gemeldet, und nie eine Rückmeldung erhalten.

Wäre das wirklich der Fall, dass ich die neue 2FA mit Login 2.0 richtig verstanden habe, dann bin ich wirklich entsetzt. Mein Regelfall (Einwahl von einem unsicheren Gerät) kann dann nicht mehr abgesichert werden, der äußerst unwahrscheinlich Fall aber dass meine mobilen Endgeräte von finanziell extrem potenten Angreifern übernommen werden, kann ab sofort abgesichert werden. Für mich absolut nutzlos! Ich hoffe, ich kann bei der Umstellung auf Login2.0 dann 2FA deaktivieren. Ich bin mal gespannt. Übrigens hätte ich erwartet, dass ich frühzeitig von der Umstellung per Mailankündigung erfahre, und es nicht zufällig im Blog lesen muss. Offenbar könnte ich schon morgen eine Mail erhalten, dass ab sofort mein Account umgestellt ist.

Nachtrag: Bei Zugängen mit nur einer Zugangsart (z.B. Facebook, Domain-registrar, Musikstreaming, etc.) ist diese Art von 2FA ja sinnvoll. Es gibt nur einen Zugang, dieser ist mit 2FA zusätzlich abgesichert. Bei einem Webmailer, bei dem ich aber auch neben dem Web-Zugang auch andere Zugangswege habe welche ich systembedingt nicht mit 2FA absichern kann (imap, smtp, caldav, carddav, webdav), und mit diesen anderen Zugangswegen letztlich alle Daten abfragen und manipulieren kann (und sogar das Passwort zurücksetzen kann), halte ich die neue 2FA für sinnlos.

1 Ich habe die gleiche Frage

Antworten (3)

Foto
2
6943365 2 Monaten her

Ich habe es so verstanden, dass nach der Aktivierung des neuen MFA alle Protokolle ein spezielles App-Passwort benötigen und der Login über das Hauptpasswort außerhalb des Webmailers dann nicht mehr möglich ist. Ist dem nicht so?

Antworten
Foto
1
zapata 2 Monaten her

Nein, das ist aktuell leider nicht der Fall. Ich habe es gerade getestet und habe mit dem normalen Passwort Zugriff auf meine E-mails z.B. via IMAP4.

Foto
1
zapata 2 Monaten her

OK, ich musste die 2FA deaktivieren und nochmals neu einrichten. Jetzt wird das Passwort nicht mehr für IMAP4 akzeptiert.

Foto
1
zapata 2 Monaten her

Aber ja, PIN+OTP (ohne der seit Jahren bekannten Probleme) wäre eine tolle Sache.

Foto
1
angry darwin 39 Tage her

Witzig, ich bin auch noch in diesem Limbo (2FA an, aber Passwort geht noch für IMAP, CalDAV, CardDAV und EAS). Ich traue mich aber nicht das zu resetten, denn unter Security -> Application Passwords ist jetzt EAS verschwunden.

Foto
2
zapata 38 Tage her

Irgendwie erschreckend.

Foto
1
angry darwin 38 Tage her

Ich nehme an, dass EAS jetzt über das Menü Connect Device eingerichtet werden soll.

Ich hab 2FA erst mal ausgeschaltet, da ich erste Probleme wahrgenommen habe (EAS ging nicht mehr mit Haupt-Passwort, allerdings geht Connect Device ebensowenig bei mir; vielleicht wegen des komischen Limbos :-)

Ohne 2FA ist alles gut.

Nur kann ich 2FA nicht mehr aktivieren, weil der Screen in den Einstellungen einfach nur leer ist nach der Überschrift "Two-factor authentication”.

Also, ja, erschreckend.

