Willkommen im User-Forum von mailbox.org
 

Warum ist die Zwei-Faktor-Authentifizierung so unglaublich umständlich und verwirrend aufgebaut?

Denis Brodbeck hat dies geteilt, 20 Monaten her
unbeantwortet

Ernsthaft, wer hat sich da überhaupt was gedacht? Wie kann man etwas derart einfaches, wie 2FA mit einer TOTP App, derart verhunzen?


Wie um Himmels willen soll das ein Laie hinbekommen? Meine Eltern? Die Eltern des Heinlein Supports?


Hat Heinlein Support etwa noch nie 2FA bei einem der "großen" Hersteller wie Outlook365, AWS, LastPass oder sonst irgendeinem Dienst eingerichtet? Bitte dort genau hinschauen. Die machen das richtig. So dass es technisch nicht versierte Nutzer hinkriegen.


Warum ist es unmöglich, die 2FA zu aktivieren, ohne den Wiki-Artikel zu lesen?

Hey, ich bin Entwickler, Poweruser, habe dutzende 2FAs in meinem GoogleAuthenticator, besitze einen YubiKey fürs Geschäft und noch nie stand ich bei einem Dienst vor der Frage: "Ja, nuuuun, was um Himmels willen muss ich jetzt machen?"


Warum ist der zugehörige Wiki-Artikel so schlecht und unvollständig? (Siehe Anzahl negative Likes)


Warum ist nur eine Sitzung möglich?


Warum muss ich mir zwingend einen PIN ausdenken?

Ich habe ein Passwort, das über 25 Zeichen hat und in einem Passwortmanager gesichert ist.


Warum muss ich diesen PIN in Kombination mit einem Token auf der Webseite eingeben?

Himmel, gehts noch? Schon mal was von 1password, lastpass, etc. gehört? Das Passwort für euren Dienst interessiert mich nicht, das wird automatisch generiert ist in diesem Jahrhundert nicht zu erraten.


Hier der normale Weg zum mitschreiben (machen Google, AWS, Azure, Github, Outlook365 so, aber die haben ja von Sicherheit keine Ahnung *Sarkasmus*):

* User besucht eure Webseite

* User gibt Nutzername und Passwort ein

* Webseite zeigt Dialog zur Abfrage des Token an

* User startet 2FA-App seiner Wahl auf Smartphone und tippt die Nummer ein

* User ist eingeloggt


Warum kann 2FA nur auf der Webseite genutzt werden? Wieso nicht auch bei Smartphone-Apps, Thunderbird, etc.? Okay, das ist klar — gibt ja keine Möglichkeit, ohne Kontrolle über die UI den zweiten Faktor abzufragen. ABER dafür wurden schon vor Jahren Anwendungsspezifische Passwörter erfunden! Schaut bei euren Kollegen von GMail nach, wie einfach und verständlich das geht. Warum gibt es dieses simple Konstrukt hier nicht?


Wie soll ich euren Dienst meinem Vater empfehlen? Der nutzt seit 10 Jahren Thunderbird und mit diesen Smartphones hat er sich auch schon angefreundet. Tolle Sache, all das. Außer wenn mal wieder ein Trojaner seine Zugangsdaten aus Thunderbird ausliest und wie wild Spam verbreitet.

Früher hieß das: "So ein Mist, Windows von Malware befreien/neu installieren,neues Passwort erstellen, das neue Passwort auf all seinen Geräten hinterlegen"

Heute sollte es sein: "Hm, das Passwort für den Windows-Rechner ist kompromittiert. Windows bereinigen, online ein neues Anwendungspasswort für sein Thunderbird erstellen, fertig. Seine anderen Geräte muss ich gar nix tun"


Was setzt mailbox.org um? Ich habe an dieser Stelle keine Ahnung, da fehlt mir der Nerv dazu, das auch noch rauszufinden. Scheint ein wilder Voodoo-Mix aus "PIN, 2FA, kein 2FA, kein Passwort, doch ein Passwort" zu sein.


Warum bekommt man so einen nutzlose Diensttexte, wenn man euren QRCode scannt? Bei normalen Anbietern taucht der gekoppelte Dienst dann unter seinem Namen (z.b. Amazon Web Services) sowie seinem Account (z.b. help@mailbox.org) in der 2FA-App auf.

