Willkommen im User-Forum von mailbox.org
 

Warum ist die Zwei-Faktor-Authentifizierung so unglaublich umständlich und verwirrend aufgebaut?

Denis Brodbeck hat dies geteilt, 4 Jahren her
unbeantwortet

Ernsthaft, wer hat sich da überhaupt was gedacht? Wie kann man etwas derart einfaches, wie 2FA mit einer TOTP App, derart verhunzen?


Wie um Himmels willen soll das ein Laie hinbekommen? Meine Eltern? Die Eltern des Heinlein Supports?


Hat Heinlein Support etwa noch nie 2FA bei einem der "großen" Hersteller wie Outlook365, AWS, LastPass oder sonst irgendeinem Dienst eingerichtet? Bitte dort genau hinschauen. Die machen das richtig. So dass es technisch nicht versierte Nutzer hinkriegen.


Warum ist es unmöglich, die 2FA zu aktivieren, ohne den Wiki-Artikel zu lesen?

Hey, ich bin Entwickler, Poweruser, habe dutzende 2FAs in meinem GoogleAuthenticator, besitze einen YubiKey fürs Geschäft und noch nie stand ich bei einem Dienst vor der Frage: "Ja, nuuuun, was um Himmels willen muss ich jetzt machen?"


Warum ist der zugehörige Wiki-Artikel so schlecht und unvollständig? (Siehe Anzahl negative Likes)


Warum ist nur eine Sitzung möglich?


Warum muss ich mir zwingend einen PIN ausdenken?

Ich habe ein Passwort, das über 25 Zeichen hat und in einem Passwortmanager gesichert ist.


Warum muss ich diesen PIN in Kombination mit einem Token auf der Webseite eingeben?

Himmel, gehts noch? Schon mal was von 1password, lastpass, etc. gehört? Das Passwort für euren Dienst interessiert mich nicht, das wird automatisch generiert ist in diesem Jahrhundert nicht zu erraten.


Hier der normale Weg zum mitschreiben (machen Google, AWS, Azure, Github, Outlook365 so, aber die haben ja von Sicherheit keine Ahnung *Sarkasmus*):

* User besucht eure Webseite

* User gibt Nutzername und Passwort ein

* Webseite zeigt Dialog zur Abfrage des Token an

* User startet 2FA-App seiner Wahl auf Smartphone und tippt die Nummer ein

* User ist eingeloggt


Warum kann 2FA nur auf der Webseite genutzt werden? Wieso nicht auch bei Smartphone-Apps, Thunderbird, etc.? Okay, das ist klar — gibt ja keine Möglichkeit, ohne Kontrolle über die UI den zweiten Faktor abzufragen. ABER dafür wurden schon vor Jahren Anwendungsspezifische Passwörter erfunden! Schaut bei euren Kollegen von GMail nach, wie einfach und verständlich das geht. Warum gibt es dieses simple Konstrukt hier nicht?


Wie soll ich euren Dienst meinem Vater empfehlen? Der nutzt seit 10 Jahren Thunderbird und mit diesen Smartphones hat er sich auch schon angefreundet. Tolle Sache, all das. Außer wenn mal wieder ein Trojaner seine Zugangsdaten aus Thunderbird ausliest und wie wild Spam verbreitet.

Früher hieß das: "So ein Mist, Windows von Malware befreien/neu installieren,neues Passwort erstellen, das neue Passwort auf all seinen Geräten hinterlegen"

Heute sollte es sein: "Hm, das Passwort für den Windows-Rechner ist kompromittiert. Windows bereinigen, online ein neues Anwendungspasswort für sein Thunderbird erstellen, fertig. Seine anderen Geräte muss ich gar nix tun"


Was setzt mailbox.org um? Ich habe an dieser Stelle keine Ahnung, da fehlt mir der Nerv dazu, das auch noch rauszufinden. Scheint ein wilder Voodoo-Mix aus "PIN, 2FA, kein 2FA, kein Passwort, doch ein Passwort" zu sein.


Warum bekommt man so einen nutzlose Diensttexte, wenn man euren QRCode scannt? Bei normalen Anbietern taucht der gekoppelte Dienst dann unter seinem Namen (z.b. Amazon Web Services) sowie seinem Account (z.b. help@mailbox.org) in der 2FA-App auf.

Hier bekomme ich einen nichtssagenden Namen "LinOTP" und als Account "LSG0202....". Gratuliere, ihr seid der erste Dienst, bei dem ich händisch die gescannten Daten umbennen muss, den ich kann wirklich "LinOTP" nicht mit "mailbox.org" in Verbindung bringen.


