Willkommen im User-Forum von mailbox.org
 

FreeOTP - Wie einrichten?

Der König hat dies geteilt, 3 Jahren her
beantwortet

Hallo,


ich begreife bei den zig Optionen nicht, wie ich die 2 Faktor-Anmeldung für Mailbox einrichte, so dass ich das 2. Passwort über die FreeOTP-App erhalte. Werde aus den FAQs nicht schlau. Würde sich mal jemand erbarmen, dies verständlich zu verschriften? War bei Posteo & Google eine Sache von 2 Minuten ...


An dieser Stelle ein Dankeschön für die neuen Features.

Kommentare (62)

Foto
1

In den Mneüpunkt One Time Passwört gehen,

Dropdown "Webinterace OTP, alles andere Passwörter" auswählen,

Dropdown "OTP-Generatoren und andere Yubikeys" auswählen.


Erster Reiter im FreeOTP ist ausgewählt, also einfach nur "erstellen Sie Ihren Token" klicken und den QR-Code mit einem QR-Scanner abfotografieren.8c0bdd3fea82338065896bf82984ea73

Foto
1

Hi Peer,

bei mir im Firefox erscheinen die Tabs nicht.

Ich sehe lediglich das Fenster von "PIN" bis "Daten absenden". Adblocker ist deaktiviert.

Foto
1

Die Tabs erscheinen nur, wenn Sie für "OTP-Methode" die Option "OTP-Generatoren und andere Yubikeys" auswählen.


Erhalten Sie irgendeine Fehlermeldung an Stelle der Tabs?

Foto
2

Selbes Problem bei mir, wie auch bereits einige andere (siehe Thread "Einrichtung von OTP gestört"


8125cab3485e95855ceb5cfecbd0f5bc

Foto
1

Das Feld bleibt einfach leer, weitere Auswahlmöglichkeiten werden nicht angezeigt.


Safari 9.1.1 mit OS 10.11.5

Foto
Foto
2

Nein. Ich erhalte oben grün die Bestätigung, dass OTP aktiviert ist.

Habe mich so eben schon aus meinem Konto ausgesperrt ... hatt Gott sei dank noch einen Tab offen, wo ich das rückgängig machen konnte ...

Foto
1

Mit Iron getestet,

hier bekomme ich als PIN mein Kennwort angeboten.

Wenn ich dies übernehme und bestätige, dann darunter die Auswahlen treffe, erscheint sofort "Zeitüberschreitung".

Foto
1

Wir schauen uns das heute Abend an. Bei uns und unseren Tests und den BETA-Testern klappte das. Da laufen also irgendwelche Einzelfallsachen.

Foto
1

Alles klar. Berichtet dann mal.

Foto
2

Wir haben das Problem eingekreist und ich hoffe, das Team kann es in den kommenden 30-45min fixen. Dann sollte es bei allen funktionieren.

Foto
2

Die OTP-Konfiguration ist jetzt verfügbar. Entschuldigung für die Probleme, das Feature war im Releaseprozess heute nicht vollständig für die Kunden freigegeben worden.

Foto
1

OK, danke.

So, die Reiter erscheinen jetzt, Code eingescannt.

Und nu?

Abgemeldet. Wieder normal mit Passwort angemeldet und drin im Account.

Nichts mit 2Auth.

Wenn ich in den Einstellungen auf "One-Time-Passwörter" gehe,

ist dort wieder alles leer ...

Foto
2

Ich kann mich nicht mehr in meinen Account einloggen.

Sorry, aber das geht gar nicht!

Foto
1

@9736535 Hast du nach dem Anlegen des Tokens auch weiter oben

auf "Daten absenden geklickt" und einen grünen Bestätigungsbalken am oberen

Seitenrand bekommen ("Ok ....") ? Das habe ich zunächst vergessen zu tun.


Edit: Ich sehe gerade, du hast früher schon gepostet, dass du einen grünen Bestätigungsbalken bekommen hast ... also hat sich mein Hinweis schon erledigt.


Bei mir funktioniert es aber auch nicht. Ich komme nämlich gar nicht mehr ins Webmail

und kann nur noch das Passwort samt OTP zurücksetzen.

Vielleicht wartet man besser, bis alle Kinderkrankheiten raus sind ...

