OTP / Yubikey lässt sich umgehen!
gelöst
Wenn ich mich über die Startseite mailbox.org einlogge, geht das nur mit Yubikey.
Wenn ich mich über office.mailbox.org einloggen will, wird mein fixes Passwort akzeptiert (!), und OTP mit Yubikey NICHT.
Ich habe eingestellt, dass das Webinterface nur mit OTP via Yubikey funktionieren soll und das fixe PW noch für IMAP etc aktiv sein soll.
Wenn das nicht gefixt wird, macht das den Yubikey ziemlich sinnlos!
Mein schweizer Freund sagt mir gerade: Durch die "Hintertür" eingedrungen ... und keiner hat´s gemerkt!
Ich sage nur: In falscher Sicherheit gewogen!
Hammerhart! - das so etwas die Qualitätssicherung (open xchange) passiert!
Mein schweizer Freund sagt mir gerade: Durch die "Hintertür" eingedrungen ... und keiner hat´s gemerkt!
Ich sage nur: In falscher Sicherheit gewogen!
Hammerhart! - das so etwas die Qualitätssicherung (open xchange) passiert!
@Angelika K: Das man sich unter office.mailbox.org anmelden kann und das wir es als Bug ansehen und auch bereits bei Open-Xchange einen Bugfix angefordert haben, ist Ihnen bekannt, siehe meine Antwort im Thread Anmelden - aber sicher.
Für Open-Xchange war es bisher ein Feature, für uns ist dieses Verhalten ein Bug, da es unsere OTP-Anmeldung umgeht. Wir bemühen uns um eine Bugfix.
Der Sinn von OTP ist es allerdings nicht in erster Linie, eine Anmeldung mit dem regulären Passwort zu verhindern (das ist weiterhin via IMAP, SMTP und XMPP möglich), sondern das Ausspähen des Passworts auf unsicheren Clients zu verhindern. Wenn Sie die normale Login Seite nutzen und ihr OTP-Passwort verwenden, dann ist der Schutz durch OTP gegeben.
Trotzdem: wir bemühen uns, die Anmmeldung durch OX fixen zu lassen.
@Angelika K: Das man sich unter office.mailbox.org anmelden kann und das wir es als Bug ansehen und auch bereits bei Open-Xchange einen Bugfix angefordert haben, ist Ihnen bekannt, siehe meine Antwort im Thread Anmelden - aber sicher.
Für Open-Xchange war es bisher ein Feature, für uns ist dieses Verhalten ein Bug, da es unsere OTP-Anmeldung umgeht. Wir bemühen uns um eine Bugfix.
Der Sinn von OTP ist es allerdings nicht in erster Linie, eine Anmeldung mit dem regulären Passwort zu verhindern (das ist weiterhin via IMAP, SMTP und XMPP möglich), sondern das Ausspähen des Passworts auf unsicheren Clients zu verhindern. Wenn Sie die normale Login Seite nutzen und ihr OTP-Passwort verwenden, dann ist der Schutz durch OTP gegeben.
Trotzdem: wir bemühen uns, die Anmmeldung durch OX fixen zu lassen.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.