Foto
Foto
2
Hendrik Schlange [mailbox.org] 2 Monaten her

Hallo einuser,

ich glaube, hier sind ein paar Dinge durcheinandergeraten. Ich versuche daher, etwas Klarheit in die Sache zu bringen:

Bisher wurde beim Login ins Web-Interface bei aktivierter Zwei-Faktor-Authentifizierung (2FA) eine Kombination aus PIN und OTP-Token abgefragt. Der Zugriff über andere Protokolle (z. B. IMAP, SMTP) erfolgte hingegen über das reguläre Nutzerpasswort – es gab also zwei verschiedene Zugangsdaten. Später haben wir dies erweitert, sodass App-Passwörter verwendet werden konnten.

Mit der Einführung von Login 2.0 ändert sich dieses Vorgehen:

  • Für den Zugriff auf das Web-Interface wird nun das Hauptpasswort zusammen mit dem OTP-Token abgefragt – die PIN entfällt.
  • Der Zugriff über alle anderen Protokolle (IMAP, SMTP, CalDAV, CardDAV, WebDAV, ActiveSync) ist bei aktivierter 2FA nicht mehr direkt mit dem Hauptpasswort möglich.
  • Stattdessen sind App-Passwörter der einzige zulässige Weg, um mit einem Client auf diese Protokolle zuzugreifen (und kein zusätzlicher Weg neben dem Hauptpasswort).

Das bedeutet: Auf Endgeräten muss das Hauptpasswort nicht mehr gespeichert werden, um auf mailbox.org-Dienste zuzugreifen. Außerdem entfällt die Notwendigkeit, Passwörter zwischen Geräten oder Anwendungen zu teilen.

Beim Login ins Web-Interface wird zwar weiterhin das Hauptpasswort verwendet, jedoch ist dieser Zugang nun durch den zweiten Faktor zusätzlich abgesichert.

Somit bietet der Login 2.0 im Vergleich zur bisherigen 2FA-Lösung ein höheres Maß an Kontrolle und Sicherheit.

Antworten
Foto
2
einuser 2 Monaten her

Hallo Hendrik,

vielen Dank für die Info. Das beruhigt mich. Ich habe in einem anderen aktuellen Thread hier vor einigen Minuten gelesen, dass es in der frühen Phase des Beta-Testes so wie von mir geschildert war, dieses Verhalten jedoch während der Beta-Phase geändert wurde. Insofern war meine Wahrnehmung aus einem Test vor vielen Monaten mit einem Testaccount extra für die Beta richtig. Ich hatte das Problem damals hier im Forum gemeldet, und auch ein Support-Ticket erstellt, aber meines Wissens nur eine allgemeine Eingangsbestätigung erhalten. Das Problem ist aber mittlerweile offenbar behoben. Wenn ich das richtig verstehe, dann wird zukünftig bei aktivierter 2FA nur noch die OX-OBerfläche (mailboxorg-Webportal) sowie Forum und Support mit dem Haupt-Passwort und dem zweiten Faktor abgesichert, alle anderen Zugänge (imap, smtp, caldav, carddav, webdav) laufen über App-passwörter. So klingt das für mich dann auch vernünftig und sicher.

Vielen Dank und viele Grüße von einem weiterhin zufriedenen Nutzer

Foto
1
zapata 46 Tage her

Wieso ist der Zugriff auf Caldav/Carddav weiterhin mit dem Standard Passwort möglich?
Und was ist noch für Login 2.0 geplant? Für Ideen schaut doch bitte mal bei Fastmail vorbei! :-)

Foto
1
zapata 46 Tage her

Funktioniert hier eigentlich irgendetwas zuverlässig (außer vielleicht IMAP/SMTP)?

Es dauert eine Ewigkeit bis Termine im Thunderbird erscheinen. Beim Löschen eines Termins (erstellt in OX) in Thunderbird, erscheint eine Fehlermeldung und der Termin wird offenbar nicht in OX gelöscht. Seitdem bekomme ich folgende Fehlermeldung:
8596131eae0805d02d0a5dc4ac4fadf2
In Thunderbird erstelle Termine sind problemlos löschbar. Dann wird sporadisch ein Rufzeichen in einem Dreieck (The calendar is momentarily not available) angezeigt. Funktioniert das normale Password vielleicht nur teilweise? WT*?
Bei Verwendung der normalen Zugangsdaten sieht die Auswahl der Kalender anders aus (Calendar, Birthdays, Task vs. Calendar bei Verwendung des App Passworts).

