Willkommen im User-Forum von mailbox.org
 

Mehrere Passwörter für unterschiedliche Geräte ("App-Passwörter") unterstützen

Michael Hex hat dies geteilt, 3 Jahren her
vorgeschlagen

Aktuell verwende ich mailbox.org auf insgesamt vier Geräten, drei davon sind mobil. Auf allen ist, um die automatische Synchronisation zu ermöglichen, das mailbox.org Passwort gespeichert. Sollte eines gestohlen werden muss ich das Passwort sofort ändern und dies überall neu eintragen.


Es würde mir sehr helfen das ich mehrere Passwörter für meinen Account erstellen könnte damit ich diese jeweils genau einem Gerät zuordnen könnte. Kommt eines der Geräte weg, lösche ich genau das Passwort dieses Gerätes, die anderen Geräte muss ich nicht ändern.


Diese Verfahren sind z.B. bei Google möglich.


Die App-Passwörter sollten in der Funktion eingeschränkt sein, so dass diese nicht verwenden werden können um neue App-Passwörter zu erstellen oder das Hauptpasswort zu ändern.

Kommentare (153)

Foto
2

Sehr hilfreich wäre auch die Einschränkung auf einzelne Dienste (IMAP, CalDAV). Dann könnte man TOTP/Yubikey für den Web-Login nutzen und App-Passwörter für die Clients auf den Geräten.

Foto
1

Aber das ist doch so einstellbar, wenn auch nicht detailliert auf Protokollebene. Ich nutze das normale Passwort auf meinen Mobilgeräten, komme aber nur mit dem YubiKey ins Web-Login.

Foto
Foto
1

Ja, da gebe ich dir recht, das wäre wirklich sinnvoll. Aber selbst Google kann diese Beschränkung auf bestimmte Dienste nicht, daher würde ich annehmen das es sehr schwer wäre so etwas zu implementieren. Aber vielleicht überrascht uns heinlein ja :-).

Foto
1

Ich kenne diese Umsetzung z.B. von Fruux. Über diese Funktion kann man beispielsweise auch gestohlene Geräte "löschen", zumindest die Kontakte oder Kalender.

Foto
5

Eine schöne Anregung die auf den ersten Blick nicht extrem viel Aufwand darstellt. Auch wenn scheinbare triviale Sachen aufgrund unserer intern sehr komplexen Sicherheitsprinzipien und auch Besonderheiten wie One Time Passwörtern und/oder Sharing-Möglichkeiten schnell immer sehr verzwickt und kompliziert werden können.

Wir denken darüber nach, haben aber zuvor noch viele andere Features und Wünsche die wir als höher Priorisieren müssen, weil sie großflächig mehr bringen und/oder die Sicherheit für alle mehr erhöhen. Ich würde das vom Bauchgefühl mal für Sommer 2016 auf die Planungsliste zur Diskussion setzen [MBOADM-284]. Mehr kann ich nicht versprechen.

Foto
1

Danke, dann werde ich mich in Geduld üben.


Auch wenn es nichts mit dem Thema zu tun hat: was bitte ist MBOADM-284? MBO könnte ich mir noch als Abkürzung von MailBoxOrg vorstellen aber bei ADM fällt mir nur Administration ein. Und wenn 284 die fortlaufenden Nummer ist dann habt ihr ja wirklich noch einiges vor :-).

Foto
1

Interne Ticket-Nummer von uns unter der wir das verwalten. Reines Memo für uns. Es liegen also eher 283 Tickets hinter uns (in der Praxis viel mehr).

Foto
Foto
2

Es wäre auch schön wenn man den Login für den xmpp Service mit einem anderem Passwort versehen könnte.

Foto
2

Genau das wollte ich auch vorschlagen. Das E-Mail Passwort ist ja heutzutage eine Art "single point of failure"; wer das hat, kann in kurzer Zeit alle Dienste, wo man angemeldet ist, übernehmen. Kurzum, ein Online-Identitätsdiebstahl! (Und dann muss man erstmal nachweisen, dass man das nicht selbst war.)

Mir ist es daher wichtig, auf (potenziell unsicheren) Mobilgeräten mein Passwort nicht eingeben/speichern zu müssen.

Foto
Foto
1

Wäre es nicht als ersten Schritt möglich die Einstellungs-Rubrik "mailbox.org" mit einem eigenen Passwort zu versehen. Diese ist ja nur per iframe eingebunden und hat eine eigenen Session.

So wären bspw. keine Passwort-Änderungen durch den Angreifer möglich.

Foto
1

@Michael Hex: "Aber selbst Google kann diese Beschränkung auf bestimmte Dienste nicht"

Doch google kann das auch: https://support.google.com/accounts/answer/3466521?hl=de

Ich denke, es wird einfach für jede Anwendung ein Passwort erzeugt, dessen Autorisierung einfach wieder entzogen werden kann.

@mailbox.org: Für mich wäre dieses Feature sehr wichtig. Momentan kann ich die verschiedenen Office-Funktionen von mailbox.org leider nicht benutzen, da ich z.B. Kalenderfunktionen auch mobil nutzen möchte, aber nicht jeder App Zugriff auf mein komplettes Konto geben will.

Ich habe bewusst mailbox.org als Email-Dienstleister ausgewählt, weil mir Privatsphäre wichtig ist. Aber dann hoste ich Kalender lieber woanders als dass ich meine Mail- und Kontoautorisierung rausgebe.

Mit App-spezifischen Passwörtern und einer vernünftigen Rechtebeschränkung könnte ich auch mal Apps ausprobieren, ohne mich auf Open Source-Produkte zu beschränken (wobei man eh nicht weiß, ob die unmanipuliert im Store landen) und hinterher das Passwort ändern zu müssen.

Foto
1

@2791907: Ich glaube das gilt nur für Anwendungen (Apps) die sich per

OAuth identifizieren. Bei mir sehe ich dort nur Anwendungen die OAuth

verwenden (z.B. RtM, Feedly). Alle Anwendungen für die ich App Passwort

erstelle habe sind dort nicht zu sehen.

Ich nehme daher weiterhin an das Google für App-Spezifische Passwörter keine Einschränkung der Dienste kann. Das soll aber natürlich kein Hindergrundsgrund sein für heinlein das trotzdem zu implementieren.

Foto
Foto
4

Ich fände vor allem einen zusätzlichen Zugang, der ausschließlich SMTP-Auth erlaubt, sehr praktisch. So könnte ich Mails mit Absenderadressen unter meiner eigenen Domain über den mailbox.org-Server, der ja für die Domain zuständig ist, verschicken, müsste dazu aber nicht das Passwort hinterlegen, mit dem auf meine Daten zugegriffen werden kann.


Dies ist z.B. dann praktisch, wenn man Mails an andere Mailserver/-dienste weiterleitet und von dort aus direkt antworten können möchte. Oder wenn man Mails vom lokalen Homeserver aus verschickt.

Foto
1

Da kann ich mich nur anschließen. Ich habe auch ein paar Dienste, bei denen ich einen SMTP-Account zum Versand von Mails benötige. Idealerweise wäre das der mailbox.org, da dann die Informationen das Mailbox.org-System nicht verlassen. Da ich aber nicht weiß, wie gut die Dienste abgesichert sind bzw. wie gut/sicher sie die Credentials abspeichern, nutze ich dafür derzeit einen Mail-Account eines anderen Anbieters.

Foto
Foto
1

Ein separates Passwort nur für den Zugriff auf die Mails (und insbesondere nicht auf sämtliche Einstellungen inklusive Passwortänderung, Einrichtung von OTP-Sicherheitslevels, etc.) wäre schon klasse.

Bisher hatte ich nämlich immer Bedenken, einem Service wie sanebox.org mein E-Mail-Passwort anzuvertrauen. Jetzt nutze ich aber das verschlüsselte Postfach, so dass ich mir keine Gedanken machen muss, ob sie wirklich nur die Header nutzen oder ob sie nicht vielleicht doch Zugriff auf den Body haben - denn der Body ist verschlüsselt und damit in jedem Fall unbrauchbar.

Unpraktischerweise kämen sie jetzt aber noch an all die tollen Einstellungsmöglichkeiten aus dem Webinterface dran - theoretisch. Mit einem beschränkten Passwort nur für E-Mail (oder zumindest schonmal nicht für die Einstellungen) wäre mir sehr geholfen. Von den anderen Use-Cases wie mobilen Endgeräten oder SMTP-only mal ganz abgesehen.

Hoffen wir also auf den Sommer ;-) und darauf, dass nach dem wunderbaren Mai-Release auf einmal so viele Kapazitäten frei sind, dass sich gleich alle auf [MBOADM-284] stürzen!

Foto
1

Aber "reicht" da nicht allein die Nutzung eines zweiten Faktors? Ich selbst nutze den YubiKey und damit sind meine Einstellungen "sicher", alle Apps und Dienst kennnen "nur" das davon getrennte POP3/IMAP/ActiveSync-Passwort.

Foto
1

Das stimmt - da habe ich nicht ganz zu Ende gedacht, die Einstellungen sind ja auch per OTP abgesichert.


Für SMTP-only nutze ich derweil übrigens einfach einen zweiten Mailserver, der unter der selben Domain ausgehend verschickt (mit entsprechend erweitertem SPF natürlich). Das ist zumindest eine Lösung für den Moment, weil ich ja nicht in jedem Router das IMAP-Passwort haben möchte.

Foto
1

@Stonie: An die Einstellungen kommt man nicht ran, das stimmt. Aber alle Apps und Dienste können doch mit diesen Passwörtern deine Mails abrufen und auch versenden. Ok - sie können nicht das Passwort ändern - aber das wollen sie ja auch nicht.


Denke, dass app-spezifische Passwörter hier die beste Lösung sind. Wobei es wohl auch nicht einfach ist, dass im Zusammenhang mit OX umzusetzen, wie ich es verstanden habe.

Foto
Foto
1

Gibt es schon News in der Sache? Fastmail bietet das ja mittlerweile auch an - und es ist wirklich ein sehr gutes Feature - weiß nicht, was noch sicherheitsrelevanter sein kann, als das eigentliche Account-Passwort?!

Foto
1

Und Google und auch Hotmail bieten dies an und Sommer ist ja nun ;)

Foto
3

Das Thema steht weiter auf der ToDo Liste. Unserer Entwicklungsabteilung hatte bisher leider keine Ressource, um das Thema zu bearbeiten.

Foto
1

Hi Zusammen,


gibt es mittlerweile News oder eine Timeline in der Sache?

Foto
Foto
2

Gibt es hier schon was Neues? Ich würde zum Beispiel sehr gerne ein extra-Passwort für XMPP vergeben können. Ich will nicht unbedingt mein Mail-Passwort z.B. in der Klartext-XML von Pidgin ablegen müssen. Das wäre wirklich hilfreich!

Foto
1

Hi. Soweit ich es weIss, ist das alles andere als einfach umzusetzen.


Denke nicht, dass das kommen wird. Aber lasse mich auch gerne eines besseren belehren.

Foto
Foto
1

Aber es geht. Vorbildlich hat das Fastmail gelöst. Nicht nur das man extra Passwörter generieren kann. Man kann auch ganz fein einstellen auf was die App mit dem Passwort Zugriff haben soll. Z.b. nur Kontakte, oder Kalender...

Foto
1

Das weiß ich auch.


Aber Fastmail hat eine ganz andere Arbeitsgrundlage (Cyrus vs. Dovecot).


Hinzukommt, dass es durch den OX Guard die Sache nicht einfacher macht mit den App Passwörtern.

Foto
1

Dovecot kann seit (mindestens) 2013 Anwendungsspezifische Passwörter. Und dass sich das nicht relativ einfach in die Weboberfläche integrieren ließe kann mir niemand erzählen.

