Willkommen im User-Forum von mailbox.org
 

Unterstützung von U2F (Universal Second Factor) Geräten

DeH hat dies geteilt, 2 Jahren her
vorgeschlagen

U2f biete einige Sicherheitsvorteile gegenüber anderen Second Factor Authentifizierungs Verfahren. Nachzulesen unter anderm auch bei Heinlein Support

https://www.heinlein-support.de/vortraege/u2f-fido-kampf-dem-passwort-die-authentifizierung-der-zukunft

oder bei Yubico:

https://www.yubico.com/about/background/fido/


Da Sicherheit immer nur so stark ist wie die schwächste Komponente, ist es wichtig überall die 2 Faktor Authentifizierung einzusetzen, wo man auf den Account zugreifen will. Yubikey mit OTP kann im Moment nicht an einem Android Tablett ohne NFC Chip benutzt werden. Für U2F gibt es mittlerweile ein Gerät (Digipass secureClick) das über Bluetooth genutzt werden kann.


2. Unterstützung von mehr als ein U2F Gerät pro Account


Damit könnte man auf die Rücksetzung des Accounts über Mobiltelefonnummer verzichten. Das ist vor allem dann wichtig wenn Mail am Smartphone benutzt wird. Wird das Smartphone gestohlen könnte über die Passwort-Reset Funktion 2F Authentifizierung ausgehebelt werden. Benötigt man ein neues Passwort könnte ein zweites Gerät als zusätzliche Legitimierung benutzt werden. Geht ein U2F Gerät verloren könnte mach sich mit dem zweiten U2F Gerät anmelden, und das verlorene deaktivieren.


3. Unterstützung von 2 Faktor Authentifizierung nicht nur für das Webfrontend

An einem Smartphone ist die Benutzung des Webfrontend etwas unhandlich, so das man um die Benutzung einer App und damit um IMAP und SMTP nicht herum kommt. Da IMAP und SMTP keine 2 Faktor Authentifizierung direkt zulassen geht das nur über Umwege.

Vorschlag:

Ein Option das man IMAP und SMTP nur nutzen kann nach dem man sich über Weboberfläche mit 2 Faktor Authentifizierung von dem gleichen Gerät (IP) angemeldet hat. Entweder solange der seesion Key für Oberfläche gültig ist oder für ein bestimmen Zeitraum z.B: für 30 Minuten.


4. Unterstützung von anwendungspezifische Passwörtern

Da der Vorschlag unter 3 das Prüfen nach neuen Mails etwas umständlich macht wäre es gut wenn man für das Prüfen nach neuen Mails ein anwendungspezifische Passwort setzen könnte das nur dazu benutzt werden kann. Anwendungspezifische Passwörter wurden schon öfter nachgefragt, unter anderm hier vor über einem Jahr


https://support.mailbox.org/topic/mehrere-passw%C3%B6rter-f%C3%BCr-unterschiedliche-ger%C3%A4te-app-passw%C3%B6rter-unterst%C3%BCtzen

Leider hat es die Anfrage es noch nicht in den Status „in Prüfung“ geschafft.

U2F Unterstützung wurde schon mal in einem anderem Zusammenhang vor ca. 9 Monaten Angefragt.

https://support.mailbox.org/topic/frage-zu-yubikey-standard-und-edge-zu-u2f-und-secure-element

Dort lautete die Antwort vom Support:

„Mittelfristig wird mailbox.org auch U2F als sichere Authentifizierung anbieten und die Unterstützung durch Browser wird sich verbessern.„

Würde mich freuen zu hören ob es schon konkretere Pläne für U2F gibt.

Dank und Gruß

Kommentare (29)

Foto
2

Vielen Dank an 9741163 für diesen Informativen Beitrag.


Von mir auch die Bitte an mailbox.org-Team U2F als 2-Faktor-Login zu unterstützen.

Foto
2

d'accord!


Ich würde es ebenfalls sehr begrüßen wenn u2f - zumindest für den Weblogin - unterstützt würde.

Foto
2

U2F steht definitiv auf unserer Roadmap und wir wollen es wirklich gern anbieten. Es gibt im Moment leider ein Kapazitätsproblem.

Foto
3

Danke für's Feedback.


Ein Hinweis noch: Wenn das mailbox.org-Team das langersehnte U2F implementiert, dann begeht bitte nicht den Fehler, den die aller meisten anderen Anbieter dieser Zugangsmöglichkeit machen:


Reset nur per Telefon (SMS).


Bitte implementiert beim Verlust des U2F-Sticks die Möglichkeit einen zweiten (Backup-) U2F-Stick hinterlegen zu können.


Viele Grüße

Foto
2

Gibt es eine Abschätzung bis wann das Feature in etwa erwartet werden kann?(Ließe sich das Kapazitätsproblem durch "Sponsoring" beheben?)

