Willkommen im User-Forum von mailbox.org
 

OTP / Yubikey lässt sich umgehen!

9363632 hat dies geteilt, 3 Jahren her
gelöst

Wenn ich mich über die Startseite mailbox.org einlogge, geht das nur mit Yubikey.

Wenn ich mich über office.mailbox.org einloggen will, wird mein fixes Passwort akzeptiert (!), und OTP mit Yubikey NICHT.


Ich habe eingestellt, dass das Webinterface nur mit OTP via Yubikey funktionieren soll und das fixe PW noch für IMAP etc aktiv sein soll.


Wenn das nicht gefixt wird, macht das den Yubikey ziemlich sinnlos!

Kommentare (9)

Foto
1

Mein schweizer Freund sagt mir gerade: Durch die "Hintertür" eingedrungen ... und keiner hat´s gemerkt!

Ich sage nur: In falscher Sicherheit gewogen!

Hammerhart! - das so etwas die Qualitätssicherung (open xchange) passiert!

Foto
1

Wenn du das OTP auf "für alles" einstellst, ist das OTP sicher, weil dann niemand außer dir dein Klartextpasswort kennt.


Dann geht aber Prinzipbedingt keine Smartphone-basiertes arbeiten mehr, auch kein Mailclient.

Das macht sehr deutlich, wie unsicher das arbeiten im INternet prinzipiell ist, und wie schwierig es ist, das sicher zu kriegen.


Aber das ist KEIN Fehler von mailbox.org, sondern ein Designfehler des www.

Foto
1

Ähm - das "Schweizer-Freund-Problem" verstehe ich nich ganz. Könntest Du das etwas ausführlich erklären?

- Dein Freund hat das Passwort für den Account? Dann kann er via IMAP deine Mails lesen und in Deinem Namen Mails senden, via CardDAV deine Adressbuch lesen und manipulieren, via CalDAV deine Calender lesen und manipulieren, via WebDAV deine Deinen im Drive lesen und manipulieren - kurz: dann hast du ein Problem und die Lösung ist nicht(!!!) OTP.

- Oder hat dein Freund das Passwort erschnüffelt, als du dich im Urlaub in der Schweiz auf seinem Rechner eingeloggt hast? Dann wäre OTP eine Lösung gewesen - vorher!

OTP schützt VOR der Kompromittierung des Passworts, und nicht DANACH.

Das man mit dem Passwort zusätzlich zu allen Daten auch Zugriff auf die Einstellungen hätte ist natürlich ein unerwünschter Bug, es aber als "hammerharter Security Bug" (Klasse 1 Bug) einzustufen ist wohl etwas übertrieben.

"In falsche Sicherheit gewogen" ? Oder OTP falsch verstanden?

Foto
Foto
2

@Angelika K: Das man sich unter office.mailbox.org anmelden kann und das wir es als Bug ansehen und auch bereits bei Open-Xchange einen Bugfix angefordert haben, ist Ihnen bekannt, siehe meine Antwort im Thread Anmelden - aber sicher.

Für Open-Xchange war es bisher ein Feature, für uns ist dieses Verhalten ein Bug, da es unsere OTP-Anmeldung umgeht. Wir bemühen uns um eine Bugfix.

Der Sinn von OTP ist es allerdings nicht in erster Linie, eine Anmeldung mit dem regulären Passwort zu verhindern (das ist weiterhin via IMAP, SMTP und XMPP möglich), sondern das Ausspähen des Passworts auf unsicheren Clients zu verhindern. Wenn Sie die normale Login Seite nutzen und ihr OTP-Passwort verwenden, dann ist der Schutz durch OTP gegeben.

Trotzdem: wir bemühen uns, die Anmmeldung durch OX fixen zu lassen.

Foto
2

Der Sinn von OTP ist es allerdings nicht in erster Linie, eine Anmeldung mit dem regulären Passwort zu verhindern (das ist weiterhin via IMAP, SMTP und XMPP möglich), sondern das Ausspähen des Passworts auf unsicheren Clients zu verhindern.


Allerdings ist es schon eine Sicherheitsfrage. Denn mit einem erbeuteten PW kann ich via IMAP deutlich weniger Schaden anrichten (gerade wenn eigehende PGP-Verschlüsselung dazukommt) als mit Vollzugriff auf die Accounteinstellungen im Webinterface.

Foto
1

ergänzend dazu mein Vorschlag zu anwendungsspezifischen Passwörtern: https://support.mailbox.org/topic/geräte-bzw-anwendungspezifische-passwörter

Foto
1

> Werden Sie von Open-Xchange überhaupt ernst genommen?


Ja, sehr. Wir sind ein sehr wichtiger System-Partner, betreuen für OX zahlreiche andere Provider quer durch Europa. Wir stehen in sehr intensivem, fast täglichem Kontakt mit OX -- was auch daran liegt, daß sich die Beteiligten zum Teil seit über 15 Jahren kennen. mailbox.org hat auf zahlreiche neue Features von OX umfangreich Einfluß genommen oder diese überhaupt erst initiiert. Neue Versionen erhalten wir frühzeitig und Benutzungs- und Sicherheitskonzepte werden mit uns abgesprochen. Wir treffen uns derzeit so alle 2-3 Wochen aus verschiedene Gründen an verschiedenen Stellen mit OX-Kollegen quer durch Europa.


Wir werden sehr ernst genommen, das kann ich versichern und ich habe absolut keinerlei Anhaltspunkte, daß dem anders ist.


> Müssen Sie dort für jedes Bugfix als Bittsteller auftreten?


Nein, aber natürlich muß OX -- ebenso wie wir -- Bugs ganz klar priorisieren nach Auswirkung/Behebungsaufwand/Relevanz. Sowohl OX als auch wir haben viele, viele Ideen und müssen jeden Tag neu abwägen, in welche Bereiche wann wo welche Arbeit gesteckt wird. Auch hier stehen wir in sehr engem Austausch und haben auf die Priorisierung zum Teil auch ganz erheblichen Einfluß. In aller Regel findet die Priorisierung auch gemeinsam mit uns statt. Gleichzeitig muß man auch akzeptieren, daß gewisse Dinge im Leben nicht immer so gehen wie man sich das wünscht.

Wenn das gesamte App-Team auf ein Release einer komplett neu gestrickten Version 2.0 hinarbeitet so muß man akzeptieren, daß man die Ressourcen in diese Fertigstellung steckt und ggf. auch einen Bug der 1.x dann letztenendes gar nicht mehr fixt. Würde man das nicht tun, würde eine 2.x irgendwann nie fertig werden können.

Foto
1

Hat sich hierbei mittlerweile etwas getan? Ich bin schon auch etwas enttäuscht, dass es de facto bis heute keine echte Zwei-Faktor-Authentifizierung bei Mailbox gibt. Das sollte mittlerweile eigentlich Standard sein. Was ist mit anwendungsspezifischen Passwörtern?

Foto
1

Wie meinst Du das? Mailbox.org hat OTP, im Gegensatz zu anderen Anbietern, richtig implementiert. Siehe: https://www.privacy-handbuch.de/diskussion.htm

Siehe dort den Post: 13.11.2017: 2-Faktor-Auth bei Posteo.de ist ein Placebo

Das oben angesprochene Problem ist nicht mehr existent.

Foto