Foto
1
mailbox.org Support 46 Tage her

Hallo zapata,

haben Sie für diesen Fall bereits ein Ticket bei unserem Support eröffnet? Wir untersuchen den Vorgang sehr gerne.

Mit besten Grüßen

Ihr mailbox.org-Team


---

Ein paar nützliche Links:

155bf1e6f39ed321ec27e5d5d44e8c95

Foto
1
mailbox.org Support 46 Tage her

Hallo zapata,

haben Sie bereits ein App-Passwort generiert? Danach sollte der Zugriff über Ihr Standard-Passwort nicht mehr möglich sein.

Mit besten Grüßen

Ihr mailbox.org-Team


---

Ein paar nützliche Links:

155bf1e6f39ed321ec27e5d5d44e8c95

Foto
1
zapata 46 Tage her

Durch die Aktivierung der 2FA sollte doch der Zugriff auf Dienste wie IMAP, SMTP, CalDAV, CardDAV, WebDAV, etc. nur noch mit App-Passwörter möglich sein. Aber ja, ich habe auch ein App Passwort für CalDAV/CardDAV erstellt.

Ich kann weiterhin mit E-mail Adresse und Passwort den Kalender zu TB hinzufügen:

9f524b4ed062faf4030c4b5eb054a2d6

Und der Kalender funktioniert auch teilweise... mit den oben beschrieben Problemen: Einträge werden erst nach wiederholter manueller Synchronisation in OX angezeigt. Es gibt Probleme beim Löschen, aber irgendwie funktioniert es dann doch. Immer wieder erscheint dieses Dreieck mit Rufzeichen.

Und so sieht es aus, wenn ich das App Passwort verwende:
42a6f31987a468b1887854b7955c5ca3

(Außerdem wird die Uhrzeit der letzten Verwendung des App Passworts in UTC angezeigt.)
Vor Wochen hatte ich bereits das Problem, dass sogar der Zugriff auf IMAP mit dem Standard Passwort möglich war.

Foto
1
mailbox.org Support 44 Tage her

Hallo zapata,

vielen Dank. Wir haben das nun geprüft. Es handelt sich hier wirklich um einen Bug. Wir haben den Bug an unsere Entwicklungsabteilung eskaliert, damit das schnellstmöglich behoben wird.

Mit herzlichen Grüßen

Ihr mailbox.org-Team


---

Ein paar nützliche Links:

155bf1e6f39ed321ec27e5d5d44e8c95

Foto
1
zapata 44 Tage her

Btw. Zugriff auf das Drive über Webdav funktioniert bei mir auch noch mit dem normalen Passwort.

Foto
2
zapata 44 Tage her

Und wie sieht es mit XMPP aus? Sind da auch App Passwörter geplant? Oder kann man den Dienst (temporär) deaktivieren lassen?

Foto
1
mailbox.org Support 42 Tage her

Hallo zapat,

vielen Dank für den Hinweis. Die App-Passwörter funktionieren noch nicht für WebDAV, auch dieser Dienst ist von dem Bug betroffen. Unsere Entwickler arbeiten aber auch hier an einer Lösung.

Für XMPP sind App-Passwörter geplant, aber noch nicht ganz fertig. Ein auch temporäres Deaktivieren des Dienstes ist momentan nicht möglich. Wir werden aber prüfen, ob sich das umsetzen lässt.

Mit herzlichen Grüßen

Ihr mailbox.org-Team


---

Ein paar nützliche Links:

155bf1e6f39ed321ec27e5d5d44e8c95

Foto
1
zapata 37 Tage her

Das Problem (Zugriff auf CalDAV/CardDAV, OX Drive mit normalem Passwort bei aktivierter 2FA) wurde offenbar behoben.