Foto
6

Falls noch jemand beim Login scheitert:

Ich habe mit viel herumprobieren endlich herausgefunden, wie das Login mit OTP funktioniert. In das Passwortfeld muss man die Pin, direkt gefolgt vom generierten Code, als eine lange Zahl eingeben!

Das ist leider so nicht klar dokumentiert.

Ich hatte es erst mehrmals nur mit den Codes versucht, dann nur mit der PIN und auch nur mit dem alten Kennwort und dachte schon, ich müsste das Kennwort zurücksetzen lassen. Meine Annahme war einfach, dass beide Daten separat und nacheinander abgefragt würden.

Foto
1

Danke schön! Da wäre ich so schnell nicht draufgekommen. Sollte das irgendwo dokumentiert sein, habe ich es übersehen!

Foto
2

Danke! Ich hatte schon befürchtet, dass es darauf hinausläuft, daß eine separate OTP-Abfrageseite einfach fehlt (bei Google, Posteo usw. hat man diese ja).

Ich muß das auch übersehen haben, in der Dokumentation ist es jedenfalls nirgendwo ganz deutlich und sichtbar angegeben, was da eigentlich konkret beim Login wie und wo ablaufen soll ... Man denkt ja, daß es einfach so funktioniert.

Foto
2

Diese Antwort hat mir den Passwort-Reset und eine Menge Arbeit erspart. Ich habe zu erst nach einer gesonderten Seite gesucht, die für den Login mit OTP verantwortlich ist.

Wie bist du überhaupt darauf gekommen, dass die PIN vom OTP-Code gefolgt als "Password" genutzt werden muss?


Der mailbox Support muss unbedingt in der Dokumentation darauf hinweisen. Undzwar mit riesigen Lettern. Als technisch versierter Nutzer (über-)lese ich viele Dinge und meine, dass das Meiste nicht wichtig ist, weil bekannt. Aber sowas muss deutlich kommuniziert werden.

Foto
1

Ich bin auf die YubiKey Doku hier gestoßen: https://support.mailbox.org/knowledge-base/article/webmail-mit-one-time-passwords. Dieser Satz: "mailbox.org bietet hier mit PIN+OTP eine echte

2-Faktor-Authentifizierung. Fachleute sprechen von der Kombination aus

Besitz (Hardware) und Wissen (PIN).", bzw. das "PIN+OTP" darin hat mich in meiner Verzweiflung darauf gebracht, das wörtlich zu nehmen und PIN+OTP hintereinander als Passwort zu versuchen.

Dokumentiert ist das aber weder in der Doku, noch gibt die Benutzeroberfläche irgendeinen Hinweis darauf. Hier muss mailbox.org wirklich noch nachbessern.

Foto
3

"Doku nachbessern" ist angekommen, wir sind schon dabei.

Foto
1

Soll wahrscheinlich innovativ sein ... - wird das eigentlich alles von den OpenXChange-Machern verzapft? Sorry, aber ich finde es miserabel umgesetzt.

Foto
Foto
4

Okay, also OTP lasse ich fürs Erste dann doch bleiben. :(

Das kostet mich dann doch zu viele Nerven.

Daß man jetzt jedes Mal nach dem Login andere Account-Paßwörter

wiederherstellen muß, ist alles andere als praktikabel.

Wahrscheinlich habe ich auch da wieder etwas übersehen, aber

nun habe ich genug herumprobiert.

Edit: hier steht es, wo das Problem liegt:

https://support.mailbox.org/topic/trennung-der-sicherheit-verkn%C3%BCpfter-konten-vom-yubikey

Foto
1

Ich verstehe Dein Problem nicht? Das was Du verlinkst hat was mit der besonderheit externer Accounts und der OTP Implementierung zu tun. Hier geht es darum wie OTP installiert und verwendet wird.

Foto
1

Verzeihung, ich bin in meinem Frust nach so viel

Probiererei vom Thema abgekommen.

Daß externe Accounts mit OTP nicht benutzbar sein würden, steht außer in jenem anderem Thread auch schon in einem kleinen Absatz in der Dokumentation. - Das war mir aber zunächst erst entgangen.


Die Frage in diesem Thema ist ja schon beantwortet.