Foto
1

Naja, "relativ einfach" ist das vielleicht, wenn man mit hangeschrieben ASCII-Dateien auf dem Bastelserver rumfurwerkt aber nicht, wenn man ein Verwaltungssystem für mehrere Hunderttausend Nutzer hat, das auch ganz andere Anforderungen hinsichtlich konsistenter Datenbenstand etc. hat.


Was der Kollege dort beschrieben hat sind im übrigen auch keine anwendungsspezifischen Passwörter. Die Anleitung beschreibt nur, wie man sich mit ALIASEN einloggen kann (und dann kann man Aliasen natürlich individuelle Passwörter geben).


Bei mailbox.org kann man sich mit Aliasen NICHT anmelden -- and that's not a bug, that's a feature. Aus Sicherheitsgründen haben wir das absichtlich nicht gebaut.


Allerdings könnten wir überlegen ein System zu bauen, in dem es Aliase gibt, die keine Mails empfangen können, die aber zu Logins führen. Hmm, da muß ich mal nachdenken. Allerdings ist das in der von uns verwendeten LDAP-Struktur sehr schwierig bis nicht richtig hierarchisch abbildbar.


Ich hatte die Wünsche hier so verstanden, daß es mehrere Passwörter geben soll, die man getrennt setzen und ändern kann. Das ist technisch nicht einfach so möglich, wenn parallel noch OTP angeboten werden muß (was uns eben auch richtig ist). Aber separate Loin-Aliase zu bauen ist eine Idee, die ich so noch nicht auf dem Schirm hatte. Da werde ich drüber nachdenken.

Foto
1

Hi Peer,


danke für das Feedback.


Ein erster Ansatz wäre das mit Aliasen, welche nur Mails via SMTP versenden können wäre schonmal ein guter Ansatz (bsp. Benachrichtungs-Accounts für fritz.box, raspberrys etc.).


Ideal wäre es wirklich, wenn man sich mit seinem "Master-Passwort" nur via Web anmelden kann und dort alle einstellen macht bzw. Webmail/Office nutzt.


Alle IMAP/SMTP oder ActiveSync clients bzw. auch Cal/CardDAV dann nur via anwendungsspezifischem Passwort.


So würde man auch Eurem Ansatz/Grundlage folgen, dass die Geräte (Rechner, Mobilgeräte, weitere Devices) der Nutzer eher das Risiko sind, als andere Dinge.

Wenn ich eben bei den Geräten meine "Master"Userdaten hinterlege, hat sozusagen jedes dieser Endgeräte mein Master-Passwort von mailbox.org.


Ich weiß, es ist schwer bis schier unmöglich in der aktuellen Ausgangssituation das umzusetzen. Aber vielleicht ist das ja ein Ansatz für die Zukunft?

Foto
1

Die Anwendungspasswörter müssten prinzipiell eigentlich nicht änderbar sein, sondern könnten auch lediglich löschbar sein (Die meisten Systeme generieren ein z.B. 20-stelliges Passwort und zeigen dies einmalig an).

Foto
1

Ja genau - so meine ich das auch. Und so wird es auch von anderen Anbietern umgesetzt. Man bekommt das Passwort dann so vorgeschrieben und kann/muss es verwenden.

Foto
Foto
2

Hi, auch ich warte sehnsüchtig auf diese Funktion, besitze ein paar Geräte (Router,NAS,Drucker), die über E-Mail Status Berichte senden können, hierfür muss in den Geräten eine Post Ausgang Adresse inklusive Login Daten hinterlegt werden.

Da ich aber den Geräten nicht blind vertraue, möchte ich aus Sicherheitsgründen auf diesen Geräten nicht meine Haupt-Zugangsdaten hinterlegen. Im falle einer Sicherheitslücke in einem von diesen Geräten wäre ja sonst mein Komplettes Postfach/Kalender/Adressbuch betroffen.

Wie stehen die Chancen dass die APP-Passwort Funktion mit einstellbaren Zugriffsrechten noch integriert wird?

Foto
1

Das sind auch die Punkte, welche ich stark unterstütze.

Dieses Feature und IMAP Push und ich wäre glücklich.

Aber es liest/schreibt sich immer viel einfacher, als es in der Realität ist. ;-)

Foto
1

Gibt es einen aktuellen Planungsstatus, wann es o.g. 'app-passwoerter' geben wird?

Fastmail machst vor....

Foto
1

Es gibt dazu derzeit keine Planungen, ganz einfach. Wir haben auch mehrfach erklärt, daß das alles andere als trivial ist und es aufgrund der von uns ebenfalls angebotenen OneTimePasswörter kaum bis eventuell sogar unmöglich zu implementieren ist (irgendwann haben wir ja dann doch meist einen Geistesblitz, aber auf irgendeinem halbwegs normalen Weg ist das unmöglich).


Wir haben eine längere Feature-Roadmap von Dingen, die ebenfalls wichtig sind. Anwendungs-Passwörter steht derzeit nicht drauf, sondern befindet sich nur bei mir im Hinterkopf.

Foto
1

Hallo 2860920,


den Wunsch nach einem eigenen SMTP-Versand-Login für Deine Fritz-Box kann ich Dir erfüllen. Kostet 1,- EUR Aufpreis pro Monat, also mehr als erschwinglich. Einfach einen Dummy-Account klicken und ausschließlich dafür nutzen....


Foto
Foto
1

So ganz verstehe ich den heftigen Wunsch nach mehreren Passwörtern nicht.


Moderne Mobilgeräte haben NFC und damit kann man wunderbar den Yubikey benutzen. In diesem Zusammenhang fände ich es wichtiger, dass man OTP mit Yubikey auch mit mehreren in Mailbox.org eingebundenen Mailkonten nutzen kann, bislang geht das nicht.


Das Sicherheitsargument finde ich auch falsch. Selbst, wenn ich mehrere Passwörter hätte, würde ich für den Fall, dass ein Gerät verloren geht oder verloren gegangen wird, alle Passwörter zu dem Mailkonto wechseln. Da reicht dann auch 1 Passwort - wenn ein Gerät verschwindet, würde ich eh sofort das Passwort neu setzen.


Eine Fritzbox oder ein anderes Gerät braucht nicht meine Mailbox.org Zugangsdaten, um Statusmails zu versenden! Da reichen kostenlose Mailkonten, die die Statusmails raushauen, und dann gibt's bei dem betreffenden Mailprovider eben eine Weiterleitungsregel. Und ausgerechnet für die Fritzbox gibt es mit MyFritz! eine App, die mich viel besser informiert als ich das mit Mails realisieren kann.


Was in diesem Zusammenhang optimiert werden könnte / müsste ist das Responsive Design von Mailbox.org, wenn ich mich via Internet und OTP vom Smartphone aus in mein Postfach einwähle... nur dann macht OTP auch mobil Sinn.


Und was immer und dann sehr gut geht:


Man hole sich eine einfache Domain mit einem ruhig kryptischen Namen. Kosten so ab 1,50 € pro Monat. Selbst bei den billigen Anbietern kann man dann schon locker 30 Postfächer anlegen. Dann hat man 30 Postfächer mit jeweils eigenen Passwörtern für diese Mailkonten-Zwecke auf den ganzen Internetbüchsen, sprich: 30 getrennte Mailadressen mit getrennten Passwörtern.


Ich würde mich freuen, wenn OTP bei Mailbox.org endlich auch mit mehreren in die Mailbox eingebundenen Postfächern nutzbar ist - das ist für die Sicherheit viel wichtiger, weil ich dann endlich alle meine Accounts via Mailbox.org direkt im Web verwalten könnte, und gar keine lokalen Mailclients mehr bräuchte.

Foto
1

@7586310:

Hi, ein paar Punkte von Dir verstehe ich in der Sache...


Wobei mein iPhone, Raspberry, div. Router, NAS-System, Mailsoftware und ein paar andere Endgeräte kein NFC können, bzw. weil sie auch einfach Software sind und keine Hardware.

Da bringt mir das nix!


Und das Sicherheitsargument greif schon... Man muss es nur anders angehen. Geht ja nicht nur darum, dass ein Gerät verloren geht/geklaut wird, sondern, dass die Person, welche Zugriff auf die Software/das System hat, auch mein Passwort weiß.

Und das ist auch ein Punkt was viele nicht wissen (Bsp. Schlüsselbund unter OS X usw.).


OTP und NFC sind andere Themen, um die es in diesem Bereich nicht geht - dafür gibt es eigene Threads.

Foto
1

Oh, da lieferst du mir das bestmögliche Argument!


Das von mir geschilderte Sicherheitsargument greift leider immer. Wenn ein Gerät (z.B. wie ein iPhone, wie du schreibst...) dadurch unsicher ist, dass eine andere Person Zugriff auf die Software / das System hat, sowie du da ein Passwort eingibst, dann ist diese Risiko ja immer da, sowie man ein Passwort eingibt...


Da ist es dann leider egal, wie viele Passwörter du nutzen kannst, denn das, das du nutzt, ist dann ja automatisch kompromittiert.


Genau das spricht dafür, möglichst nur per OTP diekt auf die im Web bei Mailbox.org laufende Applikation zuzugreifen, und eben nichts lokal zu haben.


Die Endgeräte können aber eben gerade mit ANDEREN Mailzugängen bestückt werden, denn die sollen ja in der Regel nur Statusmails senden, dafür brauchen sie irgendeinen Mailaccount, aber nicht den Mailbox-Zugang. Man muss sich selber klarmachen, dass man selber seine Sicherheit am meisten kompromittiert..


Die einfachste Sicherheit erzeugt man damit, dass man sich ein extra Hostingpaket mit einer kryptischen Domain holt, und die dort angebotenen Mailaccounts für NAS, Raspberry etc. nutzt. So kriegt man alle Statusmachrichten, und nichts kann kompromittiert werden. Ich kann in meinen Hostingspaketen mehrere hundert Mailaccounts anlegen, die jeweils getrennte Passwörter haben - das reicht für Jahrzehnte.


Mal ganz ehrlich: Warum braucht man angeblich auf zig Büchsen alle möglichen Accounts angelegt, die dort doppelt und dreifach parallel laufen?


Wie gesagt wäre mir ein zentraler OTP-Zugang lieber, den ich dann von allen meinen Geräten nutzen kann.


Ich nutze absehbar Mailbox.org via Samrtphone nur noch per Web mit OTP, auf dem Notebook dasselbe. Da ist mir die Frage nach der Anzahl der Passwörter dann echt egal.


Und: es geht hier sehr wohl auch um OTP und NFC, denn man braucht nicht zig Passwortaliasse, wenn man es mit einem Passwort richtig machen kann... vor allem, wenn man berücksichtig, was du selber sagst: das Risiko entsteht, weil die Passwörter auf den geräten gespeichert werden. Das ist IMHO das Risiko, und das wird durch mehrere App-Passwörter nur scheinbar beseitigt.

Foto
2

zu: "Eine Fritzbox oder ein anderes Gerät braucht nicht meine Mailbox.org Zugangsdaten, um Statusmails zu versenden! Da reichen kostenlose Mailkonten, die die Statusmails raushauen"


Das sehe ich etwas anderes, ich bin ja deswegen zu Mailbox.org gewechselt, weil mir der Schutz meiner persönlichen Daten besonders wichtig ist und ich nicht möchte, dass irgendwelche "Freemail Provider" meine E-Mails für Werbezwecken analysierten/auswerten oder an wen auch immer verkaufen. Gerade in Status Mails von Routern, Servern, usw. stehen ja sehr viele höchst Private Daten, die ich deswegen auch gerne ohne den Umweg eines zusätzlichen Mail Providers erhalten möchte.

Foto
1

Mir gehts wie @2860920:

Ein separates Login fuer IMAP/SMTP das nix anderes kann ist doch ein Sicherheitsaspekt.

