Willkommen im User-Forum von mailbox.org
 

Anwendungsspezifische Passwörter

8592164 hat dies geteilt, 2 Jahren her
unbeantwortet

Hallo,


ich vermisse die Option 2FA zu aktivieren und dann jedoch zusätzlich jeweils ein anwendungsspezifisches Passwort für alle Nicht-WebClients einrichten und verwenden zu können. So war ich es von Yahoo und Google-Mail gewohnt.


Denn, was bringt mir 2FA wenn es nur für das Webinterface greift. Die Option nur noch das Webinterface zu verwenden ist für mich keine.


Bitte um eine Auskunft dazu.


Grüße

Adam Engelhard

Kommentare (4)

Foto
1

Hallo,

anders als bei Google & Co meldet man sich hier bei aktivierter 2FA am Webinterface nicht mit Passwort + OTP sondern mit einer PIN + OTP an. Das Passwort hat somit nichts mehr mit dem Webinterface zu tun und wird nur noch für Apps genutzt. Man hat damit (ein frei wählbares) Passwort das wie anwendungsspezifische Passwörter nur noch von Apps benutzt wird.

Foto
1

Hallo


bei Google & Co. ist das anwendungsspezifische Passwort nur mit einer Anwendung gültig und nicht übertragbar, so verstehe ich es. Hier könnte ich mir irgendein Webclient einrichten und vorausgesetzt meine Email und Passwort ist bekannt, kann doch so die 2FA einfach umgangen werden? Oder nicht?


Grüße

A.Engelhard

Foto
1

Hallo,

soweit ich das verstehe ist das genannte Angriffsszenario möglich. Ob und was mailbox.org hier tun könnte weiß ich nicht da das bei Google entweder über die OAuth Technologie oder über Tracking der Geräte funktionieren muss, da ja ein anwendungsspezifisches Passwort ohne das Wissen zu welchem Gerät / App es gehört ja auch wiederverwendet werden könnte. Und da Tracking der Geräte bei einem Anbieter der sich Datenschutz auf die Fahnen geschrieben hat ist problematisch, ist also auch ein klassischer security/privacy trade-off.

Die andere Frage ist wie hoch man das Risiko einschätzt das jemand an das Passwort kommt. Da das Passwort nicht mehr für den Web Log-in nutzt und damit das Passwort nicht auf fremden / öffentlichen / unsicheren Rechnern in Umlauf kommen kann bleiben als Risikofaktoren noch die eigenen Geräte und verwendeten Apps übrig. Ein gewisses Risiko bleibt, ist aber deutlich reduziert.

Ich persönlich glaube das es schon ein guter Schritt wäre wenn man verschiedene Passwörter für die verschiedene Dienste (also IMAP, CalDav, CardDav, WebDav, ...) hätte da man so nicht jeder Anwendung Vollzugriff gewähren müsste.

Aber im Moment ist es wie es ist und ob / wie man damit zurechtkommt muss am Ende jeder für sich entscheiden.

Gruß

jmr

Foto
1

nicht ganz, mann muss sich zum Beispiel im Browser mit dem Passwort anmelden um das Forum zu nutzen.

Foto