Foto
2

+1 für U2F. Gibt es News dazu von Mailbox.org Support?

Foto
2

Wäre immer noch an diesem Feature interessiert!

Foto
2

Wie schaut es mit der Umsetzung dieser Anfrage aus, geehrtes mailbox.org-Team?

Foto
2

+1 für u2f, vielleicht als Weihnachtsgeschenk?

Foto
3

Oh das wäre toll!!

Zumal Firefox Quantum jetzt auch u2f unterstützt ;)

Foto
1

Der U2F Support in Firefox 57.0 ist nicht komplett fertig. Das Feature ist noch nicht freigegeben und sollte in der Praxis auch (noch) nicht genutzt werden.


Bisher sollte man noch das U2F-Support Add-on verwenden.

Foto
4

Das ändert nichts am regen Interesse an diesem Feature ;)

Gibt es dazu eine Aussage von Mailbox.org Support?

Foto
Foto
2

2 Sticks wären auch nicht schlecht , für einen Zuhause und einem im Büro..

Foto
3

+1 für U2F

Foto
1

gibt es hierzu schon etwas neues??

Das Thema wird von den Verantwortlichen ja gnadenlos totgeschwiegen ...

Eine definitive Antwort wäre wünschenswert!

Foto
1

Das Thema wird von den Verantwortlichen ja gnadenlos totgeschwiegen ...


Empfinde ich als unhöflich, falsch und ist für mich und mein Team wirklich demotivierend. Wie Du sehen kannst, haben wir in diesem Thread zweimal geantwortet.

Foto
1

Das sehe ich genau so.

@5733108 es gibt noch andere in diesem Thread, die sich dieses Feature auch sehr wünschen würden. Trotzdem wissen wir dass man eben warten muss, bis die Entwickler es neben ihren anderen Tätigkeiten (Stabilität und Performance ist eben wichtiger als neue Funktionen) schaffen dieses Feature einzubauen und ordentlich zu testen, denn ich will nicht sehe was Nutzer erst sagen würden wenn es zu früh veröffentlicht werden würde und sich Leute reihenweise aus ihren Mails aussperren würden.

Ich bin mir sicher das Thema hat mit immerhin 23 Wunschmeldungen schon einiges an Gewicht und wird kommen.

Foto
1

Sorry, aber ich sehe das anders (und will sicher niemanden demotivieren):1x vor 8 Monaten "steht auf unserer Roadmap" und 1x eine belanglose Antwort über ein Browser - Add-on.

Nichts von Substanz darüber ob man mit dem Feature in absehbarer Zukunft rechnen kann, obwohl hier eindeutig Interesse besteht.

Auch auf die Frage ob das (vor 8 Monaten bestehende) Kapazitätsproblem durch Spenden/Sponsoring etc überwunden werden kann wird nicht eingegangen.


VG

Foto
1

@DD wenn es wenigstens eine Meldung der Art "wir hören euch, wir sind dabei, es wird noch dauern" gäbe hätte ich kein Problem. Aber nur eine substanzielle Rückmeldung vom Support in 8 Monaten finde ich einfach etwas schwach!

Foto
1

Ich kann hier ebenfalls kein totschweigen erkennen, habe ich im übrigen noch bei keinem Thema erlebt. Im Gegenteil, hier wird sich zu Themen in einem Detailgrad und einer Offenheit geäußert bei denen du bei der Konkurenz nur Textbaustein A38 bekommen würdest, wenn überhaupt.

Es hat sich halt in den letzten Monaten bei dem Thema (FIDO U2F) auch wenig getan. Der einzige Browser der U2F out-of-the box unterstützt ist Chrome. Das ganze 2FA Prozedere bei Mailbox.org (PIN+OTP hintereinander) lässt auch nicht vermuten, dass sich FIDO U2F super einfach integrieren ließe.

Manchmal sind keine neuen Antwort eben nicht totschweigen sondern einfach das: keine Antwort = keine Neuigkeiten.

Bevor nicht Firefox und Safari FIDO U2F nativ unterstützen wird sich hier überhaupt nichts tun. Für Firefox ist das glaube ich Ende dieses Jahres geplant.

Foto
1

Spekulieren kann ich auch viel... . Eine definitive Aussage des Supports wäre hier einfach hilfreich, zumal hier mehrfach danach gefragt wurde!

Foto
1

Firefox hat seit Version 57 U2F unterstützung, es ist allerdings erstmal noch deaktivert, lässt sich aber in der about:config aktivieren.

Firefox will das aber erst mit Version 59 oder 60 standardmäßig aktivieren und dann den FIDO 2 Standard unterstützen.