Hier bekomme ich einen nichtssagenden Namen "LinOTP" und als Account "LSG0202....". Gratuliere, ihr seid der erste Dienst, bei dem ich händisch die gescannten Daten umbennen muss, den ich kann wirklich "LinOTP" nicht mit "mailbox.org" in Verbindung bringen.


Hat bei der Verwaltung der erstellten Tokens eurer Webdesigner einen Schlaganfall gehabt, oder durfte das der Werksstudent machen? Das löschen von Tokens ist ja so verwirrend, das man da einen Schreikrampf bekommt.


Sreenshot Website


0eb00849dfdf65184f9f75771574ee6a


Wenn Gmail, Office365 oder sonstige Firmen derart umständlich bei 2FA wären, hätten die in Kürze keine Kunden mehr — oder riesige Sicherheitsprobleme, weil die Kunden überfordert wären, 2FA einzurichten.


Gott, warum habe ich zuerst 12€ gezahlt und erst dann 2FA aktiviert? So ein Murks. Werde wohl Posteo ausprobieren müssen. Die werden das doch hoffentlich nicht auch so verhunzt haben.

Kommentare (20)

Foto
1

Well Done! Kann ich nur so unterschreiben!

Foto
2

Deine Kritik am Einstellungs-Interface kannn ich so unterschreiben. ABER:

Ich finde das Einloggen mit PIN+OTP genial gelöst und würde hier dran überhaupt nichts verändern!

Ich nutze ebenfalls Lastpass als Passwortmanager und habe bei allen Diensten starke Passwörter, diese kann ich mir leider aber nicht merken. Eine 4-stellige PIN schon.

Wenn ich mich jetzt unterwegs in meinen mailbox.org Account einloggen möchte, brauche ich nur die 4stellige PIN zu behalten und kann mich sicher einloggen. Da die 4stellige PIN ohne OTP absolut nutzlos ist, brauche ich mir auch keine Sorgen um Keylogger machen. Ich muss der Maschine also nicht vertrauen.

Wenn es jetzt so wie von dir vorgeschlagen abläuft und ich mich mit meinem PW und dem OTP einlogge, dann kann ein Keylogger das mitgeschnittene PW nutzen um sich per IMAP mit meinem Account zu verbinden. Also eine wirkliche Schlechterstellung gegenüber dem aktuellem System.

Klar kann man jetzt sagen, dann deaktiviert man halt das zentrale PW für IMAP und lässt nur noch App-Sperzifische PW zu, dass muss man dann aber auch tun! Insgesamt würde dadurch die Usability und die "Oma/Eltern-Nutzbarkeit" aber sicherlich auch nicht erhöht werden.

Das PW für den 2.Faktor muss egal auf welche Login Art (Web/IMAP) ohne ein zugehöriges OTP nutzlos sein, sonst habe ich den Vorteil von OTPs gleich wieder verloren. Zusätzlich sollte (zumindest für mich) dieses PW leicht zu merken sein, so dass ich auch von Unterwegs ohne Passwortmanager an meine Emails komme.

Foto
1

Aaah, jetzt erst begreife ich den Nutzen der PIN+OTP Variante.


Im wiki steht dazu exakt ein Satz drin.


  1. Wenn Sie sich im Webinterface mit Ihrer PIN (1. Faktor: Wissen) und OTP-Token (2. Faktor: Besitz) authentifizieren wollen, dann müssen Sie im Passwortfeld als erstes die 4-stellige PIN und dahinter ohne Leerzeichen das One-Time-Passwort von Ihrem OTP-Generator eingeben.

Kein einziges Warum/Vorteile/Nachteile/Alternativen oder sonstige Gründe für das Abweichen vom Standard, den alle anderen Anbietern folgen.


Ja, dein beschriebener Use Case ist echt clever. Sollte genau so im Wiki-Artikel stehen. Da steht aber nur der eine Satz drin… der Rest besteht aus einer langen Auflistung, was alles nicht mehr funktioniert, wenn man 2FA aktiviert :/


Selbst nutzen würde ich das aber wahrscheinlich nicht. Von Systemen in Feindeshand (aka Verwandte, Kunden, InternetCafe etc) logge ich mich eh nie auf gmail&co ein. Und unterwegs habe ich praktisch immer mein Smartphone dabei :)


Gefühlt ist das ganze 2FA-Thema bei mailbox.org arg unrund und sieht wie an allen Ecken dran gebastelt aus. Wenn ich mir den Aufbau bei z.B. fastmail.com anschaue, dann sehe ich das:


8d0a91cb35733f1b717ba97c06f410b5


Klar, übersichtlich und aussagekräftig.

