Willkommen im User-Forum von mailbox.org
 
Neues Thema
mailbox.org UserforumThemaFragePasswort und Sicherheit
Eigenschaften
Kategorie Passwort und Sicherheit

2FA für Laien

Thomas Heide hat dies geteilt, 9 Tage her
unbeantwortet

Bisher habe ich von einem beliebigen Gerät im Browser mit einem Passwort meinen Mailbox-Account geöffnet.

Die Installation eines Software-Token (2FA App) auf meinem Smartphone traue ich mir zu.
Kann ich dann den Mailbox-Account nur vom selben Smartphone öffnen (weiterhin Browser oder separates Programm)?
Wie wird Passwort und OATH-, TOTP-, HOTP- oder mOTP eingeben/übertragen wenn ich den Account von einem anderen Gerät öffnen möchte?

Funktionieren Hardware Token (YubiKey) rein über Server, so dass ich auf einem (fremden) Gerät nichts installieren muss?

Vielen Dank im Voraus für die Darstellung der Basics.

2 Ich habe die gleiche Frage

Antworten (3)

Foto
1
Stephan 9 Tage her

Die von einer 2FA-App erzeugten TOTP-Codes sind nichts anderes als sechs Ziffern, die Du während der Anmeldung eingeben musst. Es ist somit egal, auf welchem Gerät die App installiert ist.

Für einen Hardware-Token musst Du nichts installieren, der wird vom Browser automatisch erkannt.

Antworten
Foto
1
Thomas Heide 8 Tage her

Vielen Dank für die Beschreibung.

Die 2FA-App interpretiere ich wie die alte SMS-TAN -> damit kann ich mich mit anfreunden.

Wenn der Hardware-Token im Hintergrund automatisch abläuft verstehe ich den Sicherheitsgewinn nicht.

Aber ich bin halt "nur" ein Konstrukteur und kein Informatiker.

Foto
1
Stephan 8 Tage her

Eine 2FA-App ist sicherer als die SMS-TAN, denn letztere kann abgefangen werden, z.B. durch eine ergaunerte SIM-Karte.

Die Sicherheit beim Hardware-Token basiert darauf, dass Du die Hardware besitzen musst und sie nicht duplizierbar ist. Eine Interaktion ist trotzdem notwendig, so musst Du beim Anmelden eine Taste betätigen oder einen Fingerabdruck scannen. Außerdem ist durch Kryptographie sichergestellt, dass der Token nur mit der korrekten Webseite kommuniziert: Einen 2FA-Token, woher auch immer, könntest Du ja theoretisch auch auf einer gut gemachten Phishing-Seite eingeben.

Foto
1
Thomas Heide 7 Tage her

Wenn ich das richtig verstehe, muß ich jedes Gerät beim Hardware-Token anmelden, beziehungsweise einen neuen Token erstellen. Mein frisch erlangtes Halbwissen werde ich noch etwas vertiefen und mich dann für ein Verfahren entscheiden.

Nochmals vielen Dank.

Foto
1
thgeiges 7 Tage her

Ich verwende schon länger für diverse Anbieter, die 2FA mit TOTP anbieten, einen Hardware-Authenticator von Reiner SCT. Vereinfacht: auf ihm speichert man für jeden Anbieter/Dienst den jeweiligen "Faktor" mittels des angezeigten QR-Codes. Dann erzeugt das Gerät jeweils "auf Knopfdruck" den 6-stelligen TOTP-Token, den man bei der Anmeldung zusätzlich zu Benutzer und Passwort eingibt. So hat man für viele Anbieter unabhängig vom benutzten Gerät eine Hardware, die dazu noch keinerlei physikalische Verbindung zu PC oder Smartphone hat. Das Gerät ähnelt optisch einem der bekannten TAN-Generatoren und kann selbst auch nochmal durch eine PIN gesichert werden.

Foto
1
Stephan 7 Tage her

@Thomas, das ist so nicht korrekt. Du musst den Token bei jedem Dienst registrieren, bei dem Du ihn nutzen willst. Danach kannst Du ihn an jedem Gerät zur Anmeldung nutzen.

Foto
1
thgeiges 7 Tage her

Natürlich für jeden Dienst separat, so hatte ich es auch gemeint. Habe meinen Text verbessert. Aber eben nicht für jedes Gerät separat.

Foto
1
Stephan 7 Tage her

Ich meinte Dich gar nicht mit Thomas. 😅

Foto
1
thgeiges 7 Tage her

Ertappt, es ist schon spät am Abend. ;-) Habe meinen Text trotzdem mit Deiner Hilfe verbessert.

