Passwort statt PIN bei 2FA.

Wir wissen ja auch alle worum es geht. Nur waere es vielleicht mal an der Zeit es auch zu im­ple­men­tie­ren!

Passwort statt PIN bei 2FA? Ja und nein.

Die Idee ein anderes Passwort (aktuell Pin) als das Account-Passwort zu benutzen ist gut!

So sind die Accounteinstellungen und Evtl. aktiviertes Imap, Caldav weiterhin sicher wenn dir jemand auf die Finger schaut beim Login. Bei deaktivierten Imap und co wäre es vermutlich nicht ganz so wichtig.

Ich teile aber die Kritik der fixen 4 stellige Pin!

Die aktuelle Lösung 2fa nur mit 4 stelliger Pin anzubieten ist sehr unbefriedigend. Ich habe schon alles dazu gelesen und Teile die Ansicht von Mailbox.org zu diesem Thema nicht, dass es eine akzeptable Lösung ist. Ich finde es vor allem schade, wie die Bedenken alle weggewischt werden in den Diskussionen statt nach Verbesserung zu streben und das ganze selbstkritisch zu hinterfragen. Kein guter Umgang mit der Thematik.

Ich benutze Mailbox daher auch nicht mehr als primären Mail-Account, auch wenn ich es sehr wichtig finde, dass es auch die moralisch "guten" Firmen wie Mailbox.org gibt und ich ihnen alles gute wünsche und meine Account auch als "Supporter" dieses Idealismus behalte.

Abgesehen davon ist ein 4 stelliger Pin (Zahlen + Buchstaben) + generierter 6 stelliger Pin (nur Zahlen) im Vergleich zu einem langem Passwort eher schwach. Vor allem auch weil die Anzahl der Stellen und der Aufbau der Eingabe fix sind und jedem bekannt. Das dürfte die 2fa Passphrase noch weiter schwächen.

Allerdings sollte Brute-Force ist bei einem Web-Login ja in der Regel nicht möglich sein, da bei den meisten Systemen bei zu vielen Versuchen pro Sekunden technisch limitiert wird. Ich denke mal das ist hier nicht anders. Daher wird es vermutlich in der Praxis trotzdem ausreichen.

Ausreichend ist aber eben nicht gut und wenn ich mit wenig Aufwand (mehr stellen für die Pin) das theoretische Risiko um Faktoren senken kann, dann möchte ich das gerne tun!

Es geht am ende eben doch einfach nur um Wahrscheinlichkeiten und auch im Lotto gewinnen Personen. Für den Fall, dass der zweite Faktor in falsche Hände fällt und das möglicherweise sogar gar nicht bemerkt wird, wäre mir ein 4 stelliger Pin dann aber auch in der Praxis zu wenig.

• Ich glaube der Use-Case von Mailbox.org ist hauptsächlich sich auf fremden Geräten sicher einloggen zu können.
• Mein Use-Case ist die best mögliche Absicherung eines Accounts, auch für den Fall das mein zweiter Faktor in falsche Hände fällt. Und da gefällt mit die aktuelle 2fa gar nicht.
  

Ps: Das gleiche Passwort im Forum wie für den Account finde ich auch nicht optimal, aber da bin ich mit einer Beurteilung vorsichtiger weil ich das System dahinter nicht kenne. Trotzdem gibt es damit eine Angriffsmöglichkeit mehr das Passwort zu bekommen. Per Default wäre das ja ok, aber es gibt keine Möglichkeit ein anderes zu verwenden.

Das ist ein Userforum, wo es hin und wieder auch mal Beteiligung von Mailbox.ofg gibt.

Solltest Du ein direktes Feedback zu einer Fragestellung seitens des Anbieters haben wollen, dann müsstest Du Dich über das Helpdesk direkt an den Support wenden.