Wann ist es möglich, nicht bei mailbox.org gekaufte Yubikeys bei mailbox.org zu nutzen?

U2F haben wir auf der Roadmap, wir arbeiten bereits daran.

Danke!

Interessiert mich auch.

Siehe hier: https://userforum.mailbox.org/topic/unterst%C3%BCtzung-von-u2f-universal-second-factor-ger%C3%A4ten

Dieser Beitrag geht leider an der Realität und dem tatsächlichen Aufwand total vorbei. Ich nehme das gerne als Kundenwunsch auf, aber ich bitte darum, die Empörung ob der unfähigen Systemadministration mal etwas tiefer aufzuhängen.

Es ist überhaupt kein Hack, keine Sekundensache oder sonstwas. Das kann man gerne so denken und behaupten, wenn man nicht den Hauch einer Ahnung hat, wie und mit welchem Aufwand hier die Systeme angebunden und abgesichert sind.

Also Frage Nr. 1 würde beispielsweise im Raum stehen, wie man mit einem ONE TimePasswort dann sowohl den Login im Webinterface, als auch das LDAP-Auth-Bind am LDAP-Server macht, da wir aus Sicherheitsgründen mit crendials des Nutzers binden und über die dortigen ACLs dann Zugriffsrechte klären und vor allem sehr nachhaltig CSS verhindern. Von weiteren nachgelagerten Systemen, mal abgesehen.

Es gibt Konzepte dafür und wir beweisen ja auch, daß wir sowas können und hinkriegen.

Aber "mal eben klitzekleine Änderung" ist von A bis Z nicht zutreffend.

Wir arbeiten derzeit auch daran, unser komplettes Auth-Session-Management auf andere Beine zu stellen. Daran planen/arbeiten wir seit gut 6 Monaten und erst letzte Woche haben wir einen 5-tägigen LDAP-Workshop mit Admins und Developern durchgeführt, dessen Konsequenzen wir nun beginnen umzusetzen.

Danke für die Antwort dass daran gearbeitet wird. Diesen Hinweis hätte ich gerne zu meiner Anfrage gesehen, die ich vor über 1 Jahr stellte:

https://userforum.mailbox.org/topic/zwei-faktor-authentifizierung-f%C3%BCr-business-accounts

Dass ich aufgrund der langen Wartezeit ohne Rückmeldung etwas frustriert bin^Wwar (daher auch mein 2. Satz), haben Sie ganz richtig erkannt. Aber ich habe nicht nach 2FA-Schutz von "Business-Zugängen via login.mailbox.org" gefragt. Zwar hatte ich nicht an LDAP/SSO gedacht, aber irgendwie geahnt, dass es wohl einen guten Grund gibt, dass dies schwerer umzusetzen ist, sonst hätte Mailbox.org das sicher schon längst gemacht.

Jedoch dürfte diese Problematik den webseitigen Login via setup.mailbox.org nicht ebenso betreffen. Um diesen könnte man - ziemlich wahrscheinlich ohne (größere) Änderung am Webservice selbst - einen 2FA wrappen, und zwar fallweise, nur für bestimmte Logins, so dass man die Kunden wie mich, die das wünschen, ohne viel zusätzlichen Supportaufwand schon jetzt kurzfristig zufriedenstellen könnte.

Die Zeit dafür halte ich für mehr als überreif, denn ich bin da wohl nicht der einzige, der sich das schon länger wünscht.

Bei Networksolutions gibt es 2FA z. B. nur auf Anfrage, und dieser wird dann manuell vom Support für die jeweiligen Zugänge einzeln eingerichtet. Das ist vermutlich keine wirklich ideale Dauerlösung, aber es geht hier nicht um die 1-EUR-Massenkunden, sondern Kunden, denen Mailbox.org in der Regel 75 EUR oder mehr pro Monat wert ist! Da dürfte sich der einmalig etwas erhöhte temporäre Supportaufwand zur fallweisen manuellen Einrichtung von 2FA durchaus darstellen lassen, zumindest bis die allgemeine Lösung bereitsteht. Und wenn 2FA nur für den Login in setup.mailbox.org gilt, ok, damit kann ich leben. Evtl. nimmt das außerdem etwas Druck aus der Entwicklung der 2FA-Lösung auf Businessseite, wodurch die Sache noch besser reifen kann.