Foto
1

Die Implementierung von U2F in Firefox 57 ist noch unvollständig und nicht abgeschlossen. Deshalb ist das Feature standardmäßig deaktiviert und wenn man keine Ahnung davon hat, was noch fehlt, dann sollte man es deaktiviert lassen.

Wenn die U2F Implementierung abgeschlossen und für Endanwender einsetzbar ist, dann wird Mozilla das Feature standardmäßig aktivieren und die Option unter "about:config" wahrscheinlich wieder entfernen. Das macht Mozilla immer so bei neuen Features.

Also: aus meiner Sicht hat Firefox 57 noch kein funktionierendes U2F dem man als Endwanwender vertrauen könnte.

Foto
2

Ja, da hast du natürlich Recht, das würde ich auch so sehen. Vielleicht hätte ich meinen Beitrag selbst nochmal lesen sollen, ich wollte damit keine Empfehlung geben, dass das jetzt jeder aktivieren sollte.


Aber es kommt und wird voraussichtlich noch dieses Jahr zur Verfügung stehen. Weiter oben schrieb jemand dass sich hier nichts tun würde, bevor Firefox das nicht unterstützt – dieser Meinung möchte ich vehement widersprechen. Nicht nur, weil die Unterstützung im Firefox jetzt absehbar ist und die Entwickler sich darauf jetzt schon vorbereiten könnten, sondern vor allem weil Chrome U2F schon seit Jahren unterstützt!

Schaut man sich die aktuellen Browserstatistiken an, dann liegen Firefox und Chrome in Deutschland ungefähr gleich auf bei ~30% (Mit leichten Unterschieden je nach Quelle). Das sind 30% Nutzer, denen man U2F jetzt schon anbieten könnte.


Auch wenn die ursprüngliche Nachfrage sehr konfrontierend war, und ich mich der Unterstellung nicht anschließen möchte … auch ich würde mich sehr über ein kleines Update freuen. Vor 8 Monaten hieß es das sei auf der Roadmap. Dann gab es eine weitere Stellungnahme, dass Firefox 57 das ja noch nicht vollständig unterstützt … aber was ist nun der aktuelle Status? Immer noch auf der Roadmap? Oder lässt sich vielleicht schon absehen ob oder wann das vielleicht angeboten werden kann?

Foto
1

Sehr geehrter Heinlein Support,


es währe ihren (zahlenden!) Kunden gegenüber durchaus entgegenkommend wenn es dazu ein offizielles Statement geben würde. Der Wunsch danach wurde ja mehrmals eindeutig formuliert.


Besten Dank!

Foto
3

So langsam werden die Rahmenbedingungen im Internet für U2F so, dass man über eine Implementierung nachdenken muss.

Wenn ich das richtig verstanden habe, warten alle auf den neuen W3C Standard Web Authentication (WebAuthn) alias FIDO2 anstatt auf das "alte" U2F alias FIDO1 zu setzen, mit dem bisher z.B. Google mit Chrome U2F gemacht haben. Mit WebAuthn funktionieren die U2F Sticks auch, aber halt über eine andere API als früher.


Seit gestern ist Firefox 60 ESR fertig. Das enthält standardmäßig aktiviert WebAuthn. U2F direkt kann man zwar in den erweiterten Einstellungen aktivieren aber das soll mittelfristig raus fliegen und wird deshalb nie standardmäßig aktiviert werden.

Und am 29.05.2018 soll Chrome 67 stable werden mit dem ebenfalls WebAuthn kommt. U2F kann Chrome ja schon lange.

Microsofts Edge soll auch WebAuthn bekommen (Zeitplan mir unbekannt) und Apple ist immerhin bei der Standardisierung von FIDO2 dabei gewesen. Auch wenn ich von denen wirklich gar nichts zu dem Thema finden konnte.

Also wäre jetzt die Frage ob und wann Mailbox.org genügend Manpower mobilisieren kann und will um ihr Login Backend umzuschreiben..

Foto
3

WebAuthn ist inzwischen offiziell (https://www.w3.org/TR/webauthn/) und wird von allen verbreiteten Webbrowsern nativ unterstützt. Wäre toll, wenn man es bei mailbox.org nutzen könnte.

Foto
Foto
2

Vor zweieinhalb Jahren hatte ich diesen Vorschlag gemacht, bedauerlicherweise wurde U2F nicht umgesetzt.

Mittlerweile gibt es mit Webauth/FIDO2 ein Nachfolger der alle Vorteile von U2F beinhaltet und darüber hinaus einiges mehr bietet. Eine Realisierung von U2F mach jetzt keine Sinn mehr.

Somit unterstütze ich jetzt den Vorschlag "Webauth Support"

https://userforum.mailbox.org/topic/webauthn-support

Foto
1

Ich denke nicht, das das in absehbarer Zeit Kommt

Foto