Willkommen im User-Forum von mailbox.org
 

Frage wegen der Verwendung der E-mail Aliase und Sicherheit

4279569 hat dies geteilt, 2 Jahren her
vorgeschlagen

Guten Tag,


es können drei E-Mail Aliase erstellt werden. Jetzt frage ich mich inwieweit die Verwendung von diesen E-Mail Aliasen für die Sicherheit dienlich sind. Ich habe mir leider sehr oft neue E-Mail Aliase erstellt. Diese ab und an verwendet und wieder gelöscht. Jetzt ist die Frage, ob mir das jetzt irgendwie zum Nachteil gereichen kann. Desweiteren interessiert mich auch, ob jmd. durch meine Haupte-mail Adresse auch an meine Aliase kommt. Ist es sinnvoll nur mit einer E-Mail Adresse zu arbeiten oder sollte man ruhig mit mehreren E-Mail Adressen im Internet bzgl. Accounts arbeiten?


Gruss

Beste Antwort
Foto

Hallo,

ist finde das ist eine sehr interessante Frage. Hier mal die Gedanken die mir spontan dazu einfallen.

"Ich habe mir leider sehr oft neue E-Mail Aliase erstellt. Diese ab und an verwendet und wieder gelöscht. Jetzt ist die Frage, ob mir das jetzt irgendwie zum Nachteil gereichen kann."

Ein großes Gefahrenpotential sehe ich auf den ersten Blick nicht, vor allem wenn vor dem Löschen eines Aliases auch die Emailadressen der Accounts für die der Alias genutzt wurde auf eine gültige und aktiv genutzte Adresse geändert wurde. (Um auszuschließen das ein Dritter der vielleicht jetzt den Alias nutzt persönliche Nachrichten bekommen kann.)

"Desweiteren interessiert mich auch, ob jmd. durch meine Haupte-mail Adresse auch an meine Aliase kommt."


Auch das sollte meiner Meinung nach auf diese Art und Weise nicht möglich sein.


"Ist es sinnvoll nur mit einer E-Mail Adresse zu arbeiten oder sollte man ruhig mit mehreren E-Mail Adressen im Internet bzgl. Accounts arbeiten? "


Zu dieser Frage würden mir spontan vor allem nicht strikt sicherheitsrelevante Gründe einfallen:


  • Wenn man nicht jedem Dienst seinen Klarnamen mitteilen möchte kann man einen Alias so einrichten, dass der Klarname nicht mitgesendet wird


  • Man könnte z.B privates & Dinge wie Konten bei Onlineshops auf anderen Adressen laufen zu lassen, damit die Privatadresse nicht so stark in Umlauf kommt und damit eventuell von Spam verschont bleibt. Sollte die „Onlineshopadresse“ jemals Spamprobleme bekommen, so könnte man zudem einfach diese Adresse durch eine neue ersetzen ohne die private Adresse ändern zu müssen. Oder man kreiert zwei "Onlineshopadressen" um bei einem Tausch der Adresse wegen Spam weniger Accounts anpassen zu müssen.


Eine sicherheitsbezogene Überlegung gibt es jedoch. Meiner Meinung nach ist das aber eine Sache die man erst in Erwägung ziehen sollte wenn man grundlegendere Sicherheitsaspekte abgearbeitet hat (Verwendung von einzigartigen Passwörtern und 2-Faktor-Authentifizierung), da diese eine deutlich stärkere Sicherheitswirkung haben.


Man kann einen Alias (den man nur selber kennt und nirgends anderes nutzt) als Hauptadresse setzen und die Hauptadresse zu einem Alias degradieren. Die Idee dahinter ist folgende: Nehmen wir mal an das ein Onlineshop gehackt wurde und dadurch Emailadresse und Passwort dieses Dienstes Hackern zur Verfügung steht. Ein Hacker wird dann versuchen sich mit diesen Anmeldedaten bei mailbox.org anmelden, weil wer Zugriff zum Email Account hat kann durch die „Passwort vergessen“ Schaltflächen praktisch in alle anderen Accounts kommen. Wenn nun die geleakte Emailadresse nicht die Hauptadresse ist, so kennt der Angreifer nicht die Emailadresse die für den Log-In benötigt wird. In diesem Fall käme der Angreifer dadurch selbst dann nicht ins Email Konto wenn das geleakte Passwort dem Passwort bei Mailbox.org entspricht. Man hätte also damit einen weiteren Sicherheitsfaktor.

Kommentare (5)

Foto
2

Hallo,

ist finde das ist eine sehr interessante Frage. Hier mal die Gedanken die mir spontan dazu einfallen.

"Ich habe mir leider sehr oft neue E-Mail Aliase erstellt. Diese ab und an verwendet und wieder gelöscht. Jetzt ist die Frage, ob mir das jetzt irgendwie zum Nachteil gereichen kann."