Hat bei der Verwaltung der erstellten Tokens eurer Webdesigner einen Schlaganfall gehabt, oder durfte das der Werksstudent machen? Das löschen von Tokens ist ja so verwirrend, das man da einen Schreikrampf bekommt.


Sreenshot Website


0eb00849dfdf65184f9f75771574ee6a


Wenn Gmail, Office365 oder sonstige Firmen derart umständlich bei 2FA wären, hätten die in Kürze keine Kunden mehr — oder riesige Sicherheitsprobleme, weil die Kunden überfordert wären, 2FA einzurichten.


Gott, warum habe ich zuerst 12€ gezahlt und erst dann 2FA aktiviert? So ein Murks. Werde wohl Posteo ausprobieren müssen. Die werden das doch hoffentlich nicht auch so verhunzt haben.

Kommentare (11)

Foto
7

Well Done! Kann ich nur so unterschreiben!

Foto
2

Deine Kritik am Einstellungs-Interface kannn ich so unterschreiben. ABER:

Ich finde das Einloggen mit PIN+OTP genial gelöst und würde hier dran überhaupt nichts verändern!

Ich nutze ebenfalls Lastpass als Passwortmanager und habe bei allen Diensten starke Passwörter, diese kann ich mir leider aber nicht merken. Eine 4-stellige PIN schon.

Wenn ich mich jetzt unterwegs in meinen mailbox.org Account einloggen möchte, brauche ich nur die 4stellige PIN zu behalten und kann mich sicher einloggen. Da die 4stellige PIN ohne OTP absolut nutzlos ist, brauche ich mir auch keine Sorgen um Keylogger machen. Ich muss der Maschine also nicht vertrauen.

Wenn es jetzt so wie von dir vorgeschlagen abläuft und ich mich mit meinem PW und dem OTP einlogge, dann kann ein Keylogger das mitgeschnittene PW nutzen um sich per IMAP mit meinem Account zu verbinden. Also eine wirkliche Schlechterstellung gegenüber dem aktuellem System.

Klar kann man jetzt sagen, dann deaktiviert man halt das zentrale PW für IMAP und lässt nur noch App-Sperzifische PW zu, dass muss man dann aber auch tun! Insgesamt würde dadurch die Usability und die "Oma/Eltern-Nutzbarkeit" aber sicherlich auch nicht erhöht werden.

Das PW für den 2.Faktor muss egal auf welche Login Art (Web/IMAP) ohne ein zugehöriges OTP nutzlos sein, sonst habe ich den Vorteil von OTPs gleich wieder verloren. Zusätzlich sollte (zumindest für mich) dieses PW leicht zu merken sein, so dass ich auch von Unterwegs ohne Passwortmanager an meine Emails komme.

Foto
4

Aaah, jetzt erst begreife ich den Nutzen der PIN+OTP Variante.


Im wiki steht dazu exakt ein Satz drin.


  1. Wenn Sie sich im Webinterface mit Ihrer PIN (1. Faktor: Wissen) und OTP-Token (2. Faktor: Besitz) authentifizieren wollen, dann müssen Sie im Passwortfeld als erstes die 4-stellige PIN und dahinter ohne Leerzeichen das One-Time-Passwort von Ihrem OTP-Generator eingeben.

Kein einziges Warum/Vorteile/Nachteile/Alternativen oder sonstige Gründe für das Abweichen vom Standard, den alle anderen Anbietern folgen.


Ja, dein beschriebener Use Case ist echt clever. Sollte genau so im Wiki-Artikel stehen. Da steht aber nur der eine Satz drin… der Rest besteht aus einer langen Auflistung, was alles nicht mehr funktioniert, wenn man 2FA aktiviert :/


Selbst nutzen würde ich das aber wahrscheinlich nicht. Von Systemen in Feindeshand (aka Verwandte, Kunden, InternetCafe etc) logge ich mich eh nie auf gmail&co ein. Und unterwegs habe ich praktisch immer mein Smartphone dabei :)


Gefühlt ist das ganze 2FA-Thema bei mailbox.org arg unrund und sieht wie an allen Ecken dran gebastelt aus. Wenn ich mir den Aufbau bei z.B. fastmail.com anschaue, dann sehe ich das:


8d0a91cb35733f1b717ba97c06f410b5


Klar, übersichtlich und aussagekräftig.