Foto
Foto
1

Ich komme nach wie vor nicht in mein Postfach. Ist dies durch einen Passwort Reset dann wieder möglich?

Foto
1

Ja, ist es.

Foto
Foto
2

Die Umsetzung ist wirklich … also vom Benutzerinterface ist das wirklich so ziemlich das Schlimmste was ich in letzter Zeit gesehen habe.


Warum denn plötzlich das mit der Pin? Einfach das alte Passwort behalten und danach eine zweite Seite schalten in der der Code von der Authenticator App abgefragt wird, so wie das überall sonst absoluter Standard ist.


Da waren eindeutig Techniker am Werk und keiner von den Testern hat die Eier in der Hose gehabt, das UX zu bemängeln. Schade eigentlich. Dabei hat das so lange gedauert das überhaupt umzusetzen, hätte man meinen können, dass da eine gute und Komfortable Lösung bei raus kommt … stattdessen haben wir sowas. Naja, es funktioniert irgendwie …


Und die versprochene U2F Yubikeys Unterstützung gibt es auch nicht. :(

Foto
2

Wir finden das Interface auch (noch) nicht toll. Das ist das (von uns bereits etwas durchgeräumte) Standard-Interface der verbreiteten LinOTP-Lösung, die man für sowas sinnvollerweise einsetzt. Die ist leider wenig mit Templates beeinflußbar, aber wir arbeiten dran. Aber deswegen wollten wir trotzdem keine weitere Zeit verlieren.


Das Passwort mit dem OTP-Token zu versehen ist allerdings eine extrem suboptimale Idee, denn dann würde ja eben DOCH bei jedem Login das Passwort für Dritte kompromittierbar transportiert werden und aus technischen Gründen gibt es auch viele Protokolle, bei denen OTP nicht geht oder keinen Sinn macht und wo ein man-in-the-middle das mitgelesene Passwort gewinnbringend nutzen könnte. Insofern ist der PIN-Code keine blöde Idee, sondern geradezu zwingend notwendig, alles andere wäre eine Farce.

Foto
1

Ok, das Argument mit den Passwörtern kann ich teilweise nachvollziehen. Sollte eigentlich kein großes Problem sein, schließlich ist die Verbindung mit TLS gesichert und wenn der Angreifer auf dem Client im Betriebssystem oder Browser sitzt, dann hat man ganz andere Probleme ;) … aber ich kann es ein Stück weit nachvollziehen.


Trotzdem der Vorschlag: trennt das bitte in zwei Eingabefelder auf das ist das erste Mal, dass ich gesehen habe, dass man die einfach so hintereinander schreibt. Das wäre ein wesentlich sauberes Benutzerinterface und würde für weniger Verwirrung sorgen. Hätte auch den Vorteil, dass man dann das Feld für den Authenticator Code nicht zwingend als Passwort-Feld implementieren müsste, ist für viele Anwender schwer genug so eine Zahl abzutippen, da möchte man die vielleicht nochmal sehen um sie kontrollieren zu können. Ich kann in meinem Browser die *** zwar ausschalten und sehen was ich eingegeben habe, aber dann sieht man jetzt auch die PIN, was auch suboptimal ist weil die ja geheim bleiben sollte.


Und bitte wirklich deutlicher zu dokumentieren, dass die PIN das neue Login-Passwort ergibt wäre auch sehr wichtig, das ordentlich zu kommunizieren, dann sperren sich die Nutzer nämlich nicht reihenweise selbst aus. Wurde aber weiter oben schon gesagt.


Alternativ würde ich mir da übrigens auch ein Passwort wünschen. Aus obigen Überlegungen natürlich ein anderes Passwort als für den Rest, aber ich hätte da gerne mehr Zeichen als 4×9 Ziffern zur Verfügung.


Abgesehen davon finde ich es toll, dass ihr das überhaupt umgesetzt habt. :)

Foto
Foto
1

OTP-Sicherungslevel gibt es ja zwei zur Auswahl.

Wo ist da der Unterschied?

Foto
1

Wenn Sie OTP für Webinterface, alles andere aus wählen, dann können Sie nur noch das Webinterface von mailbox.org nutzen, alle anderen Dienste für andere Clients wie Mail Programme oder Smartphones (SMTP, POP3, IMAP, CalDAV, CardDAV, ActiveSync, WebDAV) werden für Ihren Account abgeschaltet.