Foto
Foto
2
thgeiges 9 Tage her

Ich finde, hier werden die beiden Verfahren recht gut beschrieben: https://kb.mailbox.org/de/privat/sicherheit-privatsphaere/die-zwei-faktor-authentifizierung-einrichten

Beachte jedoch, dass neu nur noch das Verfahren mit TOTP angeboten wird. Das Verfahren mit PIN und OTP-Token wird auslaufen.

Antworten
Foto
1
Thomas Heide 8 Tage her

Auch hier vielen Dank für den Hinweis.

Er erspart mir potentielle Fehlversuche

Foto
Foto
1
AtzeRV 7 Tage her

Hallo, die 2FA Authentifizierung ist gut und mit TOTP sollten die meisten schon in Verbindung gekommen sein.

Jedoch bei mailbox.org, nach der Aktivierung - nur Probleme. Anmelden klappt nicht mehr richtig, mindestens immer 2 Versuche, Einmalpasswort geht auch nicht, der Keycloak User funktioniert nicht - ich kann nur dringend davon abraten im Moment. Tickets habe ich schon erstellt - jedoch mit unwesentlichen Erfolg.

Ich bin zu mailbox.org gewechselt um den US Clouds zu entkommen. Resümee jetzt: würde ich nicht mehr machen. Die Probleme rund um mailbox.org hemmen meinen Tagesablauf, Mails empfangen, versenden traue ich nicht mehr und ständig poppt ein Passwort Fenster für Passwort Eingabe auf obwohl alles richtig eingetragen ist.

Es stimmt mich etwas traurig - hatte ich auf Deutsche Wertarbeit gehofft (in den Foren und KI sticht hier mailbox.org heraus) - doch die Umstellung auf Login 2.0 zeigt - es war nicht nur schlecht vorbereitet und vor allem nicht ausgiebig getestet.

Vielleicht ist mein Anspruch zu hoch, doch als Service Manager erwarte ich ein funktionierendes System, natürlich gibt es hier und da Probleme, sonst bräuchten wir ja keinen Service, es gibt auch einmal ein Disaster, alles okay. Aber dann über Tage hinweg auf Lösungen warten kann ich mir nicht leisten und wir reden in der Zwischenzeit von mehr als 5 Tagen.

Also muss ich jetzt erst einmal wieder in US Cloud und noch einmal in mich kehren, nach einer neuen stabilen - reliable Lösung suchen.

Antworten
Foto
1
Stephan 6 Tage her

Die von Dir genannten Probleme kann ich nicht nachvollziehen, bei mir sind sie weder während der Beta-Phase noch mit der freigegebenen Version aufgetreten. Wenn 2FA-Codes nur manchmal erkannt werden, ist die häufigste Ursache eine ungenaue Uhrzeit auf dem Gerät, das die Codes generiert.

Foto
1
AtzeRV 3 Tage her

Hallo Stephan,

vielen Dank für Deine Antwort. 2FA habe ich so weit auch keine Probleme und das funktioniert tatsächlich einfach und gut.

Problem treten beim Abruf von Kalender, Mails etc. auf, hier möchte der User/Password Ansatz mit Keycloak bei mir einfach nicht funktionieren.

Ich habe das auch beim Support gemeldet und warte jetzt seit über 1 Woche auf eine Antwort, so dass ich Emails mit meinem Client wieder verwenden kann. In der Zwischenzeit war ich gezwungen die Migration von Mailbox.org durch ein Rollback rückgängig zu machen. Leider.

Nochmals Danke für Deine Antwort!

Foto
1
Stephan 3 Tage her

Auch Kalender und E-Mails habe ich über applikationsspezifische Passwörter in mehreren verschiedenen Clients (Thunderbird, DavX, mbsync, ...) eingebunden. Magst Du einmal im Detail aufschreiben, wie Du beim Setup vorgehst?

Foto
1
mailbox.org Support 3 Tage her

Hallo AtzeRV,

wir haben das gerade geprüft und konnten kein Ticket von Ihnen zu diesem Thema finden. Bitte senden Sie unserem Support die Ticketnummer unter der Sie das Ticket eröffnet haben an helpdesk@mailbox.org mit einem Verweis auf diesen Foreneintrag. Dann können wir der Sache nachgehen.

Mit herzlichen Grüßen

Ihr mailbox.org-Team


---

Ein paar nützliche Links:

155bf1e6f39ed321ec27e5d5d44e8c95

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen
© 2025 mailbox.org