Foto
1
Hendrik Schlange [mailbox.org] 37 Tage her

Hallo Zapata,

in der Tat. Wenn 2FA aktiv ist, müssen App-Passwörter genutzt werden.


Viele Grüße

Hendrik

Foto
1
angry darwin 37 Tage her

Wie erstelle ich dann ein App-Passwort für Exchange, wenn ich 2FA nutzen will? Oder wird diese Kombination nicht unterstützt? Ich meine mich zu erinnern, dass es mal im App-Passwort-Dropdown neben DAV auch EAS gab.

Foto
Foto
1
einuser 44 Tage her

Liebes mailbox.org-Support Team,

hier wäre eine Klarstellung und auch eine Ergebnismitteilung hilfreich. Offenbar scheint beim neuen Login2.0 mit aktivierter 2FA das Hauptpasswort zumindest bei einzelnen Kunden für WebDAV und CalDAV/CardDAV weiterhin als Zugangsweg zu funktionieren. In den FAQ, bei den Einstellungen im Webmailer sowie hier im Forum wurde aber klargestellt, dass allein bei Aktivierung von 2FA das Hauptpasswort für ALLE Zugangswege außer Webmailer, Forum und Support deaktiviert wird, und zwar unabhängig davon, ob App-Passwörter gesetzt werden, oder nicht. Und das Problem scheint nicht (nur) in der Beta zu bestehen, sondern offenbar auch beim regulären Login2.0, was ja bereits bei Neuanmeldung (Neukunden) aktiv ist. Eine Klarstellung, wie jetzt das Login2.0 genau funktioniert, also ob es wirklich so ist, dass man keine App-Passwörter setzen muss, sondern das Hauptpasswort bei Aktivierung von 2FA automatisch für die so oft genannten Zugangswege (imap, pop3, smtp, caldav, carddav, webdav, OX-Cloud-App) deaktiviert ist. Die Supportfrage von oben "haben Sie bereits ein App-Passwort generiert?" suggeriert nämlich dass man App-Passwörter generieren muss. Die Beschreibung und Hendrik oben (ebenso support) sagen aber was anderes.

Die Info von Zapata ist hier im Forum bereits der zweite Bericht dieses Fehlers. Offenbar ist erst ein Teil der Kunden migriert auf das neue Login2.0, davon verwendet nur ein Teil 2FA, und davon wiederum testet vermutlich nur ein sehr kleiner Bruchteil, ob das Haupt- Passwort weiter funktioniert. Wenn also zwei Fehler im Forum beschrieben sind, macht das kein gutes Gefühl und man könnte vermuten, dass der Fehler bei deutlich mehr Kunden auftritt / auftreten wird. Wenn ich mich als Kunde aber nicht darauf verlassen kann, dass der Login-Prozess wirklich sauber programmiert und getestet ist, muss ich Angst haben, dass der neue Login-Prozess auch anders kompromittiert werden könnte (Brute-Force, Session-Hijacking, Cross-Site-Scripting, etc.). Hier wäre ein Info beruhigend, warum der Fehler nicht im Beta-Test entdeckt wurde .... und ob er aktuell immer auftritt (das wäre eigentlich eine Rundmail an alle Kunden wert dass die neue 2FA nicht wie beschrieben funktioniert und damit unsicher ist) oder ob er nur in ganz seltenen Ausnahmefällen bei ganz spezifischen Einstellungen oder Kunden auftritt.

Nochmal: Wenn bei aktivierter 2FA das Hauptpasswort weiter für Zugänge wie imap, smtp, caldav, carddav oder Cloud verwendet werden kann, dann würde ich sagen ist 2FA völlig nutzlos. Wähnt sich der Kunde aufgrund der ganz klar anders lautenden Beschreibung in Sicherheit, dann wäre es meines Erachtens auch korrekt, die neue 2FA als kompromittiert zu bezeichnen. Sorry für die harten Worte, aber der Login-Prozess sollte kein Anlass zur Sorge geben. Gleichzeitig chapeau für das Forum und die Möglichkeit sowas im Forum zu thematisieren. Solche Probleme gibts vermutlich auch bei anderen Anbietern, dort bekommt das in der Regel nur niemand mit.