Wenn Sie die Option OTP im Webinterface, alles andere Passwort wählen, dann stehen alle anderen Dienste für andere Clients wie Mail Programme oder Smartphones (SMTP, POP3, IMAP, CalDAV, CardDAV, ActiveSync, WebDAV) Ihnen weiterhin zur Verfügung und die Authetifizierung für diese Dienste erfolgt mit Ihrer E-Mail Adresse und dem Passwort.

Foto
1

Wie kann ich OTP und das normale Passwort parallel nutzen? Für zuhause will ich das normale Passwort, für unterwegs OTP nehmen. Ich nutze in jedem Fall nur das Webfrontent (=SMTP, POP3 etc. ist mir egal).


Immer wenn ich meinen Yubikey aktiviere, kann ich mich in einem neuen privaten Browserfenster auch damit (OTP) einloggen, aber dann geht mein normales Passwort nicht mehr. Muss ich mich vorher explizit ausloggen? Das traue ich mir nicht so recht, weil ich mich nicht aussperren möchte.

Und ist es normal, dass ich mit dem selben Yubikey ganz viele verschiedene (anscheinend irgendwie fortlaufende) OTP-Tokens erstellen kann?

Danke im Voraus :)

Foto
1

Vor der Nutzung von OTP kann ich nur empfehlen, ein paar generelle Dinge zur Nutzung von OTP im Internet nachzulesen, wenn man bislang noch keinen Kontakt damit hatte.

OTP (One Time Password) steht dafür, dass Passworte nur einmal erscheinen, also jedes verschieden ist.


Die Anmeldung gilt je nach Einstellung entweder gar nicht (dann das feste Standardpasswort), nur für das Webfrontend (dann geht im Webfrontend das feste Standardpasswort nicht mehr bis zur erneuten Änderung in den Einstellungen, in Mailclients jedoch beispielsweise schon) oder für alle Dienste nur noch OTP.


Dass man gleichzeitig im Webfrontend OTP und das feste Passwort nutzt ist nicht möglich und widerspricht der Idee des OTP.

Foto
1

Vom Prinzip her habe ich das ganze schon verstanden, denke ich zumindest. Vermutlich habe ich mich unklar ausgedrückt. Es macht doch Sinn, zuhause das normale Passwort einzugeben, weil man nicht unter den Tisch kriechen will (wo der USB Port ist), und woanders (außerhalb der eigenen "sicheren" Umgebung) ein Passwort mittels Yubikey generieren zu lassen? Ohne dass man die Einstellungen ändern muss, bevor man die jeweils andere Methode nutzt?


Zu den forlaufenden OTP-Tokens. Klar, wenn man den Knopf kurz drückt, werden die eingegeben. Mich irritiert, dass im Einstellungsdialog mehrere OTP-Tokens vom selben Yubikey zur gleichen Zeit aktiviert werden können, und dann nicht der "konstante" Teil zur Identifizierung des Yubikeys genutzt wird. Man ist halt eher vorsichtig, wenn man etwas das erste Mal macht, und sich nicht aussperren möchte. Daher wäre eine Möglichkeit zum Ausprobieren gut.


Zum Beispiel ein Testfeld nach der Änderung der OTP-Einstellungen:

- normales Passwort geht noch -> super

- One-time-password -> geht auch

- nochmal ein neues OTP -> geht immernoch

Wie es momentan ist, muss man auf gut Glück die Einstellungen ändern, und dann eventuell feststellen, dass man sich ausgesperrt hat.

Foto
1

Tut mir leid, 9689603, aber ehrlicherweise hast Du das Prinzip nicht verstanden, wenn Du glaubst, dass Du daheim eine sichere Umgebung hast. Wenn Du nicht sicherstellst, dass kein Angreifer mit einem statischen Passwort anmelden kann, dann nützt Dir der OTP-Schutz nichts. Bei Deinen Aussagen schwingt mit, dass man das OTP doch prima in nicht kontrollierten Umgebungen (Internet-Cafes etc.) verwenden kann. Ganz ehrlich? Da sollte man vertrauliches überhaupt nicht eingeben. Aber OK, Du denkst jetzt an so etwas wie "diesem Gerät zukünftig vertrauen, sonst OTP abfragen, richtig"?