Man hat etwas weniger Auswahl, aber weniger Auswahl reduziert auch die Fehlerquellen.

Dort ist TOTP per App Standard, wer mehr braucht, benutzt einen YubiKey (ist bei Google, MS, AWS, github genauso).

App-Kennwörter sind extrem übersichtlich und einfach zu erstellen. Sämtliche Dokumentation zu "Wie richte ich das auf Windows Mail / Apple Mail / Android", zeigt immer klar erläutert auf App-Kennwörter. Auf keinen Fall führt eine Aktivierung von 2FA zu eingeschränkter Funktionalität!


Danke nochmal für die Erläuterung des PIN+OTP Modus, erst nach deinem Kommentar hats klack gemacht. Ich bin nur nicht sicher, ob der kleine Mehrwert den deutlich höheren mentalen Aufwand des Umlernens rechtfertigt. Es ist schon schwer genug, alle Nutzer für Sicherheit zu sensibilisieren. Dann haben die das mal verstanden, nutzen Passwortmanager und 2FA Apps, und dann kommt ein Dienst wie mailbox daher, der einfach quer schießt und noch nicht mal erklärt, warum er das tut. Von der grauenhaften Usability der Konfigurationsseite ganz zu schweigen.

Foto
2

Freut mich, dass du jetzt besser informiert bist :)


Der OTP Bereich bei mailbox.org ist ein gutes Beispiel dafür, dass hier halt in erster Linie teschnische Experten in der Entwicklung sitzen und erst in zweiter (oder dritter) UI Design Experten. Technisch finde ich zwei Faktor Authentifizierung bei mailbox.org am besten Umgesetetzt von allen Email Anbietern, bei denen Ich bisher war! Viele machen halt den oben angesprochenen Fehler als Passwort das gleiche PW zu verlangen, welches auch IMAP Zugang (dann ohne 2FA) bietet.


Die Einschränkungen von 2FA bei mailbox.org kommen einfach daher, dass im Backend wohl viele Daten mit deinem PW verschlüsselt sind. Das ist dann bei einloggen mit PIN&OTP natürlich ein Problem. Spricht meiner Einschätzung nach aber eher für mailbox.org, weil es einfach die durchgehende Verschlüsselung bestätigt. Man kann halt nicht alles haben!

Wenn ein Anbieter einfach nur in seine Anmeldemaske ein Feld fürs OTP knallt, ohne sich Gedanken über die Angriffszenarien zu machen oder in der Folge alle Daten unverschlüsselt abspeichert, dann ist das für mich eher eine Schwäche als ein Vorteil.


Die Usability kann man auf jeden Fall anpassen, man sollte dabei aber nicht die Funktion beschneiden. In deinem Fall klingt es so, als ob du von 2FA nicht wirklich profitierst. 2FA ist in erster Linie ein Schutzt gegen Keylogger/Man in the Middle/Phishing Angriffe. Wenn du dich eh nur von Zuhause einloggst und einen Passwortmanager mit starkem Passwort benutzt bist du davor schon so sehr gut abgesichert.

Foto
Foto
2

Zu dem Stichwort Posteo ausprobieren:

Dazu gibt es eine Kritik im Privacy-Handbuch.

https://www.privacy-handbuch.de/diskussion.htm

Foto
1

Cooler Link, danke dafür.


Für mich läuft es auf folgendes raus:

Wenn klassisches 2FA aktiv ist (Passwort + OTP), und es gibt Auth-Kanäle, die kein 2FA unterstützen (klassischer IMAP/SMTP-Stack), dann darf für diese Kanäle das normale Passwort nicht mehr erlaubt sein. Ergo ist eine konsequente Nutzung von anwendungsspezifischen Passwörtern angebracht (so macht es Google).


