Willkommen im User-Forum von mailbox.org
 

Trennung der Sicherheit verknüpfter Konten vom YubiKey

Stonie hat dies geteilt, 3 Jahren her
erledigt

Als YubiKey-Nutzer funktioniert bei mir die Integration anderer Dienste nicht.


Früher hatte ich z.B. Twitter eingerichtet und fand es klasse, aktuelle News im Portal von mailbox.org zu sehen. Auch die Anbindung von Cloud Services und anderen Mailkonten ist sinnvoll.


Seitdem ich den YubiKey nutze, klappt das nicht mehr. Ich kann alles einrichten und solange ich angemeldet bin, läuft es prima. Wenn ich mich jedoch aus- und einlogge, sind alle Verknüpfungen und Einbindungen "broken". Nach meinem Verständnis ist das bekannt und gewollt, da die Credentials der Dienste mit dem mailbox.org Passwort verschlüsselt werden und so auch mailbox.org gar nicht im Klartext vorliegen. Wenn ich den YubiKey verwende, ist mein Passwort während der Sitzung jedoch PPPPYYYYY... (PPPP=PIN, YYYYY...=YubiKey-Ausgabe) und da sich die YubiKey-Ausgabe bei jedem Login ändert, können die Credentials der letzten Sitzung mit dem nun anderen Passwort natürlich nicht mehr entschlüsselt werden. Damit geht mir ein wesentlicher Teil der Funktionen von mailbox.org verloren.


Ich würde mir eine andere Lösung wünschen, z.B. die Verschlüsselung mit dem "statischen" IMAP-Passwort oder lediglich der PIN und den ersten statischen Stellen der YubiKey-Ausgabe, von mir aus auch eine optional unverschlüsselte Ablage (Hey, Ihr habt ggf. meinen privaten Schlüssel und wer Eure Plattform übernimmt, dem bin ich eh ausgeliefert, also habe ich mit dem Passwort für die Ablage meiner Fotos vom Kindergeburtstag nicht wirklich ein Problem ...).

Kommentare (14)

Foto
3

Du hast in Deiner Analyse völlig recht: Das Problem ist, daß die Zugangsdaten mit dem Userpasswort verschlüsselt werden. Dieses "ändert" sich jedoch ständig bei OTP-Logins und darum verliert unsere Office-Software Open-Xchange diese Daten. Ein OTP ist da damals seitens der Open-XChange-Programmierer nicht vorgesehen gewesen.


Wir haben da als Workaround ebenso wie Du nur die Idee, daß bei OTP-Usern diese Zugangsdaten dann eben nicht, bzw. anders verschlüsselt gespeichert werden. Dieses muß dann zwangsläufig in einer Art und Weise gesehen, daß wir als mailbox.org-Administratoren diese ggf. auch decodieren könnten. Wir sind an der Idee dran, hatten aber in der Vergangenheit andere Prioritäten. Ich nehme Deine Anfrage als Anlaß dies mal wieder an Open-Xchange als Softwarehersteller weiterzugeben.


Um den automatischen Mailabruf zu steuern werden wir in den nächsten Tagen ein anderes POP3/IMAP-Abruf-Modul präsentieren, das dieses Problem löst und auch ohne Weblogin seinen Dienst tut.

Foto
2

Herzlichen Dank für die Rückmeldung. Das lässt hoffen. Insbesondere wenn die angebundenen Mailkonten noch anders gelöst werden, habe ich nicht einmal etwas gegen eine nur bei Euch erfolgende Sicherung ohne jede PIN etc. von mir. Abgesehen davon, dass ich für entsprechende Dienste nicht wirklich interessant sein dürfte, muss ich gerade bei der Vorstellung schmunzeln, dass irgendein Geheimdienstler/Offizieller entsetzt dasteht und sagt "Oh nein, wir kommen nicht an Dropbox und Twitter ran, weil mailbox.org aus Berlin die Credentials nicht entschlüsseln kann ...".