Mein Tipp wäre eher, eine vernünftige USB-Verlängerung für kleines Geld zu besorgen (benutzt Du nie einen USB-Stick?), dann muss niemand unter den Tisch.


Angst haben, Dich auszusperren, musst Du übrigens nicht, Du kannst das Passwort jederzeit leicht zurücksetzen, entweder über eine alternative Adresse oder wenn Du via IMAP/POP3 noch Zugriff hast. Dabei wird OTP dann deaktiviert.

Foto
1

Naja, dass es auch daheim nicht 100% sicher ist, weiß ich schon, darum hab ich es ja in Anführungsstriche gesetzt. Aber ich dachte tatsächlich, dass der beschriebene Anwendungsfall Sinn macht, da ein Abfangen des OTP ja nichts bringt, und das normale Passwort ja nicht eingegeben wird. Und zuhause halte ich das Risiko (Abfangen des normalen PW) für gering. Aber klar, das kann man diskutieren. Ich dachte tatsächlich daran, dass ich mich immer entscheiden kann, ob ich das normale Passwort oder OTP verwende.


Das "unsichere Internet-Cafe" wird doch explizit als sinnvolles (?) OTP Beispiel genannt?

Und das mit dem Zurücksetzen will ich trotzdem ungerne ausprobieren. Wenn das via IMAP/POP3 Zugriff und bekanntem normalen PW noch geht, dann könnte man doch auch gleich das Webinterface freischalten?

Foto
3

Das von 9689603 gewuenschte und von Stonie beschriebene Verhalten ("zuhause das normale Passwort, unterwegs OTP") wird von vielen bekannten 2FA-Implementierungen (Facebook, Outlook, Google...) angeboten.


Insofern finde ich die Frage, ob das auch bei mailbox.org geht, schon nachvollziehbar.


9689603s Verwirrung ruehrt vermutlich daher, dass hier die Konzepte "Zwei Faktor-Authentifizierung" (2FA) und "OTP" synonym verwendet werden, es aber nicht zwingend sind.


Bei den o.g. Implementierungen anderer Anbieter liegt der Fokus auf fallweisem, "sanftem" 2FA, weniger auf OTP - teilweise koennen die auf dem Generator/Telefon erhaltenen Codes mehrfach verwendet werden. Hier bei mailbox.org liegt der Fokus m.E. staerker auf "hartem" OTP.


Kurzum: mailbox.org verfolgt ein etwas anderes Konzept als die meisten "grossen" Anbieter, und entsprechend ist auch die Anwendung ein wenig anders.


Eine Idee haette ich aber noch:


9689603 koennte sich ein zweites mailbox.org-Konto ohne OTP anlegen, das die E-Mails aus dem OTP-geschuetzten Konto per POP-Abholdienst abruft. (Oder die Mails vom OTP-Konto als Kopie an das zweite Konto weiterleiten lassen.) Zuhause koennte sich 9689603 dann bequem in das zweite Konto einloggen, von unterwegs in das OTP-Konto.

Foto
3

Die Möglichkeit, sich sowohl mit 2FA als auch mit Password anzumelden,

gab es bei mailbox.org und das wurde von einige Usern als "totaler Security Fail" bezeichnet, siehe hier.


Mailbox.org hat es "unschönen Bug" bezeichnet und gefixt.


Und jetzt kommen andere User und wollen den "Security Fail" wieder als Feature haben - ich glaube im Support rauft sich gerade jemand die Haare und denkt: "Den Usern kann man es aber auch nie recht machen." ;-)

Foto
1

Zugegeben, ich war vielleicht etwas harsch in meinen Aussagen zum Verstehen und Nicht-Verstehen und entschuldige mich dafür, aber ich habe da vielleicht auch einen kleinen Fetisch.

Foto
1

Danke für alle Antworten!

Dann werde ich wohl komplett auf OTP umstellen, wenn die externen Accounts damit irgendwann mal funktionieren.

Und je nach Sinnhaftigkeit / Arbeitsaufwand / Nachfrage könnte mailbox.org ja auch drüber nachdenken, den parallelen Login als weitere Option anzubieten.