Sollte das Passwort kompromitiert sein passiert so gut wie nichts: der Postfachinhalt ist mit GPG verschluesselt und am wichtigsten ist das WebInterface ist immer noch geschuezt.

Nennt mich altmodisch: ich moechte zum Beispiel auf meinem Handy nicht auf K9 verzichten.

Liege ich da soooo falsch?

Foto
1

@6154678:

Dein Szenario müsste ja bedeuten, dass sogar deine PGP-Schlüssel auf deinem Smartphone gespeichert sind, weil dein K9 ja sonst nicht an die verschlüsselten Mails kommt.

Was ich sagen will ist, dass hier nach mehr Sicherheit durch App-differenzierte Passwörter gefragt wird, gleichzeitig aber Angriffs-Scheunentore geöffnet werden.

An meine Fritzbox, NAS etc. komme ich per VPN heran. Das reicht für mich.

Smartphones sind viel zu schnell geklaut, als dass ich da unnötige Zugänge drauf speichern würde, erst recht keine PGP-Sachen.

Foto
1

Mit dem PGP Schluessel liegst Du FALSCH:

Wenn mich die Nachricht interessiert und ich mehr lesen will als nur Absender und Betreff hol ich den Yubikey Neo aus der Hosentasche.

:-) Keine Schluessel auf dem Handy.


Gleiches Passwort dilemma gilt uebrigens auch fuer Jabber. etc


Und irgendwie schon schizzo: grossartig Push mail anzubieten und gleichzeitig dann zu erwarten nur mit WebClient zu arbeiten.

Foto
1

von daher: gleich OTP für den Zugriff. :-)


Wie dem auch sei. Für diverse Szenarien kann man sich getrennte Passwörter wünschen. Letztlich müssten diese Passwörter aber zu komplett getrennten Postfächern führen, wenn man das Gerät, auf dem man das getrennte Passwort anwendet, als "unsicher" betrachtet.


Ich trenne meine Zugänge durch komplett getrennte Postfächer da, wo ich solche Zugänge brauche. Also habe ich je Dienst einen ganz individuellen Zugang. Und ich lasse all das von Smartphone und Co. weg, was ich über einen Rechner machen kann, und es eben nicht via Smartphone brauche.


Das mit PushMail und dem Webclient kann man so sehen, wie du schreibst. Für mich ist das größte Sicherheitsrisiko mein Smartphone, deswegen versuche ich, dort nichts zu speichern, sondern via Web auf die Dienste zuzugreifen.


Mailbox.org könnte ja z.B. nichts dagegen machen, dass User ihre Zugangsdaten im Browser speichern, und auf dem Rechner kein Passwort gesetzt haben. MBO oder mir da schizophrenes Denken zu attestieren, ist etwas zu weit ausgeholt. Es sind die User, die ihre Grenzen selber setzen durch das, was sie machen.


Aber nichts für ungut, die Frage, die hier diskutiert wird, kann halt einfach sehr unterschiedlich gesehen werden.

Foto
1

@7586310:

> Das Sicherheitsargument finde ich auch falsch. Selbst, wenn ich mehrere Passwörter hätte, würde ich für den Fall, dass ein Gerät verloren geht oder verloren gegangen wird, alle Passwörter zu dem Mailkonto wechseln. Da reicht dann auch 1 Passwort - wenn ein Gerät verschwindet, würde ich eh sofort das Passwort neu setzen.

Das ist leichter gesagt, als getan: Wenn man das Postfach auf mehreren Geräten nutzt, hat man das Problem, dass zum einen das Passwort, das vollen Zugriff gewährt, ggf. ungeschützt dort liegt und zum anderen ist eine Passwortänderung eher müßig, da sie ja auf sämtlichen Geräten ebenfalls angewendet werden muss. Und einfach mal ein Gerät zurückziehen ist auch nicht, da es bedeutet, das Passwort auf allen Geräten zu ändern. App-Passwörter ermöglichen genau das und noch mehr, denkbar wären auch gerätespezische Zugriffsbeschränkungen.

Eine gelungene Implementation dazu hat beispielsweise Nextcloud (siehe Screenshot hier: https://wolke.g5r.eu/s/silrsC0EJJkPhrm). Etwaige Zweifaktorauthentifizierung wird durch die App-PINs einfach umgangen.

> Was ich sagen will ist, dass hier nach mehr Sicherheit durch App-differenzierte Passwörter gefragt wird, gleichzeitig aber Angriffs-Scheunentore geöffnet werden.

Dieses Argument ist flasch, da Apppasswörter einfach wieder zurückgezogen werden können. Im Falle des Verlusts eines Geräts entfernt man einfach schnell die App-Passwörter für das betroffene Gerät und es hat keine Möglichkeit mehr, auf das Postfach zuzugreifen. Dazu sollte es unmöglich sein, über das App-Passwort das Haupt-Passwort zu ändern. ;)

Und was auch noch beachtet werden sollte: App-Passwörter und 2FA schließen sich nicht aus, sondern ergänzen sich vielmehr. 2FA für das Webinterface hier und die App-Passwörter für alle anderen Clients.

Foto
1

@benediktg:


> Das ist leichter gesagt, als getan: Wenn man das Postfach auf mehreren Geräten nutzt, hat man das Problem, dass zum einen das Passwort, das vollen Zugriff gewährt, ggf. ungeschützt dort liegt und zum anderen ist eine Passwortänderung eher müßig, da sie ja auf sämtlichen Geräten ebenfalls angewendet werden muss.


Ist einfach: Bei mailbox.org einloggen und das Passwort ändern. Dann sind zwar alle anderen Geräte abgenabelt, aber der Zugang als solcher ist wieder zugenagelt.


> Dieses Argument ist flasch, da Apppasswörter einfach wieder zurückgezogen werden können. Im Falle des Verlusts eines Geräts entfernt man einfach schnell die App-Passwörter für das betroffene Gerät und es hat keine Möglichkeit mehr, auf das Postfach zuzugreifen.


Ohne App-Passwörter konnte ich immer schon mein Hauptpasswort jederzeit ändern. Kein Argument für App-Passwörter. Eher ein Argument dafür, das Postfach nur per OTP via Internet aufzurufen, und nicht via Mailprogramm, App oder sonstwie. Oder eben nur Mailprogramme zu verwenden, die den Login auch nur via OTP machen.


Und: Wenn ich mich wie du schreibst auch mit App-Passwort eh einloggen muss, um mein App-Passwort zurückzuziehen, kann ich auch gleich mein Hauptpasswort ändern...


Ich bleibe dabei:


Auch ein Gerät mit einem App-Passwort ist nicht sicherer als das "normale" Passwort. Ganz einfach, weil auch mit App-Passwort der Zugang auf einem "als unsicher" betrachteten Gerät ist. Das App-Passwort erleichtert wenn dann ja nur das Management der Passwörter im Havariefall.


Im übrigen gilt für das App-Passswort die gleiche Kritik wie von dir oben bei Single-Passwort genannt: Auch das App-Passwort muss im Havariefall ja auf allen Geräten geändert werden, auf denen es benutzt wurde... mehrfache Passwörter für den gleichen Dienst anzubieten, dürfte zu kompliziert werden, denke ich mal.


Ergo: Wir sollten über konsequente 2-Faktor-Authentifizierung reden. Da 2FA auf diversen Geräten nicht gehen kann (Fritzbox etc.), muss man sich klarmachen, was man will.


Viele der vorgebrachten Argumente für App-Passwörter sind bei näherer Betrachtung Scheinargumente, die im Ergebnis nur das Management der Passwörter erleichtern, aber da sie auf kritisch beztrachteten Geräten eingesetzt werden, keine wirklich höhere Sicherheit bringen - das schafft man nur dadruch, dass ein System nie das ganze Passwort kennt.


Wenn ein Gerät gehackt wurde, ist es egal, ob das ein App-Passwort den Zugang aufmacht oder ein Single-Passwort, einfach weil der Zugang da ist. Das kann man nur mit 2FA verhindern.

Foto
2

@bendiktg

Dem kann ich allem nur so zustimmen. Gerade da Mailbox.org immer mehr 'Dienste' -- abseits reiner E-Mail anbietet:

Da macht es Sinn diese mit getrennte Zugangsberechtigungen abzusichern.

OTP schoen und gut, aber halt nicht immer praktikabel.


Zumal ich bei einem WebInterface auch schnell Bauchschmerzen bekomme was benutzten im 'Allzweck'- Browser betrifft.

Ob da das Scheunentor nicht viel schneller, viel weiter aufgeht, als bei einem Rechtebeschraenkten Passwort fuer bestimmte Dienste??


Um provokat zu sein, eine These:

Insgeheim wuerde Mailbox.org lieber heute als morgen app-Berechtigungen implementieren, wenn es Ihre Infrastruktur zulassen wuerde. Lieg ich da falsch?

Stattdessen die Empfehlung der low-tech variante: einen weiteren Account anlegen ;-)

Foto
2

@7586310


> Ist einfach: Bei mailbox.org einloggen und das Passwort ändern. Dann sind zwar alle anderen Geräte abgenabelt, aber der Zugang als solcher ist wieder zugenagelt.


Wenn es dumm läuft, eben nicht. Derjenige, der in den Besitz des Haupt-Passwortes kommt, kann ja ebenfalls sämtliche Nutzerdaten ändern und dich abnabeln. Mit App-Passwort ausgeschlossen…

Foto
1

@7586310

Aus meiner Sicht sind Deine Argumente eher theoretisch Art oder gar philosophisch angehaucht.

2FA ist in der Praxis nicht immer moeglich.

Deshalb:

Um das Risiko zu minimieren sprechen wir hier von Resourecenbezogenen Rechteverwaltung.

i.e.: Ist ein Passwort fuer IMAP oder DAV kompromitiert : so what?

Der Rest des Systems bleibt unter Deiner kontrolle. Dafuer wurden Log-Files erfunden.

Deinem Rechner musst Du sowieso mehr oder weniger vertrauen.

Siehe Webbrowser Risken....

Foto
2

Ich habe auch für anwendungsspezifische Passwörter gevotet, aus folgenden Gründen:

  1. Bei Verlust eines Geräts oder bekannt werden des Passworts müssen die Passwörter in anderen Geräten nicht geändert werden.
  2. Die speziellen Geräte-/Anwendungspasswörter hätten geringere Rechte und würden einen Weblogin nicht erlauben. Daher wäre das stehlen von Accounts durch Login und anschließende Passwortänderung nicht möglich, und keinerlei andere Änderungen.
  3. Andere Dienste, wie Webstorage und Weboffice wären weiterhin geschützt.
  4. Automatisch generierte Einmalpasswörter können beliebig sicher sein, da man sie sich nicht merken muss.
  5. Der seltenere Einsatz des Masterpassworts erhöht die Sicherheit. Ich brauche es dann eigentlich nur noch für Filterlisten und gelegentlich Dateien hochladen.

Foto
Foto
1

@2860920: Router, Server etc. sind Geräte, die du entweder bei dir stehen hast, oder denen du eh sehr vertraust.


Wenn du den Geräten nicht vertrauen kannst, hast du ein ganz anderes Problem, aber nicht mit deinem Mailbox-Passwort.


Mal ganz ehrlich, wer seinem Router nicht vertraut, sollte offline leben...

Foto
1

Ich vertraue meinem Router nicht. Was mache ich jetzt? Firma zu? :-)


a) Warum sollte ich ihm vertrauen?

b) Es gab doch die letzten Monate und Jahre genug Geschichten zum zu wissen, daß ich ihm nicht vertrauen kann.

Foto
1

also dann: offline.

Wie soll denn Internet ohne Router gehen?


EDIT: Deswegen schrieb ich ja keine App-Passwörter, sondern OTP...