Und was den normalen Cyberkriminellen angeht ... da muss ich darauf vertrauen, dass Ihr das gut macht.

Foto
1

Gibt es hierzu


"Um den automatischen Mailabruf zu steuern werden wir in den nächsten

Tagen ein anderes POP3/IMAP-Abruf-Modul präsentieren, das dieses Problem

löst und auch ohne Weblogin seinen Dienst tut."


schon was neues?


Bleiben die eingebundenen Accounts inzwischen auch mit OTP und YubiKey erreichbar?

Foto
2

Das Problem habe ich seit dem 10.06.2015 gemeldet und ist auch bekannt. Man schliesst sich damit aus allen anderen Services raus, Securechat, Tor, Twitter, XING, ... und man kann es nicht zurück drehen, also auf den Key verzichten und die anderen Services nutzen.

Foto
1

Ähm ... nicht böse gemeint, aber wieso kann man nicht zurückdrehen? Ich kann meinen Yubikey problemlos deaktivieren und dann auch wieder die Dienste nutzen.

Foto
1

Danke für den Hinweis, das ging mal nicht. Ich habe jetzt das weblogin mit Yubikey abgeschaltet.

Foto
2

Gibt es hierzu etwas Neues?

Foto
1

Ja wir haben einige neue Features. Z.B. POP3 Abruf anderer Accounts samt Einsortierung in die IMAP Ordnerstruktur Ihres Mailbox.org Postfachs und vielem mehr.

https://mailbox.org/otp-2-faktor-auth-pgp-keyserver-mailvelope-mail-backup/

Dieser Abruf klappt auch aus Mailbox.org Accounts heraus, die einen Yubikey nutzen.

Foto
1

Hallo,

das mit den neuen Features ist echt toll. Auch, dass mit dem neuen POP3-Abruf jetzt wohl auch extern bei mailbox eingebundene Konten per OTP abgerufen werden können.


ABER: Warum geht das nicht per IMAP? Ich habe auf den externen Konten diverse Unterordner laufen, die ich gerne direkt synchronisieren würde.


Den Abruf über den Mailclient bei mailbox brauche ich nur, wenn ich unterwegs bin. Ansonsten möchte ich meine Konten einzeln via Thunderbird bedienen.


Kann man das so machen, dass das ganze nicht nur mit POP3, sondern auch mit IMAP geht?

Foto
1

Das stelle ich mir ziemlich umständlich vor. Neue Post abholen ist eine Sache, aber ein anderes Postfach synchronisieren mit Unterordnern (womöglich noch bidirektional)? Für so einen Missbrauch als Frontend ist nach meinem Empfinden ein Mailprovider bzw. dessen Web-Oberfläche nicht gedacht. Lasse mich aber gerne korrigieren.

Foto
Foto
2

Sorry, ohne das böse zu meinen, ERLEDIGT ist meine Anfrage damit nicht. Das "Problem" besteht für Dropbox, XING und Co. unverändert fort.

Foto
2

Das sollte doch (bis auf den ersten Abruf...) egal sein, da IMAP doch nur die neuen Mails holt.

So, wie das jetzt ist, bringt mir das so gut wie gar nichts, denn dazu müsste ich meine anderen Postfächer (teilweise Projekte mit einer eigenen URL) alle auf das ziemlich "dumme" POP "umstellen", und würde dort also überall die Übersicht in den Postfächern verlieren, weil sich POP und Unterordner auf den Tod nicht lleiden können...


POP ist ein Protokoll aus der Mail-Steinzeit und gehört begraben!

Foto
Foto
2

Mich würde auch interessieren ob eine Lösung schon in Sicht ist ?

Foto
3

Wir haben heute Abend einen Config-Change released. Ab sorgen OTP-Logins nicht mehr dafür, daß externe Passwörter ungültig werden. Ggf. muß beim nächsten Login noch einmal das Passwort neu gesetzt werden -- aber danach ist es im neuen Modus gespeichert.