Foto
Foto
1

Ich versuche gerade auch OTP einzurichten, es wird aber keine Verwaltung eigener OTP Tokens eingeblendet. Stattdessen erhalte ich die Meldung "mailbox.org OTP service".

Meine Einstellugnen:

OTP-Sicherungslevel: Webinterface OTP, alles andere Passwort

OTP-Methode: OTP-Generatoren und andere Yubikeys

Habe es schon mit zwei verschiedenen Browsern versucht, leider ohne Erfolg. Woran kann das liegen?

Viele Grüße

Foto
1

Bitte einmal bei allen Browsern im Web-GUI abmelden und dann noch einma neu einloggen. das ist die einzige Lösung, die mir bisher dazu einfällt.

Foto
1

Ich hatte das Problem gestern den ganzen Tag, als ich heute an den Support schrieben wollte deswegen und noch einmal die exakte Anzeige kopieren wollte, ging es plörtlich.

Foto
Foto
1

Zugegeben es ist nicht optimal, aber ich finde mailbox.org hat das bestmögliche draus gemacht. Ich muss allerdings gestehen, dass ich, wenn ich nicht schon länger den YubiKey mit PIN nutzen würde, dass mit PIN und Token hintereinander weg vielleicht auch nicht verstanden hätte.


Es ist leider wie so oft in der Security, die richtig guten Lösungen erfordern so viel Enthuiasmus und zumindest stellenweise auch KnowHow, dass am Ende genau die Nutzer übrig bleiben, die die zusätzliche Sicherheit am wenigsten benötigen.

Foto
1

Fehlermeldung, die bei mir häufig erscheint:

  1. Fehler

    Bei der

    Authentifizierung trat ein Fehler auf. Möglicherweise liegt dies an

    einer kürzlichen Passwortänderung. Bitte melden Sie sich nun ab und

    melden Sie sich dann wieder mit Ihrem aktuellen Passwort an.

Foto
1

Der Fehler tritt offenbar nur beim Firefox auf.

Adressbuchfehler, von dem ich firefoxtechnisch an anderer Stelle berichtet habe, besteht auch immer noch.

Die Software reift am Kunden ...

Foto
1

Ich habe diesen Fehler auch gelegentlich, aber in letzter Zeit nur noch, wenn ich mich nicht richtig abgemeldet habe, also wenn ich mich z.B. anmelde, während ich in einem anderem Tab berits angemeldet bin.

Foto
1

Ich habe den Fehler im Safari.


Meine Vermutung ist, dass er auftritt, wenn mein TOTP kurz vorm Ablauf ist und es zwar zum Zeitpunkt meiner Eingabe noch gültig ist, aber im Verlauf der verschiedenen Anmeldevorgänge, die das System intern durchläuft, die Schwelle zur (zeitlichen) Ungültigkeit überschreitet und dadurch der Fehler auftritt. Wenn ich mich nämlich direkt danach nochmal anmelde mit einem Token, das noch 20 Sekunden oder mehr gültig ist, geht es wohl meist.

Foto
1

Nun, mein Yubikey ist nicht zeitbasiert, das kann es bei mir nicht sein.

Foto
1

Bei mir tritt der Fehler permanent auf :(

Zugriff auf alle Module ist möglich, nur nicht auf die Mails.

Es wird keine Mail angezeigt. Dort, wo die Mailordner normalerweise gelistet sind, erscheint "E-Mail-Account hinzufügen"


9be9339d82d4659fbb43a7e5584f5c51

Foto
1

Sie sind wahrscheinlich mit mehreren Browsern gleichzeitig angemeldet oder haben sich nicht korrekt abgemeldet. Bitte schließen Sie alle Browser Sessions und melden Sie sich neu an, siehe Anleitung.

Foto
Foto
1

Wie ich bereits oben schrieb: Das Verhalten tritt bei mir nur im FF auf. Von daher ... ;)

Foto
1

Noch mal eine andere Frage: Wie kann man den QR-Code eines bereits angelegten Tokens erneut anzeigen lassen?

Foto
1

Sinnvollerweise gar nicht, das wäre ja wiederum ein Security-Fail. Du kannst aber einen neuen Token setzen und dabei den QR-Code speichern oder aber den Token und den Seed (vgl. angebotenen Link).