Foto
1

Ich habe ja nicht behauptet, das man dann offline sein soll. Ich habe nur festgestellt, daß man ihm vielleicht nicht blind trauen sollte und es darum verschiedene Sicherungs- und Verschlüsselungsebenen im Leben gibt.

Foto
1

Genau.


Daher wäre es schön, wenn OX OTP mit allen Funktionen (inkl. aller eingebundenen externer Postfächer) voll unterstützen würde...

Foto
1

Ich kann und will keinem Gerät mit Internetanbindung blind Vertrauen, es gibt bei IT Geräten keinen 100% Schutz. Es ist nur einen Frage der Zeit bis neue Sicherheitslücken gefunden werden.

Aktuelles Beispiel:https://www.heise.de/security/meldung/Fritzbox-Luecke-erlaubt-delikate-Einblicke-ins-lokale-Netz-3764885.html


Offline leben werde ich aber deswegen trotzdem nicht.


Ich denke dass der Sinn und Zweck von APP Passwörtern mit eingeschränkten Berechtigungen mittlerweile klar sein sollte und klinke mich hier aus, da sich die Diskussion im Kreise drehen.

Hoffe das Mailbox.org die "APP Passwort"-Geschichte noch nicht ganz abgeschrieben hat und noch eine Möglichkeit findet dies zu integrieren.

Foto
Foto
1

Keine Frage, 2FA-only zusammen mit mehreren Accounts für verschiedene Dinge und Sicherheitsbedürfnisse ist technisch wahrscheinlich das Sicherste was man machen kann.


Je nach persönlichen Vorlieben und Gefahrenmodell kann es trotzdem sein das verschiedene, in der Funktion eingeschränkte (z.B. nur CalDav) Passwörter einen Sicherheitsgewinn bieten da man verschiedenen Systemen / Programmen / Services verschiedenes Vertrauen aussprechen kann.


Ich z.B. habe für mich entschieden das ich meinem Notebook und Smartphone mitsamt den mitgelieferten als auch ausgewählten anderen Apps (z.B. Thunderbird) vertraue. Ich fühle mich durch regelmäßige Updates, selektives auswählen von Drittsoftware, anderen Sicherheitsmechanismen, vorsichtiges Verhalten, verschlüsseltem Speicher im Sperrzustand und der Möglichkeit eines Remote Wipes im Falle eines Diebstahls ausreichend geschützt und nehme ein paar Prozent Sicherheitseinbußen gegenüber 2FA-only für den Komfort der Integration der Apps ins System sowie der Verfügbarkeit der Daten ohne Internetverbindung in Kauf.


Wenn ich aber über andere Geräte / Apps / Services nachdenke bin ich skeptischer. Ich hab z.B. früher schon mal Kalender Apps (mit mehr Power User Funktionen) ausprobiert die häufig das Passwort auf die Server des Herstellers übertragen um Herstellerspezifischen Zusatzfunktionen in der Herstellercloud hinzufügen zu können. Und wenn man dort nur ein Passwort für den Zugriff auf CalDav angeben könnte, wäre das meiner nach schon sicherer als gleichzeitig auch noch die Kontrolle über die Mails abzugeben. Natürlich riskiert man für solche Zusatzfunktionen dann auch die Kalenderdaten, aber eben nur die Kalenderdaten und je nachdem welchen Nutzen man aus diesen Funktionen persönlich zieht könnte man sich schon entscheiden das Risiko einzugehen. Gleiches würde wahrscheinlich auch für Apps gelten denen man z.B. Aufgaben oder Kontakte Zugriff geben möchte, aber eben keinen Zugriff auf den Rest.


Kurzum, während ich natürlich nicht bewerten kann wie viele Nutzer davon profitieren würden, ob und mit welcher Priorität man das behandeln möchte / kann bzw. welche technischen Möglichkeiten überhaupt machbar sind, sehe ich zumindest schon die Möglichkeit das Passwörter für verschiedene Zwecke hilfreich sein könnten. Und wenn man über Dinge wie CalDav, CardDav oder WebDav Zugang spricht so bringen einem verschiedene Accounts auch nur bedingt was das man ja sonst seine wichtigsten Daten an unterschiedlichen Stellen hat.


All das ändert natürlich nichts daran das 2FA mit externe Accounts ebenso eine schicke Sache wäre, wenn ich Peer's langen Post von gestern aber richtig verstanden habe gibt es keinerlei Grund am Wunsch das einführen zu wollen zu zweifeln.

Foto
2

Ich würde mir auch wünschen, dass man für die verschiedenen Bereiche (Mail, Aufgaben, ...) jeweils ein eigenes Passwort vergeben könnte. Bei Domain Factory habe ich z.B. ein Passwort für meinen Kundenzugang und eines für den Abruf von Emails. Ich habe schon ein unguten Gefühl, dass die App Task & Notes mein Passwort für Mailbox.org hat. Wenn der Author der App mal auf die Idee kommt Passwörter abzugreifen, kann er in meinem Account quasi alles anstellen.

Foto
1

Hat sich hierbei mittlerweile etwas getan? Ich bin schon auch etwas enttäuscht, dass es de facto bis heute keine echte Zwei-Faktor-Authentifizierung bei Mailbox gibt. Das sollte mittlerweile eigentlich Standard sein. Was ist mit anwendungsspezifischen Passwörtern?

Foto
2

Im Gegensatz zu den meisten anderen ist das, was wir umgesetzt haben, genau eine 2-Faktor-Authentifizieren und genau keine Pseudo-2-Faktor-Sache, wo das Passwort kompromittiert werden kann.


Anwendungsspezifische Passwörter stehen derzeit nicht auf der Roadmap, das hat damit zu tun, wie wir (sehr sicher) diese Passwörter speichern und eben auch genau damit, dass wir 2-Faktor-Auth anbieten und es darum intern technische Schwierigkeiten gibt, mehrere Passwörter für einen Account zu verwenden.

Foto
1

Sind Sie denn eventuell bzgl. der Idee Aliasen ein eigenes Login zuzuordnen weiter gekommen? Der wollten Sie ja laut ihrem Kommentar weiter oben (#comment-8400) ja nochmals nachgehen.

Wenn App-Passworte aufgrund der hohen Komplexität der Umsetzung in absehbarer Zeit nicht umsetzbar sind, wäre das ja für viele Usecases eine veritable Alternative.

Diese Funktion würde es einem ja bspw. wie gewünscht erlauben unpriviligierte Aliase für Monitoring auf unvertrauenswürdigen Geräten zu nutzen.


Oder eben den XMPP-Dienst auf dem Handy zu nutzen, obwohl es meines Wissens noch keine plattformübergreifenden Lösungen für 2FA bei XMPP gibt. Vielen Dank für Ihre Mühe und ich würde mich natürlich sehr über eine kurzes Feedback freuen.

Foto
Foto
3

Ich habe auch ziemliche Bauchschmerzen damit, dass hier zwar Sicherheit und Datenschutz groß geschrieben werden, dann auf der praktischen Seite nichtmal das Niveau von Free-Mailern erreicht wird.


Denn auch wenn die Daten bei Mailbox nicht einfach an Regierungen rausgegeben werden oder für Werbezwecke verarbeitet bleibt so das in der realen Welt fast größte Risiko-Tor weit offen: Jemand knackt das Passwort und hat Zugriff auf nahezu alle Daten. Hierfür muss nichtmal ein Gerät kompromittiert werden. Mein Hauptpasswort ist etwas kürzer und einfacher als übliche App-Passwörter - schließlich muss ich es dauernd eintippen. Allerdings ist es so eben auch einfacher zu Brute-Forcen. Wenn man sich damit jetzt nur über's Web (und dadurch mit erzwungener 2FA) einloggen könnte, wäre mir das glatt egal, da ohne zweiten Faktor nutzlos, und App-Zugänge wären über deutlich stärkere Passwörter geschützt, die nicht so "einfach" zu Brute-Forcen sind.


Effektiv ist dieses Feature das eine, dass mich davon abhält, sofort meinen Account zu Mailbox zu bringen. Schade, dass es offenbar auch über Jahre nicht in der Prio-Liste hochrutscht.

Foto
1

Was hindert dich daran, "deutlich stärkere Passwörter" zu verwenden? Wo musst du dein Hauptpasswort ständig eingeben?

Foto
1

Oh man, selten so einen Quatsch gelesen.


Mit einem modernen Smartphone kannst du AUCH 2FA nutzen via NFC. Mit dem richtigen Mailer auf dem Smartphone kannst du die Mails verschlüsselt speichern.


Ein Smartphone sollte man grundsätzlich als unsicher betrachten. Das Passwort kann man auf dem Smartphone z.B. mittels KeePass2Android eingeben, dann kann es dann auch 300 Zeichen lang sein, oder 500. Freiwillig ein schwaches Passwort zu verwenden, ist nun wirklich das dümmste, was man machen kann.


Und mit deiner Forderung läufst du ins Leere. Denn selbst, wenn mailbox.org mehrere Passwörter anbieten würde, würdest du ja auf dem Smarphone weiterhin wohl ein extra kurzes und damit unsicheres Passwort verwenden.


Sorry, deine Beschwerde macht so überhaupt keinen Sinn. In der aktuellen ct ist ein Beicht zur Nutzung von KeePass. Lies dir das mal durch. Es könnte eine Lösung für dich sein.

Foto
2

Ich glaube eher, Du hast nicht ganz verstanden, was er eigentlich meinte.

Und finde auch, dass Du ganz schön harsch zur Sache gehst. Könnte man auch etwas netter schreiben.


Gerade App Passwörter machen doch Geräte wie Smartphones sicherer. Und dann noch Einschränkungen wie nur Nutzung von IMAP/SMTP usw. bzw. je nach App und die Sache ist noch ein wenig mehr sicher. (Vgl. Fastmail mit deren entsprechenden Erklärungen dazu - die haben das sehr gut zusammengefasst).


Natürlich geht es immer noch sicherer und besser. Aber es geht um nutzbare/hinreichende Sicherheit.


100%ige Sicherheit gibt es auch eh nicht.


Bin auch für App Passwörter. Weiß aber auch, dass es bei Mailbox.org nicht so leicht umsetzbar ist wg. des generellen Strukturellen System/Aufbaus.

Foto
1

Nun 6228986 hat ja dazu schon geschrieben:


  1. Mein Hauptpasswort ist etwas kürzer und einfacher als übliche App-Passwörter - schließlich muss ich es dauernd eintippen.



Und selbst wenn das Hauptpasswort entsprechend komplex ist, muss man es im Zweifelsfall auf allen möglichen "unsicheren" Geräten von Freunden, Arbeitgeber, Internetcafe, etc eingeben. Und es muss auf einer ganzen Reihe von "unsicheren" Endgeräten gespeichert werden. Von allen möglichen Mail, Kalender, Office Programmen und Apps bis zur eigenen Fritzbox und dem einen NAS damit diese Geräte Statusmeldungen senden können oder das Adressbuch synchronisieren können..


Da kann das Kennwort so komplex sein wie es will, wenn es abgegriffen wird helfen am ehesten App spezifische Kennwörter. Am besten mit beschränkten Rechten (z.B. nur Mailversand, nur IMAP oder nur WEBDAV) mit der Möglichkeit die einzelnen Passwörter zu widerrufen und für die Mailbox.org Weboberfläche muss zwingend ein zweiter Faktor (z.B. U2F über webauthn) mit einem merkbaren kürzeren Passwort her..