Eine vollständige Deaktivierung des Zugriffs auf IMAP/SMTP ist sicherlich möglich, wenn auch (mobil) sehr umständlich. Die einen lösen das dann mit einem eigenen Protokoll (z.B. Google, ProtonMail --> extra App notwendig), die anderen mit individuellen App-Kennwörtern, die immerhin den Schaden auf ein Gerät beschränken. Dumm nur, dass eben diese eine Kompromitierung langt, um direkten Zugriff auf alle Mails und Kontakte zu bekommen. Eine Zwickmühle, die mit dem altbekannten IMAP/SMTP wahrscheinlich schwer zu lösen ist :/

Foto
1

Ich finde das Vorhehen der Kollegen von Posteo hier schlichtweg skandalös und unverantwortbar. Wenn Nutzer gar nicht darüber aufgeklärt werden, daß sie hier Ihr Passwort exponieren, ja, wenn gerade im Vertrauen auf das 2F-Auth hier ggf. sogar geradezu ein sorgloser Umgang stattfindet, dann werden die eigenen Nutzer grob fahrlässig bis vorsätzlich gefährdet. Das kann und darf ein solcher Anbieter nicht machen.

Aber wir kennen das auch aus anderen Bereichen. Posteo hat unseren erzwungenen SSL-Versand versucht zu kopieren, also, was wir mit unseren @secure.mailbox.org-Adressen erreicht haben.

Was Posteo den Nutzern aber konsequent verschweigt: Posteo kann nirgendwo den EMPFANG der Mails per SSL sicherstellen. Und was nützt der erzwungene Versand einer Mail per SSL wenn die Antwort (mit zitierter Orginalmail?) wenige Minuten später ggf. im Klartext zurückgesandt wird?

Auch an weiteren Stellen zeigt sich der Geist, der dahinter steht. Zu Zeiten, wo SSLv3 schon lange als "darf man nicht mehr einsetzen" gebrochen war, hat Posteo noch SSLv3 angeboten, eine ganze Zeitlang sogar inklusive Heartbleed und anderen Downgrade-Bugs, obwohl diese schon wochenlang die Welt in Aufruhr versetzt haben. Sie gaukeln ein tolles SSL vor, das in Wirklichkeit nur als unsicher und gebrochen gebrandmarkt werden muß.

Usern wird hier immer wieder ein Feature und eine Sicherheit vorgegaukelt, die so ganz offensichtlich und keinesfalls gegeben ist. Und die größte Gefährdung ist stets die Nachlässigkeit aufgrund gefühlter (falscher) Sicherheit.

Das ist doch überhaupt nicht akzeptabel. Das kann man doch so auf gar keinen Fall machen! Posteo gefährdet bewußt seine Nutzer und führt sie in die Irre.

Foto
1

Interessanter Kommentar. Viel Klartext und nicht nur schöne heile Welt.


Keine Frage, 2FA muss durchgehend sauber in der Umgebung integriert sein. Wird hier geschlampt, schwächt das die ganze Sicherheitskette. Wenn User dank 2FA implizit von einem höheren Schutzniveau ausgehen, als tatsächlich geboten wird, kann das fatale Folgen haben.

Foto
Foto
1

Sicherheit und Technik kann ich nicht so beurteilen, ich finde aber das die 2FA irgendwie lieblos gestaltet ist.

Foto
2

Das ist soweit richtig, da stimme ich zu. Wir blenden an dieser Stelle die Verwaltungssoftware des OTP-Servers ein. Das sind keine Webseiten von uns. Im möglichen Rahmen haben wir die bereits minimalisiert und aufgeräumt, aber so "ganz grundsätzlich" andere Webseiten sind da nicht oder nicht einfach möglich.


Uns ging es damals auch durchaus darum, dass überhaupt erstmal an den Start zu bringen und für ein tiefergehendes umprogrammieren in der OTP-Software war keine Zeit.


Aber ich nehme das gerne mit auf und wir werden das bei Gelegenheit erneut anschauen, wie wir das grundsätzlich anders gestalten können. Durch die Einführung von U2F kann sich das da eh auch alles nochmal auf eine andere Software ändern.

Foto
1

Wenn die Implementierung schon so aufwändig war, ist gute Dokumentation unverzichtbar.


Ich kann damit Leben, extra Hürden beim Einrichten zu überwinden, aber dann muss mich die Dokumentation auch klar anleiten, was ich zu tun habe.

Vor allem, wenn es stark vom Standard anderer großer (Cloud-)Anbieter abweicht.


