Willkommen im User-Forum von mailbox.org
 

OTP's nur fürs Webinterface - Sicherheit?

3846606 hat dies geteilt, 21 Monaten her
beantwortet

Wie sicher sind OTPs mit einem YubiKey, wenn diese nur für das Webinterface aktiviert sind? Üver alle anderen Dienste, könnte man sich ja nach wie vor "einfach" mit dem Passwort anmelden?

Kommentare (6)

Foto
1

Ja das stimmt, heisst aber auch jemand muß Zugriff auf von Ihnen verwendete Clients und Apps haben. Es ist so nicht möglich einfach per Webinterface sich einzuloggen.

Noch sicherer ist aber natürlich, nur Weblogin per OTP zu erlauben und alle anderen Zugriffe zu verbieten.

Foto
1

Wieso Zugriff auf die von mir verwendeten Clients und Apps haben? Könnte ein "Eindringling" sich nicht einfach eine Email App auf einem beliebigen Smartphone einrichten (oder auf einem Desktop PC) und diese ohne OTP mit dem normalen Passwort verwenden? Danke

Foto
2

Der Eindringling muss ja an die Zugangsdaten kommen. Wenn ich mal ausschließe, dass er sie bei mailbox.org entwenden kann, dann bleiben ja nur "die von [Ihnen] verwendeten Clients und Apps".

Foto
Foto
1

Ja aber dazu benötigt er eben erstmal das Passwort.

Abgreifen z.B. auf einem öffentlichen PC per Keylogger oder Passwortmanager des Webbrowsers ist so nicht möglich, es sei denn Sie installieren/konfigurieren dort einen E-Mailclient und hinterlassen dort Ihr Passwort, aber das sollte sich von selbst verbieten.

Foto
1

Verstehe ich noch nicht so richtig.

Ich überlege ein 2 Faktoren Authentifizierung einzurichten, damit jemand - sollte er/sie mein Passwort haben- nicht auf meine E-Mails zugreifen kann.

Wenn ich es richtig verstehe, dann reicht das aber nicht. Denn es ist möglich mit meinem geklauten Passwort einen E-Mail-Client entsprechend zu konfigurieren und auf meine E-Mails zuzugreifen. Ich weiß, dass es die Möglichkeit gibt die Funktion "Webinterface OTP, alles andere aus" zu aktivieren. Nur dann kann ich meine E-Mails auch nicht mehr über mein Handy abrufen. Das wäre auch unbequem.

Schön wäre folgende Funktion:

Ich muss im Webinterface (mit 2 Faktoren Authentifizierung) ein Device aktivieren, damit es auf meine E-Mails zugreifen kann.


Oder habe ich was falsch verstanden?


Beste Grüße,

Markus

Foto
1

Weiß zwar nicht ob das die Frage beantwortet, aber folgendes war für mich damals beim Umzug zu mailbox.org auch nicht sofort klar:


Im Vergleich zu Google & Co wird bei der Zwei-Faktor-Authentifizierung nicht das Passwort + OTP, sondern ein Pin + OTP für das Webinterface verwendet. Damit muss man das Passwort auf anderen Rechnern niemals eingeben.

Foto