@7586310:

Das nett gemeinte Kompliment mit dem seltenen Quatsch möchte ich gerne zurückgeben. Das hängt extrem davon ab was man mit seinem mailbox.org Konto anstellen möchte. Natürlich ist jedes Smartphone per Definition unsicher.. So ziemlich jedes Endgerät ist das.. Die Frage ist nur auf wievielen dieser Endgeräten man sein Passwort aus komfortgründen eingeben oder speichern muss oder möchte. Kleiner Tipp: Nicht jedes Endgerät ist ein Smartphone oder PC. Nicht jedes Smartphone kann NFC. Nicht jedes Smartphone hat ein (einigermaßen aktuelles) Android Betriebssystem.

Foto
1

Nein.


Mit seinem Konzept würde er auf dem Smartphone IMMER ein schwaches Passwort verwenden, selbst, wenn mailbox.org 1000 App-Passwörter anbieten würde, da er das Passwort einfach eintippen will. Das ist der zentrale Fehler. Und das ist ja nun wirklich keine schlaue Lösung.


Wenn überhaupt, machen App-Passwörter Sinn, wenn diese AUCH sicher sind. Aber dann schlägt die Falle Smartphone zu. Deswegen habe ich ihm KeePass vorgeschlagen, und auf den ct-Artikel verwiesen, in dem der Einsatz mit einer Schlüsseldatei beschrieben wird.


Das, was er geschrieben hat, ist schlicht und ergreifend ein unscheres Konzept. Dann sollte er aber mailbox.org nichts anlasten, denn mit seinem Konzept nützen App-Passwörter wirklich nicht viel.

Foto
1

@9554828 Das ist jetzt nicht dein Ernst, veraltete Betriebssystem-Versionen als Argument anzuführen. Reden wir hier noch über Sicherheit? Und wenn man auf zig Geräten sein Mailbox-Konto nutzen will, dann hat man - bei allem Respekt, wirklich ein Problem. Alleine aus Sicherheitsgründen.


Aber lass gut sein. Jeder so wie er will, du mit unsichereren Passwörtern auf vielen Endgeräten mit teilweise veraltetem Betriebssystem. Super. Klar, dass man da dringend noch App-Passwörter braucht. Sorry, dafür habe ich wirklich kein wirkliches Verständnis mehr.

Foto
1

@7586310: Hm ja jetzt wo du es sagst muss ich wohl Oma Erna zwingen sich ein neues sicheres Pixel Smartphone mit aktuellen Android zu kaufen oder zumindest das aktuelle Android für Ihr Handy zu kompilieren.. Damit ist sie dann garantiert in einer Sicherheitsliga mit Dissidenten und Whistleblowern..

Mal im Ernst: Wenn einem Sicherheit so am Herzen liegt, bietet Mailbox.org im Moment schon alles um sicher genug zu sein. Appspezifische Passwörter machen da alles nur noch schlimmer..

Aber kannst du dir nicht mal ein kleines bischen vorstellen, was andere Menschen von ihrem Handy/ihrer Mailadresse/ihrem Internet erwarten könnten?

Foto
1

Das kann ich sehr wohl.


Was ichz sage ist, dass hier ein "Sicherheitsfeature" App-Passwörter gefordert wird, und dabei Scheunentorgroße Sicherheitslücken aufgemacht werden ("bequeme, kurze Passwörter") oder offen bleiben ("veraltetes Anrdoid").


Das passt so nicht zusammen, und das sage ich ganz klar so, wie ich es sehe.


Als Vorschlag zur Lösung: er soll ein mailbox.org-Konto nutzen, und einen billigen, unsicheren Mailanbieter, der App-Passwörter beherrscht, Die Mails kann er von Mailbox.org auf den billigen Provider weiterleiten lassen. Dann geht das, was er will, aber es macht dann immer noch keinen Sinn.

Foto
1

App Passwörter müssen nicht unsicher sein.


Erstmal bitte genau mit der Thematik beschäftigen.


Wenn es einmal generierte komplexe Passwörter sind, ist das alles andere als unsicher.


Ich bringe gerne nochmal das Beispiel Fastmail an, die das für mein Empfinden sehr sehr gut umgesetzt haben.

Erstmal im Detail anschauen und dann urteilen ob das sicher/unsicher ist.


Ich finde es allemal sicherer als nur ein einziges Passwort zu haben.

Foto
1

Das sage ich nicht, bitte lesen und sich mit meinen Posts beschäftigen.


Der TO spricht von unsicheren, weil kurzen Passwörtern. Da helfen auch App-Passwörter nicht all zu viel.


Ich nutzen KeePass2Android. Ich nutze sichere Passwörter. Ich nutze Mailprogramme auf meinen Android, die verschlüsseln können, und ich nutze die sichere Passwortfunktion via KeePass. Ich nutze ein aktuelles Android.


Das finde ich allemal sicherer als ein kurzes App-Passwort.

Foto
1

Du kannst aber App-Passwort-Systeme generell nicht schlecht reden nur weil es evtl. entweder falsch verstanden oder falsch dargestellt wurde.


Der Thread Ersteller nutzt ein einfacheres Master-Passwort, weil er es immer wieder braucht zum einloggen(z.B. Auch hier im Forum, im Help System,...).


Wenn es App spezifische Passwörter geben würde, braucht er eben dieses Master-Passwort so gut wie nie mehr (evtl. Zur Account-Administration usw.) und dann könnte es auch sicherer sein (und/oder im PW-Manager des Vertrauens landen).


Ansonsten würden die anderen Dinge alles sichere App-Passwörter regeln (welche dem Thread Ersteller nach auch lange und komplex sein sollen/dürfen).


Ein App-Passwort System richtig umgesetzt und vom User eingesetzt ist sicherer als ein einziges Master-Passwort.

Das ist Fakt und kann auch nicht widerlegt werden.

Foto
1

Sorry, das ist mir jetzt zu blöde. Lies bitte meine Posts.


Du schreibst: "Wenn es App spezifische Passwörter geben würde, braucht er eben dieses Master-Passwort so gut wie nie mehr (evtl. Zur Account-Administration usw.) und dann könnte es auch sicherer sein (und/oder im PW-Manager des Vertrauens landen)."


Das Problem ist doch gerade, dass er dann TROTZDEM für die Logins weiterhin ein UNSICHERES, weil kurzes Passwort verwenden würde. Da nützt dann die App-Passwortfunktion NICHTS.


Unsicher bleibt nämlich unsicher. Und dann kommen hier anderen, uns fordern obendrauf, dass man diese Sicherheit braucht, weil man ein altes Android nutzt.


Lächerlich. Für mich in diesem Thread Ende.

Foto
1

Wow ist das hier ein tolles Klima. Wird man von manchen direkt angefeindet, nur weil man ein anderes Nutzungsprofil hat.


Danke @Den, du hast verstanden, was ich meine.


@7586310:

Stell mal die Schnappatmung ein und beschäftige dich mit Sicherheitskonzepten. Deine Ansätze sind nicht unsicher, aber extrem unpraktisch. Wenn man will, dass sichere Konzepte auch von normalen Usern genutzt werden, muss man diese auch Komfortabel machen.


Außerdem ignorierst du schön alles, was dir nicht passt, um die Gegenseite runterzuputzen. Ja, ich würde gerne ein kurzes, etwas unsichereres Passwort für die WebGui verwenden (aber lange kein unsicheres - nur halt nicht 20+ Stellen, schwer zu merken und zu tippen). Wenn ich das aber NUR für die WebGui nutzen könnte, wäre das von der Sicherheit her gar kein Problem, weil ich hier die 2FA brauche.


Das Problem entsteht an Geräten / Protokollen, wo ich mich ohne 2FA einloggen kann. Da muss dann ein möglichst langes und kompliziertes Passwort her, was aber normalerweise kein Problem ist - das muss ich schließlich nicht dauernd eintippen, meinen Mailclient auf Smartphone etc. richte ich ja nicht täglich ein.


Wieso du der Meinung bist, ich müsste auch auf dem Smartphone mein Passwort dauernd eintippen erschließt sich mir nicht. Das wird da gespeichert und fertig - und wenn es ein App Passwort ist, ist eben auch das kein Problem. Sollte es kompromittiert werden, kann ich es widerrufen. Und niemand kann mich damit aus meinem Account aussperren.


Davon ab hilft manchmal auch, ein bisschen über den Tellerrand zu gucken. Es gibt Smartphones ohne NFC, es gibt Smartphones außerhalb von Android, und KeePass ist auch einfach so sehr in den 2000ern hängen geblieben, dass ich vor ein paar Jahren zu einem von der Usability zeigemäßeren Passwortmanager gewechselt bin (aktuell: Bitwarden, selbst gehostet). Lösungen wie KeePass, bei denen ich mich selbst noch um die Synchronisierung meiner Passwort-Datenbank kümmern muss, sind einfach der letzte Krampf in Zeiten mit mehreren Endgeräten.


Und davon ab: Verstehst du wirklich nicht, dass es sinnvoll wäre, das Haupt-Passwort, mit dem man den kompletten Account verwalten (Passwort ändern, Account löschen etc.) kann, nur auf möglichst wenig Geräten einzugeben, und wenn, dann immer mit 2FA? Dass das konzeptionell ein Sicherheitsgewinn wäre, springt einen doch laut schreiend an.

Foto
1

@ 6228986

Und davon ab: Verstehst du wirklich nicht, dass es sinnvoll wäre, das Haupt-Passwort, mit dem man den kompletten Account verwalten (Passwort ändern, Account löschen etc.) kann, nur auf möglichst wenig Geräten einzugeben, und wenn, dann immer mit 2FA? Dass das konzeptionell ein Sicherheitsgewinn wäre, springt einen doch laut schreiend an.


Wenn 2FA aktiviert ist, kann man die beschriebenen Aktionen nicht ausführen, ohne sich zuerst mittels PIN + zweitem Faktor im Webinterface anzumelden. Der Login mittels Passwort ins Webinterface wird durch 2FA automatisch deaktiviert.

Für die beschriebenen Aktionen sind also alle 3 Faktoren erforderlich: PIN + Token + Passwort.

Foto
Foto
1

Hi Zusammen,


Gibt es hier Neuigkeiten was das Thema App-spezifische Passwörter angeht?


Wurde es evtl. noch einmal überdacht, dass doch einzuführen/anzugehen?


Viele Grüße

Foto
1

Huhu,


ich möchte auch zur kritischen Masse bei dem Thema beisteuern :-)


Ich möchte meine Mails explizit mit einem zweiten Faktor schützen. Sollte mir mein Passwort unter dem Hintern weggecybert werden ist es zwar toll, dass der Angreifer nicht über das Webinterface an meine Mails heran kommt - aber was nutzt mir das, wenn er meine Mails dann per IMAP abschnorcheln kann?


Wenn ein Account nicht auf allen Loginwegen durch einen zweiten Faktor geschützt ist, hilft das vermutlich nur gegen Scriptkiddies.

Foto
1

Das geht. 2FA aktivieren, und im Backend von Mailbox.org einstellen, dass du nur noch über den Webmailer da reingehst.


Sicherheit geht immer auf Kosten von Bequemlichkeit und Luxus. Denn spätestens, wenn das Smartphone mit sowas wie FaceID "gesichert" ist, haut dich jemand um, und hält dir dein Gerät vor dein bewusstloses Gesicht, oder scannt deinen Finderabdruck.


Also daher: Nutzt du 2FA auch für den LogIn auf dem Smartphone? Falls Nein, dann ist mailbox.org das allergeringste Problem IMHO.

Foto
1

Ganz schön „brutale“ Ansichtsweise ;-)

Ich hoffe, dass mich in meinem Leben keiner wegen solch einer Sache so angeht/behandelt etc.

Ich betrachte jetzt eher mal die reellere Variante (die Virtuelle).

Und hier bringen App-spezifische Passwörter sehr wohl etwas.

Kompromittierte Apps/Anwendungen usw. kann so ganz schnell das Handwerk gelegt werden, oder sie haben eh nur eingeschränkte Rechte (SMTP only z.b.)...