Ein großes Gefahrenpotential sehe ich auf den ersten Blick nicht, vor allem wenn vor dem Löschen eines Aliases auch die Emailadressen der Accounts für die der Alias genutzt wurde auf eine gültige und aktiv genutzte Adresse geändert wurde. (Um auszuschließen das ein Dritter der vielleicht jetzt den Alias nutzt persönliche Nachrichten bekommen kann.)

"Desweiteren interessiert mich auch, ob jmd. durch meine Haupte-mail Adresse auch an meine Aliase kommt."


Auch das sollte meiner Meinung nach auf diese Art und Weise nicht möglich sein.


"Ist es sinnvoll nur mit einer E-Mail Adresse zu arbeiten oder sollte man ruhig mit mehreren E-Mail Adressen im Internet bzgl. Accounts arbeiten? "


Zu dieser Frage würden mir spontan vor allem nicht strikt sicherheitsrelevante Gründe einfallen:


  • Wenn man nicht jedem Dienst seinen Klarnamen mitteilen möchte kann man einen Alias so einrichten, dass der Klarname nicht mitgesendet wird


  • Man könnte z.B privates & Dinge wie Konten bei Onlineshops auf anderen Adressen laufen zu lassen, damit die Privatadresse nicht so stark in Umlauf kommt und damit eventuell von Spam verschont bleibt. Sollte die „Onlineshopadresse“ jemals Spamprobleme bekommen, so könnte man zudem einfach diese Adresse durch eine neue ersetzen ohne die private Adresse ändern zu müssen. Oder man kreiert zwei "Onlineshopadressen" um bei einem Tausch der Adresse wegen Spam weniger Accounts anpassen zu müssen.


Eine sicherheitsbezogene Überlegung gibt es jedoch. Meiner Meinung nach ist das aber eine Sache die man erst in Erwägung ziehen sollte wenn man grundlegendere Sicherheitsaspekte abgearbeitet hat (Verwendung von einzigartigen Passwörtern und 2-Faktor-Authentifizierung), da diese eine deutlich stärkere Sicherheitswirkung haben.


Man kann einen Alias (den man nur selber kennt und nirgends anderes nutzt) als Hauptadresse setzen und die Hauptadresse zu einem Alias degradieren. Die Idee dahinter ist folgende: Nehmen wir mal an das ein Onlineshop gehackt wurde und dadurch Emailadresse und Passwort dieses Dienstes Hackern zur Verfügung steht. Ein Hacker wird dann versuchen sich mit diesen Anmeldedaten bei mailbox.org anmelden, weil wer Zugriff zum Email Account hat kann durch die „Passwort vergessen“ Schaltflächen praktisch in alle anderen Accounts kommen. Wenn nun die geleakte Emailadresse nicht die Hauptadresse ist, so kennt der Angreifer nicht die Emailadresse die für den Log-In benötigt wird. In diesem Fall käme der Angreifer dadurch selbst dann nicht ins Email Konto wenn das geleakte Passwort dem Passwort bei Mailbox.org entspricht. Man hätte also damit einen weiteren Sicherheitsfaktor.

Foto
1

Danke jmr für deine ausführliche Antwort, die mir geholfen hat.


Weiterer Vorteil ist natürlich das mailbox.org über ein sehr sicheres E-Mail System als solches läuft.

Foto
2

Gerne, freut mich das ich dir weiterhelfen konnte.


Das ist natürlich auch ein absolut wichtiger Punkt. Generell glaube ich das man vor weit mehr als 90% aller Sicherheitsprobleme geschützt ist wenn a) einen fähigen Anbieter hat, b) eine gute Passwortstrategie hat und c) die 2-Faktor-Authentifizierung aktiviert hat.

Foto
1

Kannst du nochmal in wenigen Worten Punkt c) genauer erklären, damit auch jeder weiss wie das geht. Danke :)

Foto
2

Klar, gerne :)


Wenn die 2-Faktor-Authentifizierung aktiviert ist meldet man sich im Webmailer mit einer PIN + einem zeitbasierten Einmalpasswort anstatt mit dem klassischen Passwort an.


Wenn du weiterhin auch durch Apps auf dein Konto zugreifen möchtest bleibt das alte Passwort aktiv und wird dafür genutzt. Die 2-FA schützt dann ausschließlich den Log-In in den Webmailer über unsichere Rechner / Kanäle da das Einmalpasswort nach ca. 30 Sekunden seine Gültigkeit verliert.


Du kannst auch den Zugriff durch Apps abschalten und wärst dann immer zusätzlich durch das zeitbasierte Einmalpasswort zusätzlich geschützt, ob man dafür auf Apps verzichten möchte muss aber jeder selber entscheiden :)


Welche Möglichkeiten zum Generieren der Einmalpasswörter unterstützt werden und weitere Informationen hier: https://support.mailbox.org/knowledge-base/article/zwei-faktor-authentifizierung

Foto