Ich hätte erwartet:

  • Wie funktioniert es?
  • Wodurch unterscheidet es sich von ähnlichen Systemen?
  • Was muss ich machen? Auf meinem iphone? Auf meinem android?
  • Wie kann ich prüfen, ob das funktioniert?
  • Wie bediene ich diese (englische) Oberfläche? Ich kann Englisch, aber genügend andere nicht.


In meiner Firma beziehen wir für Usability-Tests gerne mal die nichttechnischen Mitarbeiter ein. Wenn die ein Feature nicht zum laufen bekommen (mit oder ohne Doku), dann ist das ein ernster Hinweis, dass dieses Feature von Kunden auch nicht verstanden wird. Und welche Firma möchte schon unnötigen Support-Aufwand verursachen?.

Foto
Foto
1

ich glaube, solange 2FA von OpenXchange nicht gewollt ist, wird es Mailbox.org sehr schwer haben.


Man sieht ja jetzt schon das 2FA nicht durchgängig funktioniert und wenn nur mit Einschränkung der Funktionen. siehe externe Accounts.


Anbieter wie fastmail.com haben es da wohl leichter.

Foto
2

2F ist von OX gewollt und OX arbeitet an einem Authentication-Service. U.a. in enger Zusammenarbeit und aufgrund der Erfahrung mit uns.

Die Aussage, daß das von OX nicht gewollt ist, hat keine Substanz und ist nicht richtig.

Für die Behandlung von externen Accounts haben wir einen Lösungsansatz, den wir allerdings ausprobieren müssen. Das ist etwas heikel und dafür war die letzten 2 Monate keine Ruhe, da wir dafür ein größeres Testsetup aufbauen müssen, weil wir nicht riskieren wollen, diese Daten bei einer Umstellung zu verlieren. Aber ich bin frohen Mutes dass das funktionieren könnte und dass das Problem dann schnell gelöst sein könnte.


(Externe Zugangsdaten wurden von OX immer mit dem Userpasswort verschlüsselt. Insofern ja eine sehr tolle Sicherheit. Nur bei OTP eben "zuviel und zu gut".

Wenn fastmail sich das "leichter" macht dann ggf. dadurch, daß auf diesen Schutz eben verzichtet wird. Wir haben jetzt aber eine Idee für einen Weg wie wir die Zugangsdaten zwar verschlüsseln können, dafür aber nicht auf das (bei OTP sich ständig wechselnde) Userpasswort zurückgreifen müssen.)

Foto
1

Kann man denn schon ca. absehen, wann es soweit ist ?

Foto
1

2FA wird laut einer Präsentation (PDF) von Open-Xchange 7.10 unterstützt werden.

Foto
Foto
1

Leider hat sich hier auch nach einem Jahr noch nichts geändert, oder? Schade. Habe leider eben auch schon guthaben aufgeladen, ohne diesen absolut unrunden 2FA vorher zu merken.

Foto
1

da is nix unrund, man muss es nur verstehen

Foto
1

Doch, leider ja. Mit der "Anleitung" (ich würde es nicht so nennen) hat man keine Chance dieses 2FA wirklich gut und schnell schonmal gar nicht zu verstehen. Dass es anders als von Google, Dropbox,.. gewohnt funktioniert und diese "Anleitung" wird dazu führen, dass die Leute es nicht aktivieren. Zudem kommt nach Aktivierung bei mir immer der Hinweis, dass der Zugriff nicht funktioniert und ich mich wieder neu anmelden muss. Dann läuft es erstmal wieder. Da wurde schnell versucht 2FA zu implementieren und dann nie richtig gemacht. Das erinnert stark an z.B. Apple die bei alten Betriebssytemversionen bei 2FA den Token dann beim 2. Login versuch erwarten. Anders als mailbox.org hat Apple das aber in den neuen Versionen dann gefixt.

Foto
1

Ich kann die von dir geäußerte Kritik überhaupt nicht nachvollziehen.


Die Anleitung ist selbsterklärend und absolut klar umzusetzen: https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten


Ich abe es genutzt und werde es nach einigen Umbauten an meinen eingebundenen Konten wieder benutzen, es hat auf Win 10 absolut Fehlerfrei funktioniert.


Liegt bzw. sitzt der Fehler vielleicht vor dem Rechner?

Foto
Foto
2

Das System mit Pin + Token finde ich super.

Was ich aber net gut finde ist :

- das ich nicht die letzten Logins sehen kann,

- das mein PW auch für Forum etc. gilt

- das kein U2F unterstüzt wird