Man hat etwas weniger Auswahl, aber weniger Auswahl reduziert auch die Fehlerquellen.

Dort ist TOTP per App Standard, wer mehr braucht, benutzt einen YubiKey (ist bei Google, MS, AWS, github genauso).

App-Kennwörter sind extrem übersichtlich und einfach zu erstellen. Sämtliche Dokumentation zu "Wie richte ich das auf Windows Mail / Apple Mail / Android", zeigt immer klar erläutert auf App-Kennwörter. Auf keinen Fall führt eine Aktivierung von 2FA zu eingeschränkter Funktionalität!


Danke nochmal für die Erläuterung des PIN+OTP Modus, erst nach deinem Kommentar hats klack gemacht. Ich bin nur nicht sicher, ob der kleine Mehrwert den deutlich höheren mentalen Aufwand des Umlernens rechtfertigt. Es ist schon schwer genug, alle Nutzer für Sicherheit zu sensibilisieren. Dann haben die das mal verstanden, nutzen Passwortmanager und 2FA Apps, und dann kommt ein Dienst wie mailbox daher, der einfach quer schießt und noch nicht mal erklärt, warum er das tut. Von der grauenhaften Usability der Konfigurationsseite ganz zu schweigen.

Foto
2

Freut mich, dass du jetzt besser informiert bist :)


Der OTP Bereich bei mailbox.org ist ein gutes Beispiel dafür, dass hier halt in erster Linie teschnische Experten in der Entwicklung sitzen und erst in zweiter (oder dritter) UI Design Experten. Technisch finde ich zwei Faktor Authentifizierung bei mailbox.org am besten Umgesetetzt von allen Email Anbietern, bei denen Ich bisher war! Viele machen halt den oben angesprochenen Fehler als Passwort das gleiche PW zu verlangen, welches auch IMAP Zugang (dann ohne 2FA) bietet.


Die Einschränkungen von 2FA bei mailbox.org kommen einfach daher, dass im Backend wohl viele Daten mit deinem PW verschlüsselt sind. Das ist dann bei einloggen mit PIN&OTP natürlich ein Problem. Spricht meiner Einschätzung nach aber eher für mailbox.org, weil es einfach die durchgehende Verschlüsselung bestätigt. Man kann halt nicht alles haben!

Wenn ein Anbieter einfach nur in seine Anmeldemaske ein Feld fürs OTP knallt, ohne sich Gedanken über die Angriffszenarien zu machen oder in der Folge alle Daten unverschlüsselt abspeichert, dann ist das für mich eher eine Schwäche als ein Vorteil.


Die Usability kann man auf jeden Fall anpassen, man sollte dabei aber nicht die Funktion beschneiden. In deinem Fall klingt es so, als ob du von 2FA nicht wirklich profitierst. 2FA ist in erster Linie ein Schutzt gegen Keylogger/Man in the Middle/Phishing Angriffe. Wenn du dich eh nur von Zuhause einloggst und einen Passwortmanager mit starkem Passwort benutzt bist du davor schon so sehr gut abgesichert.

Foto
Foto
2

Zu dem Stichwort Posteo ausprobieren:

Dazu gibt es eine Kritik im Privacy-Handbuch.

https://www.privacy-handbuch.de/diskussion.htm

Foto
3

Cooler Link, danke dafür.


Für mich läuft es auf folgendes raus:

Wenn klassisches 2FA aktiv ist (Passwort + OTP), und es gibt Auth-Kanäle, die kein 2FA unterstützen (klassischer IMAP/SMTP-Stack), dann darf für diese Kanäle das normale Passwort nicht mehr erlaubt sein. Ergo ist eine konsequente Nutzung von anwendungsspezifischen Passwörtern angebracht (so macht es Google).


Eine vollständige Deaktivierung des Zugriffs auf IMAP/SMTP ist sicherlich möglich, wenn auch (mobil) sehr umständlich. Die einen lösen das dann mit einem eigenen Protokoll (z.B. Google, ProtonMail --> extra App notwendig), die anderen mit individuellen App-Kennwörtern, die immerhin den Schaden auf ein Gerät beschränken. Dumm nur, dass eben diese eine Kompromitierung langt, um direkten Zugriff auf alle Mails und Kontakte zu bekommen. Eine Zwickmühle, die mit dem altbekannten IMAP/SMTP wahrscheinlich schwer zu lösen ist :/

Foto
1

Ich finde das Vorhehen der Kollegen von Posteo hier schlichtweg skandalös und unverantwortbar. Wenn Nutzer gar nicht darüber aufgeklärt werden, daß sie hier Ihr Passwort exponieren, ja, wenn gerade im Vertrauen auf das 2F-Auth hier ggf. sogar geradezu ein sorgloser Umgang stattfindet, dann werden die eigenen Nutzer grob fahrlässig bis vorsätzlich gefährdet. Das kann und darf ein solcher Anbieter nicht machen.

