Willkommen im User-Forum von mailbox.org
 

Passwort statt PIN bei 2FA.

drdarkmode hat dies geteilt, 49 Tage her
vorgeschlagen

Hallo zusammen, ich hoffe das ich hierzu noch ein paar Leute finde die mir zustimmen so wie im Englischen User-Forum.


Ich hatte seit mehr als einem Jahr regelmäsig versucht darauf hinzuweißen das es wesentlich besser wäre wenn es zumindest die Möglichkeit gäbe statt einem 6 stelligen PIN sein auch die Option zu haben sein eigen ausgewähltes Passwort zu nutzen.


Das Argument das es gleich sicher ist weil 2FA an ist verstehe ich aber ich glaube so gut wie jeder von uns fühlt sich mit einem 6-unendlich langem Passwort Manager generierten Passwort wohler als mit 6 Zahlen :)


Ausserdem; es ist gang und gäbe derzeit es so zu machen, alles andere verwirrt die Leute und macht es meines Erachtens eigentlich somit wieder unsicherer...


Würde mich sehr sehr über Antworten und Diskussion hierzu freuen!


Grüsse und frohes Neues!

Kommentare (2)

Foto
1

Das Thema wurde bereits ausführlich diskutiert.

Foto
1

Wir wissen ja auch alle worum es geht. Nur waere es vielleicht mal an der Zeit es auch zu im­ple­men­tie­ren!

Foto
1

Passwort statt PIN bei 2FA? Ja und nein.

Die Idee ein anderes Passwort (aktuell Pin) als das Account-Passwort zu benutzen ist gut!

So sind die Accounteinstellungen und Evtl. aktiviertes Imap, Caldav weiterhin sicher wenn dir jemand auf die Finger schaut beim Login. Bei deaktivierten Imap und co wäre es vermutlich nicht ganz so wichtig.

Ich teile aber die Kritik der fixen 4 stellige Pin!

Die aktuelle Lösung 2fa nur mit 4 stelliger Pin anzubieten ist sehr unbefriedigend. Ich habe schon alles dazu gelesen und Teile die Ansicht von Mailbox.org zu diesem Thema nicht, dass es eine akzeptable Lösung ist. Ich finde es vor allem schade, wie die Bedenken alle weggewischt werden in den Diskussionen statt nach Verbesserung zu streben und das ganze selbstkritisch zu hinterfragen. Kein guter Umgang mit der Thematik.

Ich benutze Mailbox daher auch nicht mehr als primären Mail-Account, auch wenn ich es sehr wichtig finde, dass es auch die moralisch "guten" Firmen wie Mailbox.org gibt und ich ihnen alles gute wünsche und meine Account auch als "Supporter" dieses Idealismus behalte.

Abgesehen davon ist ein 4 stelliger Pin (Zahlen + Buchstaben) + generierter 6 stelliger Pin (nur Zahlen) im Vergleich zu einem langem Passwort eher schwach. Vor allem auch weil die Anzahl der Stellen und der Aufbau der Eingabe fix sind und jedem bekannt. Das dürfte die 2fa Passphrase noch weiter schwächen.

Allerdings sollte Brute-Force ist bei einem Web-Login ja in der Regel nicht möglich sein, da bei den meisten Systemen bei zu vielen Versuchen pro Sekunden technisch limitiert wird. Ich denke mal das ist hier nicht anders. Daher wird es vermutlich in der Praxis trotzdem ausreichen.

Ausreichend ist aber eben nicht gut und wenn ich mit wenig Aufwand (mehr stellen für die Pin) das theoretische Risiko um Faktoren senken kann, dann möchte ich das gerne tun!

Es geht am ende eben doch einfach nur um Wahrscheinlichkeiten und auch im Lotto gewinnen Personen. Für den Fall, dass der zweite Faktor in falsche Hände fällt und das möglicherweise sogar gar nicht bemerkt wird, wäre mir ein 4 stelliger Pin dann aber auch in der Praxis zu wenig.


  • Ich glaube der Use-Case von Mailbox.org ist hauptsächlich sich auf fremden Geräten sicher einloggen zu können.
  • Mein Use-Case ist die best mögliche Absicherung eines Accounts, auch für den Fall das mein zweiter Faktor in falsche Hände fällt. Und da gefällt mit die aktuelle 2fa gar nicht.


Ps: Das gleiche Passwort im Forum wie für den Account finde ich auch nicht optimal, aber da bin ich mit einer Beurteilung vorsichtiger weil ich das System dahinter nicht kenne. Trotzdem gibt es damit eine Angriffsmöglichkeit mehr das Passwort zu bekommen. Per Default wäre das ja ok, aber es gibt keine Möglichkeit ein anderes zu verwenden.

Foto
Foto
1

werden wir hierzu bald mal eine Antwort bekommen?

Foto
1

Das ist ein Userforum, wo es hin und wieder auch mal Beteiligung von Mailbox.ofg gibt.


Solltest Du ein direktes Feedback zu einer Fragestellung seitens des Anbieters haben wollen, dann müsstest Du Dich über das Helpdesk direkt an den Support wenden.

Foto