Willkommen im User-Forum von mailbox.org
 

haveibeenpwned Abfrage für Mail-Extensions

marco hat dies geteilt, 5 Monaten her
unbeantwortet

Hallo zusammen,


mir stellt sich derzeit aus aktuellem Anlass (Collection#1) die Frage, wie die Integration von haveibeenpwned in Verbindung mit Mail-Extensions funktioniert, bzw. ob das funktioniert.

In der KB und im Forum wurde ich dazu nicht wirklich fündig, und technisch ist das nicht ganz mein Gebiet.


Die konkrete Frage ist also:

Können auch die von mir genutzten Mail-Extensions irgendwie über die Integration von haveibeenpwned.com hier automatisch geprüft werden? Und wenn ja, wird das auch gemacht?


Mit meinem Halbwissen kann ich mir nicht recht zusammenreimen wie das klappen soll, aber ist eben nur Halbwissen.


Schon mal vielen Dank für eine Antwort!

Kommentare (8)

Foto
1

Getestet werden nur echte mailbox.org-Adressen, welche tatsächlich als Aliase im Webmailer angelegt wurden. Extension-Adressen werden nirgends hinterlegt und dienen nur als Alias-Ersatz und der persönlichen Übersicht.


Wenn eine Extension-Adresse gepwned wurde, ist ja theoretisch auch der dahinterstehende echte Alias gefährdet, da jeder „Hacker“ sich denken kann, wenn ich das Plus weglasse kriege ich bestimmt die echte Adresse.


Automatische Tests lassen sich hierzu nur durch Tools machen, ggf. sogar im Passwortmanager selbst, siehe


https://github.com/andrew-schofield/keepass2-haveibeenpwned

Foto
1

Verstehe ich nicht. Es muss ja nicht das MBO-Postfach gehackt worden sein, sondern es kann Webshop XY gewesen sein, wo man sich mit einem Mailbox-Alias und Passwort für den Shop angemeldet hat. Und schon könnte auch die Alias-Adresse gelistet werden.

Foto
1

Und nun? Die Frage ist doch nicht, was hier angeboten wird, sondern ob der Dienst Have I been pwned selber die Extension mittesten kann.


Die Frage des TO ist sehr interessant, und es sieht so aus, dass es nur eine Lösung gibt: durchgehend das Angebot von 2FA für Anmeldungen. Anders kann man das wohl nciht wirklich lösen. Bis dahin helfen nur gute Passwortmanager mit superstarken Passwörtern.

Foto
1

eine Machine kann doch nur testen, was sie auch kennt. Woher soll die Implementierung von mailbox.org wissen, welche Extensions wir uns erdacht haben, wenn sie nirgends eingetragen wurden? Deshalb der Verweis auf die Passwortmanager. Dort könnt ihr alles selbst eintragen und gg. den Pwned-Service testen lassen ...

Foto
1

Na ja, dann kann die Maschine aber testen nach dem Schema Alias+*@mailbox.org. Das dürfte aber Probleme geben, denn wie will man so was hashen?

Dann bleibt aber immer noch die Frage, ob HIBP das testen kann und es auch tut.

Ich maile die nachher mal an und frage, falls ich eine Antwort kriege, melde ich mich.

Foto
1

Moinmoin,


Danke für die Antworten erstmal!


Dass Mailbox die von mir irgendwo angegebenen Extensions kaum wissen kann, war genau ein Punkt der mir in den Sinn kam.

Nur ob eben HIBP irgendwie damit umgehen kann, wenn man so wie in der vorherigen Antwort beschrieben sucht...da war ich dann raus.


Andere Überlegung von mir war die folgende, auch wenn mir klar ist dass das eher nicht der Fall sein wird:

Ich vermute ja, in aller Regel werden auch die zu den Extensions passenden Ordner im Postfach verwendet, um auch die automatische Sortierung zu haben.

Möglich wäre es jetzt ja, einfach so zu tun, als wäre jeder Ordnername auch sicher eine Extension, und diese Addresse wird dann bei HIBP abgefragt.

Ist halt etwas blind losgejagt, könnte ja auch einfach ein Ordner ohne zugehörige Extension sein. Obendrein müsste man das ja für alle Kombination aus Ordnern und Adessen (Haupt & Aliase) machen, was schnell viel werden kann...


Unter'm Strich geht es mir hauptsächlich darum zu wissen, was die Integration von HIBP in Mailbox derzeit leistet, und wo ihre Grenzen sind, speziell bei genutzten Extensions.


Grüße, Marco

Foto
1

Gib einfach mal eine deiner Extened-Mailadressen bei have I been pwned ein und schau, was der Dienst dir sagt. Ich maile die Leute da mal an und frage, wie die das machen mit Extensions.


Was bleibt, ist unabhängig davon schon klar: Da 2FA nciht überall geht, braucht man Passwortmanager und sehr starke, für jeden Dienst getrennte Passwörter.


Mit KeePass für den Rechner und z.B. KeePass2Android gibt es Programme, die genau das können. Wenn man das so einrichtet, dass die Programme gegen eine einzige Referenz syncen, hat man alle Passwörter greifbar und kann extrem sichere Passwörter verwenden.

Foto
1

Keepass ist aktuell schon so im Einsatz.

Jeder Account hat sein eigenes, vom Generator erzeugtes Zufalls-PW, in der Regel so lange wie vom jeweiligen Dienst erlaubt.

2FA steht bei einigen Dingen noch auf dem Plan, erstmal muss aber die Grippe weg ;)


Meine Frage hier bzgl HIBP geht ja auch eher um das Verständnis. Ich möchte nur wissen was diese Lösung leistet, auch um dann ggf. lieber was anderes zu nutzen (oder mir den Aufwand sparen zu können).

Foto