Aber wir kennen das auch aus anderen Bereichen. Posteo hat unseren erzwungenen SSL-Versand versucht zu kopieren, also, was wir mit unseren @secure.mailbox.org-Adressen erreicht haben.

Was Posteo den Nutzern aber konsequent verschweigt: Posteo kann nirgendwo den EMPFANG der Mails per SSL sicherstellen. Und was nützt der erzwungene Versand einer Mail per SSL wenn die Antwort (mit zitierter Orginalmail?) wenige Minuten später ggf. im Klartext zurückgesandt wird?

Auch an weiteren Stellen zeigt sich der Geist, der dahinter steht. Zu Zeiten, wo SSLv3 schon lange als "darf man nicht mehr einsetzen" gebrochen war, hat Posteo noch SSLv3 angeboten, eine ganze Zeitlang sogar inklusive Heartbleed und anderen Downgrade-Bugs, obwohl diese schon wochenlang die Welt in Aufruhr versetzt haben. Sie gaukeln ein tolles SSL vor, das in Wirklichkeit nur als unsicher und gebrochen gebrandmarkt werden muß.

Usern wird hier immer wieder ein Feature und eine Sicherheit vorgegaukelt, die so ganz offensichtlich und keinesfalls gegeben ist. Und die größte Gefährdung ist stets die Nachlässigkeit aufgrund gefühlter (falscher) Sicherheit.

Das ist doch überhaupt nicht akzeptabel. Das kann man doch so auf gar keinen Fall machen! Posteo gefährdet bewußt seine Nutzer und führt sie in die Irre.

Foto
1

Interessanter Kommentar. Viel Klartext und nicht nur schöne heile Welt.


Keine Frage, 2FA muss durchgehend sauber in der Umgebung integriert sein. Wird hier geschlampt, schwächt das die ganze Sicherheitskette. Wenn User dank 2FA implizit von einem höheren Schutzniveau ausgehen, als tatsächlich geboten wird, kann das fatale Folgen haben.

Foto
Foto
2

Sicherheit und Technik kann ich nicht so beurteilen, ich finde aber das die 2FA irgendwie lieblos gestaltet ist.

Foto
3

Das ist soweit richtig, da stimme ich zu. Wir blenden an dieser Stelle die Verwaltungssoftware des OTP-Servers ein. Das sind keine Webseiten von uns. Im möglichen Rahmen haben wir die bereits minimalisiert und aufgeräumt, aber so "ganz grundsätzlich" andere Webseiten sind da nicht oder nicht einfach möglich.


Uns ging es damals auch durchaus darum, dass überhaupt erstmal an den Start zu bringen und für ein tiefergehendes umprogrammieren in der OTP-Software war keine Zeit.


Aber ich nehme das gerne mit auf und wir werden das bei Gelegenheit erneut anschauen, wie wir das grundsätzlich anders gestalten können. Durch die Einführung von U2F kann sich das da eh auch alles nochmal auf eine andere Software ändern.

Foto
2

Wenn die Implementierung schon so aufwändig war, ist gute Dokumentation unverzichtbar.


Ich kann damit Leben, extra Hürden beim Einrichten zu überwinden, aber dann muss mich die Dokumentation auch klar anleiten, was ich zu tun habe.

Vor allem, wenn es stark vom Standard anderer großer (Cloud-)Anbieter abweicht.


Ich hätte erwartet:

  • Wie funktioniert es?
  • Wodurch unterscheidet es sich von ähnlichen Systemen?
  • Was muss ich machen? Auf meinem iphone? Auf meinem android?
  • Wie kann ich prüfen, ob das funktioniert?
  • Wie bediene ich diese (englische) Oberfläche? Ich kann Englisch, aber genügend andere nicht.


In meiner Firma beziehen wir für Usability-Tests gerne mal die nichttechnischen Mitarbeiter ein. Wenn die ein Feature nicht zum laufen bekommen (mit oder ohne Doku), dann ist das ein ernster Hinweis, dass dieses Feature von Kunden auch nicht verstanden wird. Und welche Firma möchte schon unnötigen Support-Aufwand verursachen?.