.

Ganz klar 2FA hat auch sehr hohe Bedeutung und seine Daseinsberechtigung - aber App-spezifische Passwörter ebenfalls!


Edit: und falls mir jemand den Finger klaut oder mein Auge/Gesicht nutzen sollte... dank App-spezifischem Passwort kann er nicht viel damit anfangen ;-)

Das ist einer der Riesen Vorteile dieser Variante.

Foto
1

Ne, ganz reel. In Deutschalnd noch verboten, in anderen Ländern insofern praktiziert, dass Polizisten einem das Smartphone einfach vor's Gesicht halten. Und das ist der häufigste UseCase.


Klar haben getrennt Passwörter Vorteile, aber nicht, wenn dir jemand das Smartphone wegnimmt und einfach vor dein Gesicht hält. So easy.

Foto
1

Du hast schon meinen „Edit“ gelesen oder?

Ohne App spezifische PW = Zugriff auf das Master -Passwort

Mit App-spezifischen PW = ein PW was keinen Zugang zu dem gesamten Account hat (bzw. ein PW was nur entsprechend vergebene Rechte hat). Und zusätzlich auch noch leicht widerrufbar ist.


Da sind App-Passwörter doch klar im Vorteil.

Foto
1

Theoretisch ja, aber eben gerade nicht, wenn alle fein säuberlich nach Apps getrennten Passwörter auf dem Smartphone fest hinterlegt und dann mit Finderabdruck oder FaceID "verunsichert" wurden.


Das ist nun mal das ganz typische Vorgehen aller Smartphone-User, weil es ja so bequem ist. Und da bringt das ganze eben grad mal gar nichts.


Wenn du aber dein Smartphone per 2FA via NFC OHNE Finderabdruck oder FaceID sicherst, sieht das schon anders aus. Dann ist der zweite Faktor nämlich nicht so einfach zu holen. Und dann reicht auch ein Passwort für alles, interessanterweise.


Aus meiner Sicht also: Ein Passwort für jede App bringt nur dann etwas, wenn man das ganze nicht an der Vordertür durch letztlich ein zentrales Passwort via FaceID etc. zunichte macht. Sonst ist das nur Augenwischerei. Und ja, wenn man das als Option anschalten könnte, wäre das noch flexibler als jetzt. Aber eben nicht unbedingt sicherer.

Foto
2

Vielleicht sollten wir bei der Diskussion von den Extremen Abstand nehmen, wie Polizisten, die einem das Gerät vor die Nase halten. Es geht darum, dass nicht irgend ein X-beliebiger Kerl aus Hintertuttenbach in mein Konto gelangt, nur weil irgendwo ein Passwort abgegriffen wurde. Und da sorgen App-Kennwörter mit speziellen Berechtigungen und eine gescheite 2FA eben für mehr Sicherheit.


DIE 100%ige Sicherheit gibt es nicht. Aber die ist nie gegeben. Wenn jetzt Deutschland wieder einen Diktator bekommt, latschen die auch einfach bei Heinlein ins Rechenzentrum und zwingen alle, die Daten herauszugeben. Aber wie gesagt, wir wollen mal beim normalen Anwendungsfall bleiben.

Foto
1

Da stimme ich absolut zu. Es ist immer sehr beliebt eine Loesung abzulehnen, weil sie nicht 100% jeden erdenklichen Fall abdeckt.


Ich war ueberrascht und entaeuscht, dass mailbox.org keine App-Kennwoerter mit entsprechenden Berechtigungen anbietet. Fuer einen Anbieter, der sich Sicherheit auf die Fahne geschrieben hat, erscheint mir das seltsam. Ich habe aus diesem Grund angefangen, mich nach Alternativen umzusehen, aber leider ist das mit einer eigenen Domain nicht so leicht.


Ich hoffe auf ein Umdenken in diesem Punkt.

Foto
1

DIE 100%ige Sicherheit gibt es nicht. Aber die ist nie gegeben. Wenn jetzt Deutschland wieder einen Diktator bekommt, latschen die auch einfach bei Heinlein ins Rechenzentrum und zwingen alle, die Daten herauszugeben. Aber wie gesagt, wir wollen mal beim normalen Anwendungsfall bleiben.


Endlich mal ein lustiger Kommentar bei doch ernsten Themen. Ich denke auch, dass man einmal in Richtung App-Kennwörter, d.h. Drive und E-Mail getrennt, nachdenken sollte. Aber ich vermute auch, dass es nicht wirklich einfach umzusetzen ist und eventuell erst in Zukunft auf der Agenda stehen wird. Interessant fände ich es auch, wenn man beim TOTP nicht nur eine feste PIN vergeben kann, sondern ein eigenes Passwort plus generierter Token.

Foto
1

Also ich wäre auch schwer dafür, App-Passwörter einzuführen. Die Argumente, die hier dagegen angeführt wurden, sind in meinen Augen wenig einleuchtend.

Foto
1

Tatsache ist: Momentan benutzen DAVx⁵ und AquaMail (Android) sowie Thunderbird (Ubuntu) mein Master-Passwort.

Für Benachrichtigungs-Mails im OpenMediaVault nehme ich einen anderen Email-Provider.

Wenn App-Passwörter implementiert wären, dann bestünde ja kein Zwang, dieses Feature zu benutzen. Bei Google kann man auch app passwords vergeben wenn 2FA aktiviert ist, aber man erhält zu Beginn eine Sicherheitswarnung.

So verbietet Posteo generell eigene Domains, weil das gegen die Privatsphäre verstoße, anstatt Powerusern diese Möglichkeit einzuräumen und auf Dienste wie njal.la, prq.se oder eu-Domains zu verweisen. Sogar ProtonMail hat eigene Domains, wenn auch zu Schweizer Preisen. Bei mailbox.org hab ich bisher die größte Flexibilität.

Vielleicht wären App-Passwörter mit konfigurierbaren Rechten (z.B. nur CardDAV- und CalDAV-Zugriff oder SMTP ohne IMAP oder IMAP nur mit Einschränkungen) eine Lösung?

Foto
1

So verbietet Posteo generell eigene Domains, weil das gegen die Privatsphäre verstoße, anstatt Powerusern diese Möglichkeit einzuräumen und auf Dienste wie njal.la, prq.se oder eu-Domains zu verweisen.


Was für eine komische Begründung, warum sollte das gegen die Privatsphäre verstoßen. Erstens bin ich ja derjenige der die Domain registriert (ich könnte sogar die hinterlegten Angaben anonymisieren) und zudem werden die Angaben ohne Begründung, entsprechend der DSGVO, nicht mehr herausgegeben.

Foto
1

Ich verstehe den Einwand ehrlich gesagt nicht. Ja, es gibt Szenarien, in denen ein appspezifisches Passwort keinen allzu großen Sicherheitsgewinn bringt. Genau so gibt es aber Szenarien, in denen es einen Sicherheitsgewinn bringt. Das ist wohl der Grund, warum das Thema aktuell anscheinend keine Priortät hat.


Da meine persönliche Priorität davon abweicht, äußere ich nun hier meinen Wunsch, in der Hoffnung, dass es einen (kleinen) Einfluß auf die Priorität bei Mailbox.org hat. Da helfen auch keine Mutmaßungen über mein Nutzungsverhalten :-)

Foto
Foto
1

Die Unsicherheit wird an keiner Stelle durch Mailbox verursacht, sondern durch die Endgeräte.

Wenn man ein Smartphone so absichern könnte, dass es nicht geknackt werden kann, und man dann 2FA für das unlocken des Smartphones nutzen würde, wäre das sicherer als getrennte App-Passwörter für jede Anwendung.

App Passwörter alleine sind nur auf den ersten Blick sicherer. Und es ist eine Tatsache, dass inzwischen fast jeder sein Smartphone nicht mehr durch Eingabe eines echten Passwortes öffnet, sondern per FaceID oder Fingerscan.

Letztlich würden User durch die Pseudosicherheit von App-Passwörtern in falscher Sicherheit gewogen, und ich wette, dass ihr alle eure Passwörter auf den Endgeräten gespeichert habt und euch am Smartphone nicht per 2FA anmeldet. Richtig?

Foto
1

@Grunz

AquaMail überträgt deine Login-Daten völlig ungesichert. EDIT das Passwort wohl nicht. Siehe Link weiter unten! )EDIT

Du solltest sofort auf K9 wechseln und das Passwort ändern. Es gab dazu hier im Forum einen Post, ich weiß nicht mehr wo.

Hier würden App-PW übrigens nicht wirklich helfen...

Wenn man etwas drüber nachdenkt, sollte man nur noch über den Webclient von Mailbox arbeiten, und alles andere abschalten.

Foto
1

Das kann nicht sein, da mailbox.org nur verschlüsselte Verbindungen zulässt.

Foto
1

Nicht verwechseln: In dem von dir zitierten Beitrag geht es um die Übermittlung des Logins an den App-Anbietern, nicht an den IMAP-Server von mailbox.org.

An mailbox.org werden die Daten nur verschlüsselt übertragen.

Foto
1

Zitat: "Aqua Mail ─ E-Mail-App: Übersendet bei der Konto-Verknüpfung das Passwort nicht an den Betreiber."

Mehr steht dort nicht zu Passwörtern in Verbindung mit Aqua Mail.

Foto
1

Mein Tipp ist ohnehin R2Mail2, das kann auch PGP und S/MIME.

Foto
1

Ich hab sowieso sämtlichen Android-Tracking-Kram (flurry, crashlytics, facebook usw.) zusätzlich zu den ad servers im AdAway eingetragen.

Außerdem läuft NetGuard und verweigert allen closed source apps per default jeden neuen access attempt. Was dort aufschlägt und suspekt erscheint wandert ins AdAway.

Übrigens wird "mobisystems.com" (die AquaMail website) bereits von https://hosts-file.net/ad_servers.txt blockiert. Deshalb bekomme ich auch keine Update-Benachrichtigungen. Auch gibt es keine GCM-Registrierung im microG. Wie sollte AquaMail dann mein Passwort an den Entwickler übertragen wenn es sich nur mit mailbox.org verbinden darf?

Ja leider gibt es für AquaMail keine gute PGP-Integration und es nicht open source.

Foto
1

Das musst du Kuketz fragen. Apps können alles mögliche...

Foto
1

Neben R2Mail2 (das ich vor einiger Zeit und nur kurz mal getestet hatte) kommt K-9 (meine Haupt-email-app auf android) inzwischen auch gut mit PGP zurecht, inkl. der automatischen Verschlüsselung von mailbox.org

Foto
1

@Grunz kannst du bitte den Link zu AdAway Posten? Finde die App nicht. Wie sicher ist die?

Foto
1

@7586310

suchst Du etwa in Google Play? :)

sowas nützliches gibt's nur hier:

https://f-droid.org/de/packages/org.adaway/

Foto
1

Ne, ich suche im Internet, grundsätzlich. Und da gelangt man ins Nirvana, gleich hinter der Site von Jan Böhmermann...


EDIT: Thanks!

Foto
Foto
1

Gerätespezifische App Passwörter würde schon sehr helfen. Bei Google kann ich ein App Passwort z.B. für Mail nicht auf 2 verschiedenen Applikationen und Phones verwenden. Damit muss der Angreifer schon direkt an das Gerät kommen. Und da hat man dann ganz andere Probleme. Zusätzlich wird man sofort informiert, wenn sich ein neues Device im Account anmeldet. Und man kann jederzeit die Logins und Anmeldungen aller Geräte nachvollziehen.

Foto
1

Im 1. Step würden generell App-Passwörter schön sein, gerätespezifisch wäre natürlich noch ein Schritt mehr.