Das einzige, was man vor den Webservice setup.mailbox.org schalten müsste (sofern man den Service nicht mit ein paar Codezeilen im Backend ändern will), wäre wohl, wie ich schrieb, ein geeignet konstruierter Reverse-Proxy zzgl. einer unabhängigen 2FA-Anbindung davor zu hängen. Stichworte NginX auth_request und secure_link (ein Baustein-Teil siehe https://gist.github.com/hilbix/5921589 ).

Und bitte, verstehen Sie solche Hinweise nicht als Ehrkränkung. Es steht mir fern, jemanden zu kritisieren, weil er etwas nicht weiß oder eine andere - für ihn vielleicht besser - Lösung bevorzugt. Für einen Mathematiker ist es nicht wichtig, wieviele Lösungen es gibt, eine reicht, die auf jeden Fall passt. Und eine Lösung ist halt genau dann trivial, wenn sie sich aus den Angaben quasi von selbst ergibt. Das bedeutet aber genau nicht, dass die Lösung dabei von selbst vom Himmel fällt. Man muss sich schon mit der Materie recht intensiv und ziemlich tief befassen, dadurch wird es im im Rückblick aber wirklich total einfach und verständlich.

Wer NginX bisher nicht auf dem Schirm hat, und außerdem NginX nicht gut genug kennt um die Bausteine richtig zusammenzustecken, der wird eine Durchlauferhizer-Lösung (also per NginX Reverse-Proxy), die das Backend in Ruhe lässt, nicht ohne Weiteres finden! Trotzdem ist die Lösung letzten Endes recht trivial und geradeaus und ziemlich allgemein verwendbar, also unabhängig vom Backend. Aus diesem Grund weiß ich, dass sie existiert. (Sollte es eine ähnlich triviale Lösung für Apache geben, dann kenne ich sie nicht, was keine Kritik an mir darstellt, sondern lediglich bedeutet, dass ich mich mit Apache bisher nicht intensiv genug beschäftigt habe.)

Auch meine pauschale Einschätzung zum Login auf einer Webseite stimmt deshalb auf jeden Fall. Denn sobald man weiß, dass auf jeden Fall eine recht einfache Lösung existiert, um 2FA für einen Login nachzurüsten, gibt es im Jahr 2019 keinen Grund mehr, dies dann nicht sofort anzugehen - weil es sicherheitsrelevant ist -. Und ich denke nicht, dass ich damit falsch liege, den Verwaltungsaccount von Mailbox.org (also den Login bei setup.mailbox.org) als besonders sicherheitsrelevant zu verstehen.

Sorry, dass es wieder länger wurde, aber ich will klarstellen, dass es mir wichtig ist und dies kein Bashing sein sollte. Sofern Sie es dennoch als Kritik verstehen, dann hoffentlich als konstruktive Kritik und Ansporn. Tatsächlich sehe ich es eher als Chance für Mailbox.org, sich weiter zu profilieren .. und so schnell wie möglich einen 2FA für den Business-Verwaltungs-Login einzubauen, auch wenn es noch nicht die endgültige Lösung ist, besonders wenn diese dann doch evtl. länger braucht.

Wenn ihr ein Crash-Test-Dummy (also realen Nutzer) für 2FA im Businessbereich braucht, stehe ich ggf. zur Verfügung. Allerdings verwende ich mailbox.org derzeit wohl zu selten - mir fehlt da noch irgendwie der 2FA beim Verwaltungslogin .. (User-Accounts ohne 2FA sind für mich derzeit wirklich kein Problem!)

PS: Warum bin ich überhaupt hier? Ganz einfach: Ich habe heute jemandem mailbox.org empfohlen (weil ich ihm gerade, inkarniert als BOFH, den Mail-Forward für seine Domain auf meinem MTA abgeknipst habe und er einen Ersatz braucht, der sicher tut), und dafür mal wieder die Passworte rausgekramt, mich in die Verwaltung eingeloggt und bin halt wieder über den nicht-existenten 2FA gestolpert (was an meiner Empfehlung nichts ändert, hat sich ja nichts geändert, außer dass ich dachte, früher konnte man die Rechnungen irgendwie abrufen - but that's something completely different).