Foto
1

Bei Posteo kein Problem ;)

Da wäre wäre die Speicherung des Tokens wohl eher ein "Security-Fail".

Foto
1

Dann hat posteo Sicherheit nicht verstanden. Wenn ich OTPs einsetze, ist das hauptsächlich gegen das Angriffsszenario "Unsicher Client (BitM)/unsichere Verbindung (MitM)" gerichtet. Wenn ich aber die Parameter des OTPs /nicht anderes steckt im QR-Code) ohne ein Problem abfragen kann, dann kann dies auch der Angreifer in einer korrumpierten oder offen gehaltenen Verbindung und dann unbemerkt die OTP-Quelle duplizieren.

Foto
1

<< Wenn ich aber die Parameter des OTPs /nicht anderes steckt im QR-Code) ohne ein Problem abfragen kann >>


Der Kram liegt da nicht offen rum, du musst dich schon entsprechend authentifizieren ... - so ein bisschen Sicherheitsverständnis haben die Posteo-Fritzen schon :D

Foto
1

Ja, und? Während der Sitzung bist Du authentifiziert (Du selbst authentisierst Dich by the way, authentifizieren kannst Du Dich nicht, das macht das System). Das Minimum wäre, dass die Abfrage der Tokenwerte eine weitere Authentisierung erfordert, wobei sich auch das je nach Token austricksen lässt.

Foto
1

Das schrieb ich doch oben, dass der Kram nicht offen herumliegt. Du kommst an den Token nur mittels OTPs. So ganz blöd sind die auch nicht.

Foto
1

Authentifiziert bist Du auch, wenn Du eingewählt bist, Du schriebst oben nichts genaueres dazu. Wenn vor dem Abruf noch einmal ein OTP abgefragt wird, ist das besser als nichts, aber immer noch nicht gut, da dann auch ein Angreifer mit simplen Tricks an den Seed kommt und den Token unbemerkt duplizieren kann. Ich sehe nicht, welchen Vorteil eine Ausgabe bietet, der den Sicherheitsnachteil aufwiegt.

Foto
1

Der Angreifer würde bei Mailbox sofort einen neuen Tokken anlegen und damit wärst du raus. ;

Aber das sind doch eh alles paranoide Hirngespinste, da mit OTP keiner ins Backend kommt. Von daher geht es ausschließlich um die fehlende Nutzerfreundlichkeit.

Wenn du dir ein neues Smartphone kaufst oder ein Gerät hinzufügen willst, das OTPs generiert, kannst du dies meinem Verständnis nach nicht tun, wenn der Code nicht gespeichert ist.

Foto
1

Ganz genau, hier müsste er einen neuen Token anlegen (oder den Token abschalten) und würde den legitimen Benutzer aussperren bzw. dessen Einwahlmodus ändern, eben weil ein unbemerktes Duplizieren nicht möglich ist, wie oben geschrieben. Ein OTP soll ja verhindern, dass ein einmal korrumpierter Zugang dauerhaft weiter benutzt werden kann und das wird so erreicht.


Paranoide Hirngespinste sind das mitnichten, eine entsprechende Schadsoftware klickt man aus einschlägigen Baukästen in Minuten zusammen, OTP/2FA überlisten war im Bankbereich schon 2011/2012 Standard. Allerdings bleibt mir der Sinn des Satzteils "da mit OTP keiner ins Backend kommt" auch ehrlicherweise verschlossen. Aber wen das paranoid ist, nutze doch weiter das einfache Passwort.


Nutzerfreundlichkeit geht so gut wie immer zu Lasten der Sicherheit, so auch hier. Richtig ist, dass man nicht aus dem Webfrontend einen eingerichteten Token duplizieren können sollte (aus genannten Gründen). Wenn man ein Gerät hinzufügen will oder ein neues Gerät hat, kein Problem: Einen neuen Token aktivieren und von mir aus auch auf zwei-drei Geräten einrichten. Allzu oft dürfte das ja nicht vorkommen, als dass die zwei Minuten dramatisch werden. Und wenn es wirklcih Massengeschäft würde (was aber dem Konzept zuwider läuft), dann sichert man eben den Seed.

Foto