Aber erst einmal müsste es generell App-Passwörter geben. Soweit ich das bisher verstanden habe, ist das mit der von MBO aufgesetzten "Gesamt-Struktur" so nicht umsetzbar.

Foto
Foto
1

@cw


die Login-Daten sind es ja nun...


AquaMail überträgt zwar nicht das Passwort an den Anbieter von AquaMail, aber... Es ist eine App. Es darf da gar keinen Datenabfluss an den App-Anbieter geben - wozu auch?

Foto
1

Natürlich darf und muss es keinen Datenabfluss an den App-Anbieter geben. Deshalb nutze ich ja R2Mail2.

Hier ging es aber um die angebliche unverschlüsselte Übertragung an mailbox.org, und das ist eben nicht der Fall.

Foto
1

Wenn es Apps gibt, die Benutzerdaten und Passwörter im Klartext an die App-Macher übertragen, kann man getrost von ungesicherten Datenübertragungen reden. Da helfen dann auch keine getrennten App-Passwörter mehr.

Foto
1

Natürlich kann man hierbei von ungesicherten Datenübertragungen reden. Es ging aber um die Datenübertragung zu mailbox.org, und die ist verschlüsselt. Wenn jemand freiwillig seine Daten sonstwo hin überträgt (z.B. durch Nutzung einer entsprechenden App), ist das sein Problem und keine Frage von mailbox.org und deren Implementierung von Sicherungsfunktionen und Passwortfunktionalitäten.

Foto
1

Es ist damit das Problem, dass getrennte Passwörter für verschiedene Funktionen bei Mailbox.org eben KEINE garantierte Verbesserung der Sicherheit bringen.


Die Leute, die das wollen, wollen ja gerade Apps nutzen.


Am sichersten ist es, mailbox.org per 2FA nur im Webclient zu benutzen. Unschön, aber wahr. Und genau das wird angeboten.

Foto
1

Ist ja gut, dass du fuer jeden weisst, wie er es verwenden will. Wenn du es nicht nuetzen willst, dann nuetze es nicht. Aber behaupte nicht, es waere nutzlos, nur weil du dir Situationen konstruieren kannst, in denen es nicht hilft

Foto
1

Ich spreche nicht von nutzlos, sondern von unsicher. Kleiner, aber feiner Unterschied. Bitte keine Unterstellungen.

Foto
2

Bei solchen "Lücken" wird das Thema app-spezifische Passwörter immer wieder interessant. (Sofern man IMAP/SMTP/... auf einem Rechner nutzt).


https://www.heise.de/mac-and-i/meldung/Kritische-Luecke-im-Mac-Schluesselbund-Wie-sch-Nutzer-schuetzen-koennen-4298398.html

Foto
2

Ich wusste schon warum ich davon weg hin zu 1Password (alternativ Enpass) gegangen bin. Den aktuellen Sicherheitsversprechen a la Apple, Windows, Dropbox (Google muss hier eigentlich gar nicht erwähnt werden) etc. glaube ich nicht.

Foto
1

Genau. Der Artikel macht mal wieder klar, dass es primär immer um die Gerätesicherheit geht. Und die wird immer durch die Bequemlichkeit zerstört. KeePass als Passwort-Manager erlaubt eine Anmeldung per 2FA. Können das die anderen auch?

Foto
2

Das mit der Gerätesicherheit verstehe ich im Kontext zum genannten Artikel und dem geschilderten Zero-Day-Exploit gegen den Mac-Schlüsselbund nicht und ich verstehe auch nicht, weshalb die angeführte "Gerätesicherheit" (vgl. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04027.html) ein Gegenargument zu den gewünschten App-spezifischen Passwörtern sein soll.

Foto
1

Im Artikel ist ja auch ausdrücklich beschrieben worden, dass es unter iOS scheinbar diese Sicherheitslücke nicht gibt und damit gilt das Gerät Smartphone bei Apple aktuell als noch sicher. Daher kann ich das mit der Gerätesicherheit ausdrücklich auch nicht unterschreiben.

Was die 2FA bei einem Passwortsafe bringen soll ist mir insoweit ich nicht schlüssig, da ich davon ausgehen, dass niemand auf meine Hardware Zugriff hat.

Foto
1

@7842928: Gerätesicherheit ist kein Gegenargument. Aber die Fragen der Gerätesicherheit kommen leider immer zuerst. Und der zitierte BSI-Artikel macht ja nun genau deutlich, WARUM die Gerätesicherheit so wichtig ist.


Zitat:

"Jeder Laptop sollte mit einem Zugriffsschutz versehen werden, der verhindert, dass dieser unberechtigt benutzt werden kann. Bei Laptops sollte als Minimalschutz, wenn kein anderer Sicherheitsmechanismus vorhanden ist, derBIOS-Bootschutz aktiviert werden, wenn dessen Nutzung möglich ist. Erst nach Eingabe des korrekten Bootpasswortes wird der Rechner dann hochgefahren. Die im Umgang mit Passwörtern zu beachtenden Regeln sind in M 2.11 Regelung des Passwortgebrauchsaufgeführt worden.

Außerdem bieten nahezu alle Betriebssysteme die Möglichkeit, Anmeldepasswörter einzurichten und diese mit geeigneten Restriktionen zu versehen (z. B. Mindestlänge, Lebensdauer, etc.). Da diese Bordmittel nur eine begrenzte Sicherheit bieten, empfiehlt es sich bei Laptops, auf denen sich schnell große Mengen sensitiver Daten sammeln, zusätzliche Sicherheitshard- oder -software einzusetzen. Dazu gehören beispielsweise Chipkarten oder Token, die die Authentikation absichern.

Ist keine Passwortroutine installiert, sollte, wenn keine Verschlüsselung der Daten erfolgt, die Speicherung von schutzbedürftigen Daten auf der Festplatte verboten und deren Speicherung stattdessen nur auf mobilen Datenträgern, also z. B. Disketten oder USB-Sticks, zugelassen werden. Diese sind dann getrennt vom Laptop aufzubewahren, zum Beispiel in der Brieftasche.

Bei kurzen Arbeitsunterbrechungen muss unbedingt ein Zugriffsschutz aktiviert werden, z. B. ein Bildschirmschoner. Ist es absehbar, dass die Unterbrechung länger dauert, ist der Laptop auszuschalten."

Foto
Foto
1

Ich würde gerne mit einem App-Passwort auf das Postfach zugreifen können, sodass ich mit der App auf meinem Mobiltelefon unverschlüsselte Mails lesen und versenden kann, ohne Sorge zu haben, dass die Postfacheinstellungen (z.B. die eigentlichen Zugangsdaten) geändert werden.

Foto
1

Das geht aktuell mit der 2-Faktor-Authentifizierung sogar. Wenn du 2FA aktivierst, vergibst du eine PIN die du dann zusammen mit dem zweiten Faktor zum Login im Webinterface benutzt. Dein vergebenes Passwort funktioniert - solange das eingstellt ist - dann nur noch für IMAP und Konsorten.


https://userforum.mailbox.org/knowledge-base/article/zwei-faktor-authentifizierung

Foto
1

Das hat aber nichts mit App-Passwörtern zu tun.

Foto
1

@1426271: App-Passwörter sind bei Mailbox.org derzeit nicht verfügbar.


Das mit der Verschlüsselung ist unklar in deinem Text. Wenn dein Postfach verschlüsselt ist, hilft dir auch ein App-Passwort nichts. Mir ist derzeit keine Mail-App bekannt, die mit verschlüsselten Postfächern umgehen könnte. Verschlüsselte Mails hingegen funktionieren.

Foto
1

@Jan: Ich habe die Frage von "1426271" so verstanden, dass er geschützt sein möchte für den Fall, dass sein normales Passwort (für IMAP, etc.) abgegriffen wird. Hier schützt die 2FA leider nicht, da diese mit Kenntnis des Passworts über die "Passwort vergessen"-Funktion ausgehebelt werden kann.

Foto
1

@Name so habe ich das noch garnicht betrachtet, das ist natürlich ein ganz schönes Problem was die zusätzliche Sicherheit durch 2FA quasi komplett hinfällig macht wenn man IMAP Zugang ohne 2FA zulässt. (Gegen Phishing auf der Webseite selbst ist man zumindest geschützt)

Foto
1

Man könnte als alternative Mailadresse eine angeben, die sonst nicht mit mailbox verbunden ist; dann wird der Passwortreset darüber ausgeführt. Die Credentials dieses Kontos dürfen dann eben nicht mitgestohlen worden sein. Oder man gibt gar keine an, dann ist es sicher, aber auch kein Reset möglich.

Foto
1

Doch auch wenn keine E-Mail-Adresse angegeben ist, ist immer der Versand eines Links um für einen Passwortreset an die mailbox.org-Adresse des jeweiligen Accounts möglich.

Ich war auch sehr erstaunt, als ich das hier im Forum gelesen und anschließend selbst getestet habe.

Foto
1

Ah ja, ich überlas "...und der Zugriff auf Ihren mailbox.org-E-Mail-Account via IMAP deaktiviert ist..."

Foto
1

Leute, schreibt ihr hier im Ernst, dass es bedenklich ist, dass die Passwort-vergessen-Funktion das PW an die hinterlegte Adresse schickt?


Und seid ihr wirklich erstaunt, dass jemand, der die Mailadresse hat, und das Passwort, sich in den Account einloggen kann?


Ihr habt aber schon verstanden, wie Mailing funktioniert?


Nur als Tipp: Was passiert, wenn ihr als Haupt-Mailadresse eine Mail-Adresse nehmt, mit der ihr niemals mailt, sondern die ihr nur zum Login nehmt?


Und als Frage: wie habt ihr eure Smartphones abgesichert?

Foto
1

  1. Doch auch wenn keine E-Mail-Adresse angegeben ist, ist immer der Versand eines Links um für einen Passwortreset an die mailbox.org-Adresse des jeweiligen Accounts möglich.
  2. Ich war auch sehr erstaunt, als ich das hier im Forum gelesen und anschließend selbst getestet habe.

@Name: Angenommen, 2FA ist aktiviert und der Web-Login funktioniert nur mit 2FA und IMAP mit dem Standardpasswort. Angenommen, ein Anreifer besitzt dieses IMAP-Passwort und kann folglich alle E-Mails lesen. Wenn jetzt der Angreifer sich über den Passwort-Reset-Link ein neues Passwort bzw. einen Link zum Neusetzen an den Mailbox-Account schicken lässt, dann kennt er das neue Passwort. Damit kann er sich aber nach wie vor nicht per Web-Login einloggen, da hier 2FA notwendig ist. Und die E-Mails konnte er über seinen IMAP-Zugriff vorher auch schon lesen. Somit gäbe es keinen Unterschied zu vorher. Ist da ein Denkfehler drin?

Foto
1

Yep, Denkfehler.

Ein Passwortreset deaktiviert die 2F-Anmeldung.


Folgende Kernaussage steht somit unwiderlegbar im Raum:


Hat jemand das Passwort, kann er sich trotz 2FA in den Web-Account einloggen und den Account übernehmen und den eigentlichen Besitzer aussperren.

Foto
1

Korrekt, Passwortreset deaktiviert die 2FA!

Foto
1

Unter den Umständen ist 2FA bei gleichzeitiger IMAP-Nutzung (was bei den meisten der Fall sein dürfte) witzlos. Hat das schon jemand an den Support weitergegeben?

Im Endeffekt bestätigt das ja den Wunsch des OP nach gerätespezifischen Passwörtern (oder man sollte eben das Passwort nicht über den Mailbox-Account selbst zurücksetzen dürfen).

Foto
1

Wieso an den Support? Das ist so gewollt und das steht auch irgendwo, und wenn jemand auf IMAP und dem 2FA Key hat ist schon etwas schiefgelaufen. Und wir reden hier über Wahrscheinlichkeiten und möglich ist im Zweifel immer vieles aber wie realistisch?