Ich fände es besser, wenn solche Dinge über den Helpdesk oder per direkter Mail an die Leute von Mailbox.org kommuniziert würden.

Ich bin immer wieder erstaunt, dass Leute, die selber keinen Mailservice wie hier kommerziell anbieten, immer alle wissen, wie man sowas zu machen hat. Wow.

Damals, als ich als Betreiber eines Usenet- und Mail-POPs noch fließend Sendmail und C-News sprach, ja, damals in den jungen Jahren (des Internets), da staunte ich noch, wie schnell Threads die technische Ebene verlassen und auf die persönliche Schiene abkippen, z. B. weil die Leute technisch gemein(t)e Aussagen irgendwie plötzlich persönlich nehmen. Doch damals, als das "Sie" noch die erste Beleidigungsform darstellte, ja, damals, da war das Internet zwar klein, aber noch ziemlich in Ordnung!

Dann kam das World-Wide-Web auf, wurde von Firmen gekapert, und der Rest ist graue Geschichte. Und seitdem geht es im Netz ordentlich abwärts, mit dem technischen Verständnis zumindest. Dem habe ich mich angepasst und wundere mich deshalb inzwischen nicht mehr darüber. Und auch nicht darüber, dass sich dieses Abgleiten von Threads seither immer weiter beschleunigt.

Bitte nicht falsch verstehen!

Ich stimme dem zweiten Satz des Vorposters natürlich zu, denn soweit hat er vollkommen Recht! (Dem Wow kann ich indes nicht zustimmen, das Thema ist dafür zu alltäglich.)

Und würde ich Mailbox.org nicht für gut halten (sprich, Mailbox.org handelt IMHO in guter Internet-Tradition), dann wäre ich hier kein Business-Kunde und würde sie niemandem empfehlen.

Trotzdem kann man natürlich immer etwas verbessern. Und das versuche ich endlich zu erreichen.

Wäre Mailbox.org es mir nicht wert oder hielte ich die Absicherung mit 2FA nicht derart für wichtig, würde ich hier etwa meine kostbare Zeit mit Rumposten (unter Realnamen) verschwenden?

Nein. Aber in Zeiten überbordender Political Correctness (die nachhaltig verhindert, dass unbequeme Wahrheiten offen ausgesprochen werden), ist es nun einmal förderlich, wenn man öffentlich den Finger auf eine Wunde legt und damit den rosa Elefanten aus dem Zimmer auf die Straße zerrt. Aus der Reaktion insgesamt entnehme ich jedenfalls, dass ich es geschafft habe, einen klitzekleinen Nerv zu treffen. Mission accomplished. (Sprich: Dem ersten Satz des Vorposters stimme ich deshalb NICHT zu, ich nerve ganz bewusst hier im Forum, damit 2FA endlich kommt).

In diesem Sinne: HTH

PS: Für 2019 ist dies mein letzter Post in diesem Thread.

{Abgang. Die Buh-Rufe aus dem Off weichen erleichtertem Jubel.}

Nochmal wow. Lies mal die anderen Threads durch. An anderer Stelle hatte Peer Heinlein ausführlich dargelegt, warum bestimmte Dinge hier genau so gemacht werden.

Zum einen, weil er seit 30 Jahren in diesen Dingen unterwegs ist, zum anderen, weil er für dutzende Angestellte und deren Familien verantwortlich ist, und, und...

Sich Dinge zu wünschen ist das Eine. Dinge so zu äußern, dass sie ein schlechtes Licht auf all das hier werfen, etwas Anderes

Schön das mit deiner Internetbiographie. Das ändert aber nichts an Aspekten von Unverschämtheit und Besserwisserei.

Such die anderen Threads und lies sie. Es besteht die Chance, dass du dann verstehst, wie viele Gründe es gibt, dass der andere Ansatz sehr wohl begründbar ist, und nicht zwingend deiner.

Aber das hast du mit dem rosa Elefanten ja eigentlich schon eingestanden. "Dann geh doch zur Telekom", lautet also die Auflösung deiner Reklame.