Willkommen im User-Forum von mailbox.org
 

Logout des Webmailers nach Login im mailbox.org Setup mit 2FA

Jan hat dies geteilt, 1 Woche her
veröffentlicht

Jedes mal, wenn ich in mich das Mailbox Setup einloggen, und dadurch ein neues Passwort durch die 2FA generiert wird, werde ich dann im Webmailer herausgeworfen und bekomme eine Fehlermeldung angezeigt.

Das ist, wenn man die Implementierweise des 2 FA von mailbox.org kennt zwar irgendwie nachzuvollziehen, aber Kundenfreundlichkeit sieht anders aus.

Generell halte ich die 2FA für sehr schlecht implementiert und für unbedarfte Nutzer unbenutzbar. Das iframe im Setup ist schrecklich, und der zweite Faktor wird vor Aktivierung nicht noch einmal überprüft, was sicher viele Nutzer ersteinmal aussperrt (vor allem wenn man die ganzen Einstellungsmöglichkeiten nicht versteht).

Auch der Login mit PIN & 2. Faktor ist nicht für Passwortmanager geeignet, sondern einzig auf die Verwendung des YubiKeys ausgelegt. Hier sollte zumindest ein zweites Feld für den zweiten Faktor hin (die können dann im Hintergrund ja konkateniert werden).

Besser wäre aber eine generell durchgehende Implementierung der 2FA (Login mit normalem Passwort, dann Abfrage des zweiten Faktors, für IMAP-Client frei verwaltbare App-Passwörter).

Kommentare (8)

Foto
1

Man sollte sich gar nicht in das Verwaltungsmenü einloggen müssen. Das wird beim ersten "richtigen" Login eigentlich mitgemacht.

Insofern ist /das/ hier das Problem und der eigentliche Problem. Ich gebe das gleich mal an die Developer, was da los sien könnte.

Foto
1

Danke!

Da fällt mir in dem Zusammenhang noch ein zweites Problem ein: Wenn ich wegen Inaktivität ausgeloggt werde, und mein Passwort neu eingeben muss, bekomme ich den Webmailer dadurch auch nicht wieder zum laufen, sondern muss mich über die Loginseite neu einloggen.

Foto
1

Können Sie uns mitteilen welchen Browser und welche Art von 2FA Sie nutzen?

Foto
1

2FA über TOTP, Chrome, aktuell Version 72.0.3626.81, das Session Timeout Problem liegt aber schon ein bisschen zurück, den Timeout hatte ich in letzter Zeit nicht mehr.

Aktuell komme ich auch in das Setup ohne mich neu Authentifizieren zu müssen. Ich schätze, dass da auch irgendwas einen Timeout erzeugt, da der Browsertab hier am PC gerne mal mehrere Tage offen ist.

Foto
Foto
1

Das sehe ich nicht so, das hängt vom Passwortmanager ab!

Zitat: "Auch der Login mit PIN & 2. Faktor ist nicht für Passwortmanager geeignet, sondern einzig auf die Verwendung des YubiKeys ausgelegt. Hier sollte zumindest ein zweites Feld für den zweiten Faktor hin (die können dann im Hintergrund ja konkateniert werden)."

In KeePass kann man exakt festlegen, was wie passieren soll. Man kann u.a. festlegen, dass zuerst automatisch der Benutzername ausgefüllt wird, dann das Feld für die PIN / OTP-Eingabe gewechselt wird, dann automatisch die PIN eingegeben wird, und dann erstmal NICHTS passiert, also kein "Enter" gesendet wird.

Dass ein Passwortmanager nicht in der Lage ist, den 2. Faktor einzutragen, unterstelle ich dabei als klar und technisch nicht möglich. ABER:

Gerade mit einem YubiKey UND dem richtigen Passwortmanager geht das also sehr wohl. Mit KeePass geht das definitiv, ich mache das nämlich genau so.

Foto
1

Das nichts passiert kann 1Password auch, den zweiten Faktor muss ich dann aber händisch rauskopieren und dahinter einfügen. Wären das getrennte Eingabefelder würde auch der zweite Faktor automatisch eingetragen. Das könnte man natürlich auch im Passwortmanager programmatisch regeln, allerdings kenne ich keinen anderen Dienst der das genauso macht.

In KeePass habe ich gar keine Möglichkeit gefunden ein TOTP oder HOTP Token beim Eintragen zu erzeugen.

In Verbindung mit dem YubiKey stimmt deine Aussage natürlich, die PIN trägt jeder Passwortmanager ein.

Foto
1

Ich verwende auch 1Password und TOTP-Token im mailbox.org-Login. In 1Password habe ich als Passwort die TOTP-PIN (4-stellig) gesetzt und gleichzeitig den TOTP-Token in 1Password eingetragen. Wenn ich mich einlogge, wird nun automatisch der PIN im Passwortfeld eingetragen und durch 1Password der TOTP-Token automatisch in den Zwischenspeicher kopiert. Über STRG-V füge ich den Token ein und schicke den Login ab. Nach meiner Ansicht funzt dies geradezu mit 1Password genial. Ich muss noch nichtmal mit dem Kursor auf das Passwortfeld fahren, einfach STRG-V und alles ist gut (auf Mac command-c).

Du darfst in 1Passwort halt das automatische Absenden nicht aktiviert haben

Foto
1

Danke, an das automatische Kopieren in die Zwischenablage hab ich nicht gedacht. Hab ihn immer manuell rauskopiert und das sind doch ein paar mehr Klicks.

Foto