Und wieviele Anfrage soll der Support benantworten wenn der 2FA Key nicht mehr bekannt ist. Und wenn dieser nicht innerhalb von einer Stunde antwortet, dann ist der gleich wieder doof.

Foto
1

Moment, mein Verständnis von obigem Szenario war, dass nur der Zugriff auf IMAP und nicht den 2FA-Key notwendig ist. Und dass ein IMAP-Passwort abhanden kommen kann, ist zumindest so wahrscheinlich, dass sich Leute über eine zusätzliche Absicherung mittels 2FA Gedanken gemacht haben.

Es war in keinster Weise meine Absicht, Kritik am Support zu äußern. Es gab ein potentielles Sicherheitsrisiko bei 2FA, was auch andere bestätigt haben. Diese Info kann man meiner Meinung nach durchaus an den Support weitergeben - was der dann damit macht, ist immer noch seine Entscheidung.

Foto
1

Dieses "Problem" ist in den Letzten Wochen schon mehrfach rauf- und runter diskutiert worden, auch unter Beteiligung von Peer Heinlein (mailbox.org-GF). Bitte nicht schon wieder.

Foto
1

Es ist schlicht unfassbar.

Die Leute hier regen sich über angebliche Lücken bei der 2FA-Implementierung auf.

Sie setzen dabei auf ein Szenario, bei dem ein Angreifer aber bereits das IMAP-Passwort hat.

Aber ich muss mich korrigieren: das ist nicht unfassbar. Das ist lächerlich.

Leute, denkt mal über eure Gerätesicherheit nach.

Foto
1

Es wird anscheinend genutzt in dem Wissen, dass Menschen zwar im Zweifel die Mails lesen können, und man verlorene Geräte durch Änderung des Passwortes wieder aussperren kann, aber nicht, dass in dem Fall, dass das IMAP Passwort bekannt ist, man auch aus dem Account ausgesperrt werden kann.


Klar ist der Verlust des IMAP Passwortes schon das komplette Herunterlassen der Hose; aber zumindest hätte man da durch 2FA den Vorteil, dass man den Account "behält", dieser fällt so aber auch weg.

Foto
1

@thgeiges: Vielen Dank für den Hinweis. Ich habe tatsächlich auch mittels Forum-Suche einige Kommentare dazu gefunden, leider jedoch die offizielle Stellungnahme von Herrn Heinlein. Weißt du zufällig noch, wo diese steht?

@Jan: Korrekt, das ist genau der Punkt. Dass man sein IMAP-Passwort trotzdem schützen mus (--> Gerätesicherheit) ist ja selbstverständlich.

Foto
1

Besten Dank! Ich habe den Thread inkl. dem Post von Herrn Heinlein gelesen. Wenn ich das richtig verstanden habe, ging es primär um die Begründung, warum 2FA in der vorliegenden Form implementiert wurde (insbesondere, warum nicht OTP + langes Passwort möglich ist). Zu der hier beschriebenen Problematik (Übernahme eines Accounts mit aktivierter 2FA durch Passwort-Reset und 2FA-Deaktivierung bei kompromittiertem IMAP-Zugang) habe ich jedoch nichts gefunden.

Foto
1

Man sollte mal lieber zurück zum Thema kommen. Hier geht es ja um App-spezifische Passwörter....!


Würde es diese Variante geben, hätten wir diese Diskussion hier nicht (bzw. wenn dann überhaupt an anderer Stelle im Forum).


Gerätesicherheit erreicht man ganz einfach mit app-spezifischen Passwörtern, welche man entsprechend auch Geräten zuweisen kann.

Schaut euch mal die Umsetzung bei anderen Anbietern dazu an (z.B. Fastmail o.ä.). Das ist wirklich sehr sehr gut und erledigt viele Probleme ohne Neue zu schaffen.

Foto
1

Gerätesicherheit erreicht man dadurch, dass man das Gerät unter Kontrolle hat. Was denn sonst? Bei einem sicheren Gerät braucht man keine App-spezifischen Passwörter. Bei einem unsicheren Gerät braucht man 2FA.

Foto
1

@ 7586310

Genau. Die letzten zwei Sätze treffen es eigentlich auf den Punkt.

Jetzt ist es aber so, dass 2FA nicht für alle Zugangswege angeboten wird. Beispielsweise, weil es meines Wissens keinen E-Mail-Client gibt, der in der Lage ist, mit 2FA nativ umzugehen. Und das wäre auch nicht sinnvoll, denn auf einem unsicheren Gerät dürfte man ja den zweiten Faktor auch nicht abspeichern. Stattdessen müsste man jedes Mal, wenn der E-Mail-Client eine neue Verbindung aufbauen möchte, den zweiten Faktor von extern bereitstellen (eingeben, per USB, etc.) – das ist glaube ich keine ernstzunehmende Möglichkeit.

Für diese unsicheren Geräte, auf denen man beispielsweise trotzdem Zugang zu einem E-Mail-Client braucht, gibt es deshalb eine Reihe von Ideen, wie man so etwas machen kann.

Eine Möglichkeit sind Token, die beim Login generiert werden und die aber erst nach einer gewissen Zeit verfallen (z. B. OAUTH). Das ist ein relativ komplexes System, weil man dafür nicht einfach ein Passwort-Feld einbauen kann so wie es die meisten Standards aber vorsehen.

Eine andere Möglichkeit sind daher app- oder gerätespezifische Passwörter. Das sind ja im Grund auch eine Art Token, nur dass sie nicht im Rahmen eines erstmaligen Login-Vorgangs automatisch generiert werden und auch nicht durch Zeitablauf ungültig werden bzw. immer wieder mittels eines automatischen Verfahrens erneuert werden. All diese Dinge, die Token schwierig zu implementieren machen, fallen hier weg, das spezifische Passwort ist einfach ein statisches Zufallspasswort.

Das macht es möglich, auch über Zugangswege und Protokolle, die weder richtiges 2FA noch einen Login mit Token-Generierung im Hintergrund verstehen, trotzdem eine Sicherheit zu gewährleisten, die höher ist als bei der Verwendung des eigentlichen Passworts: Es ist nicht notwendig, auf einem unsicheren Gerät das eigentliche Passwort einzugeben und trotzdem kann man z. B. per IMAP zugreifen. Und wenn dann mal ein Gerät kompromittiert wird, kann man das Passwort widerrufen.

Richtig ist nebenbei aber auch: Wer ein solches Gerät kontrolliert, kann über den Passwort-zurücksetzen-Mechanismus derzeit das Passwort auf dieses unsichere Gerät senden und gleichzeitig dadurch 2FA serverseitig deaktivieren. Das ist eine Design-Entscheidung seitens Mailbox.org, über die an anderer Stelle intensiv diskutiert wird, aber hat grundsätzlich nichts mit app-/gerätespezifischen Passwörtern zu tun. Abhilfe schafft hier derzeit wahrscheinlich nur die Eingangsverschlüsselung in Kombination mit einem YubiKey, damit der Angreifer ohne Zugriff auf den YubiKey die (eingangsverschlüsselte) Mail zum Zurücksetzen des Passworts nicht lesen kann.

Foto
1

Auf einem unsicheren (schlimmstenfalls: "gehackten") Gerät kann jedes Passwort mitgeschnitten werden, auch das App-Passwort.

Bei keinem mir bekannten 2FA-System wird das Passwort auf dem Gerät "gespeichert", das ist doch gerade der Witz an 2FA.

Hardware-Token wie YubiKey sind sicherer als Software-2FA wie Google Authenticator. Jedes 2FA ist besser als alles andere.

Was es braucht, ist eine Mail-App, die man per 2FA aufmacht, und die dann erst IMAPt. IMAP geht per 2FA, solange erst dann synchronisiert wird, wenn man eingeloggt ist.

Die Passwort-Hacks der letzten Wochen machen klar, dass alles außer 2FA nicht mehr geht, wenn man Sicherheit ernst nimmt.

Ansonsten gebe ich dir weitestgehend recht. Egal wie man es dreht, derzeit ist alles ein Kompromiss. Da hilft nur Selbstdisziplin, und die ist bekanntlich sauschwer, oder, wie ich vor ein paar Tagen wo auch immer im Web gelesen habe:

Für den inneren Schweinehund gilt kein Tierschutz. Den darf man hart angehen.

In diesem Sinne: Happy Mailing!

Foto
1

@9490334:

Ich glaube das im letzten Absatz genannte ist nicht ganz richtig. Ich meine gelesen zu haben, dass die Eingangsverschlüsselung über einen Filter im Sieve-Skript gelöst wird. Und diese Filter kann man über eine entsprechende Schnittstelle (ohne Zugang zum Webinterface) mit dem normalen Passwort ändern.

Abhilfe würde hier nur schaffen, wenn man zum Editieren der Sieve-Skripte ein extra Passwort hätte (da wären wir wieder bei dem Grundthema dieser Diskussion) oder es zumindest möglich wäre die externe (d. h. außerhalb des Webinterfaces) Zugriffsmöglichkeit auf die Filter zu deaktivieren.

Ich fürchte allerdings, dass beide Optionen nur aufwendig umzusetzen wären.

Foto
1

@ Name:


Völlig korrekt, an den Zugang zu Sieve außerhalb des Webinterface habe ich nicht gedacht, so könnte man das tatsächlich umgehen.


@ 7586310:


Auf einem unsicheren Gerät kann alles mitgeschnitten werden, auch alle E-Mails auf dem Server. Davor schützen weder App-Passwort noch 2FA … wer das unsichere Gerät kontrolliert, hat auch Zugriff auf sämtliche E-Mails, die auf dem Server vorliegen, sobald sich der User einmal einloggt.

Aber:

Die Möglichkeit, diesen Zugang "mitzunehmen" und auf einem weiteren Gerät des Angreifers zu nutzen oder zu einem späteren Zeitpunkt selbst einen Login erfolgreich durchzuführen, wird durch die beschriebenen Maßnahmen gestoppt. Und da sind 2FA und App-Passwörter gleich wirkungsvoll, nur dass man bei 2FA nichts dafür tun muss und bei App-Passwörtern das betreffende Passwort manuell sperren muss.

Foto
Foto
2

Ich wollte nach längerer Zeit hier mal nachfragen, ob es von offizieller Seite her hier ein Update zu gibt? Wird evtl. mit dem Gedanken gespielt, dass app-spezifische Passwörter in Zukunft kommen werden, oder ist das Thema erstmal erledigt?


Soweit ich das überblicken kann, hat dieser Thread mit die meisten Zustimmungen von allen Themen und ist somit mit Sicherheit eins der meist gewünschten Features der User (sofern man das so sagen kann - falls nicht, dann ist es zumindest von sehr sehr großem Interesse).


Würde mich über ein Statement hier freuen.


Viele Grüße ins Wochenende hinein...!

Foto
1

Gibts hierzu ein Update? Das bräuchte ich langsam auch mal ...

Foto
3

Habe eben per Zufall im Englischen Forum gelesen, dass hier auch Interesse vorhanden ist an der Sache.


Anbei auch eine sehr schöne Zusammenfassung dort:

https://userforum-en.mailbox.org/topic/two-factor-authentication-with-regular-password-instead-of-pin#comment-903

Foto
1

Genau so würde ich mir eine Implementierung wünschen.

Foto
Foto
2

Ich schließe mich an. Denn auch ich hätte gern bestimmte App Passwörter, die ich nutzen kann, ohne direkt mein Passwort rausgeben zu müssen.

Foto
1

Schade, dass es hier kein Update zu gibt.

Wäre schön zu Erfahren, ob evtl. ja darüber nachgedacht wird, oder sogar daran gearbeitet wird, oder ob das Thema generell 'gestorben' ist.