Antworten
Foto
1
einuser 41 Tage her

Hab es gerade mal getestet: Mit einem neuen Account, bei welchem Login2 aktiviert ist, kann ich mich trotz aktivierter 2FA weiterhin mit dem Standardpasswort bei Caldav/Carddav sowie Webdav/OX-App anmelden. Was zumindest nach dem ersten Versuch nicht funktioniert sind imap/pop3. Das Verhalten ist also offenbar bei allen Login2-Kunden so und damit ein genereller Fehler. Damit ist die aktuelle 2FA - wie ich im Titel geschrieben habe - nutzlos und mein Vertrauen in mailbox.org etwas gesunken. So etwas muss geprüft werden und ist allenfalls bei einem Betatest zu verschmerzen. Da immerhin der Zugang auf imap und pop3 offenbar gesperrt ist, ist der Fehler meines Erachtens nicht kritisch, da das Passwort nicht zurückgesetzt werden kann (es gibt ja eine Resetfunktion über eine Passwort-Reset-Mail) und somit der Account nicht von Fremden übernommen werden kann (falls das Hauptpasswort über ein unsicheres/überwachtes Gerät z.B. GästePC im Hotel oder am Arbeitsplatz abhanden kommt). Es ist trotzdem ein grundlegender Fehler der 2FA.

Ach so: Ich kenne mich mit XMPP nicht aus. Heißt das, dass aktuell .... falls ich mich von einem unsicheren und kompromittierten Gerät einwähle, der Angreifer mit meinem Mail-Namen per XMPP kommunizieren kann weil dabei nur das Hauptpasswort benötigt wird?

Und ja, mir ist klar dass beim dem Szenario erst mal mein Hauptpasswort abgegriffen werden muss, aber genau dafür ist ja 2FA da, um dieses eher unwahrscheinliche aber doch gut möglich Szenario abzusichern ... insbesondere wenn ich mich von unsicheren Geräten einwähle die nicht unter meiner Kontrolle sind.

Foto
1
zapata 40 Tage her

Leider hat mailbox.org kurz vor bzw. nach dem Launch von Login 2.0 noch Änderungen gemacht: App Passwörter für EAS (funktioniert bis heute nicht), Login bei diversen Diensten nur mit App-Passwörter. Auch sonst war nicht klar, was noch implementiert wird. Deswegen habe ich bemängelt, dass das keine richtige öffentliche Beta ist.

1. Die Anmeldung auf der Weboberfläche per PIN+OTP (ohne An/-Abmelde-Bug) hätte beibehalten werden sollen.
2. Ein Anmelde Protokoll fehlt. Bei Fastmail sehe ich zumindest die letzten vier Wochen. Ist da noch etwas geplant?
3. Was kommt noch? Passkeys, OAUTH2, etc.?
4. Bis wann sind die Probleme behoben?

Foto
1
6943365 40 Tage her

Das klingt aber gar nicht gut. Zum Glück ist das neue MFA noch nicht flächendeckend ausgerollt.

Foto
1
thgeiges 37 Tage her

Unabhängig von zapatas Kritik, kann ich aber sagen, dass die neue 2FA und App-Passwörter bei IMAP/SMTP und bei den *DAV-Protokollen bei mir inzw. korrekt funktioniert.

Foto
2
einuser 37 Tage her

@thgeiges und @zapata: Danke für die Info dass bei aktivierter 2FA aktuell offenbar die DAV-Abfrage via Standardpasswort nicht mehr möglich ist, und der Fehler offenbar behoben wurde. Ich werde das das nächste mal genauer testen, sobald ich umgestellt werde. Aktuell bin ich noch nicht umgestellt worden.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen
© 2025 mailbox.org