Foto
Foto
1

ich glaube, solange 2FA von OpenXchange nicht gewollt ist, wird es Mailbox.org sehr schwer haben.


Man sieht ja jetzt schon das 2FA nicht durchgängig funktioniert und wenn nur mit Einschränkung der Funktionen. siehe externe Accounts.


Anbieter wie fastmail.com haben es da wohl leichter.

Foto
2

2F ist von OX gewollt und OX arbeitet an einem Authentication-Service. U.a. in enger Zusammenarbeit und aufgrund der Erfahrung mit uns.

Die Aussage, daß das von OX nicht gewollt ist, hat keine Substanz und ist nicht richtig.

Für die Behandlung von externen Accounts haben wir einen Lösungsansatz, den wir allerdings ausprobieren müssen. Das ist etwas heikel und dafür war die letzten 2 Monate keine Ruhe, da wir dafür ein größeres Testsetup aufbauen müssen, weil wir nicht riskieren wollen, diese Daten bei einer Umstellung zu verlieren. Aber ich bin frohen Mutes dass das funktionieren könnte und dass das Problem dann schnell gelöst sein könnte.


(Externe Zugangsdaten wurden von OX immer mit dem Userpasswort verschlüsselt. Insofern ja eine sehr tolle Sicherheit. Nur bei OTP eben "zuviel und zu gut".

Wenn fastmail sich das "leichter" macht dann ggf. dadurch, daß auf diesen Schutz eben verzichtet wird. Wir haben jetzt aber eine Idee für einen Weg wie wir die Zugangsdaten zwar verschlüsseln können, dafür aber nicht auf das (bei OTP sich ständig wechselnde) Userpasswort zurückgreifen müssen.)

Foto
1

Kann man denn schon ca. absehen, wann es soweit ist ?

Foto
1

2FA wird laut einer Präsentation (PDF) von Open-Xchange 7.10 unterstützt werden.

Foto
Foto
4

Leider hat sich hier auch nach einem Jahr noch nichts geändert, oder? Schade. Habe leider eben auch schon guthaben aufgeladen, ohne diesen absolut unrunden 2FA vorher zu merken.

Foto
1

da is nix unrund, man muss es nur verstehen

Foto
3

Doch, leider ja. Mit der "Anleitung" (ich würde es nicht so nennen) hat man keine Chance dieses 2FA wirklich gut und schnell schonmal gar nicht zu verstehen. Dass es anders als von Google, Dropbox,.. gewohnt funktioniert und diese "Anleitung" wird dazu führen, dass die Leute es nicht aktivieren. Zudem kommt nach Aktivierung bei mir immer der Hinweis, dass der Zugriff nicht funktioniert und ich mich wieder neu anmelden muss. Dann läuft es erstmal wieder. Da wurde schnell versucht 2FA zu implementieren und dann nie richtig gemacht. Das erinnert stark an z.B. Apple die bei alten Betriebssytemversionen bei 2FA den Token dann beim 2. Login versuch erwarten. Anders als mailbox.org hat Apple das aber in den neuen Versionen dann gefixt.

Foto
1

Ich kann die von dir geäußerte Kritik überhaupt nicht nachvollziehen.


Die Anleitung ist selbsterklärend und absolut klar umzusetzen: https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten


Ich abe es genutzt und werde es nach einigen Umbauten an meinen eingebundenen Konten wieder benutzen, es hat auf Win 10 absolut Fehlerfrei funktioniert.


Liegt bzw. sitzt der Fehler vielleicht vor dem Rechner?

Foto
5

Also ich bin in die gleiche Falle wie die kritischen Vorredner gerannt.

1. Hürde: Bei mir funktionierte mit Authy die Akzeptanz des generierten Token nicht. Weder mit abfotografieren noch mit manueller Eingabe. Ich musste googeln, bis ich festgestellt habe, dass ich den Token Type von "ereignisbasiert" auf "zeitbasiert" stellen muss.

2. Hürde Ich konnte mich danach nicht mehr anmelden. Ich habe in der Doku den Hinweis zum Passwort schlicht überlesen (Kann man den Satz nicht irgendwie als wichtige Info hervorheben?). Auch hier hat Google geholfen.

Ich habe 15 Token von unterschiedlichen Anbietern und keiner hat die Anmeldung so gelöst. Ich fände es auch einfacher, wenn mailbox.org im Frontend aus dem Usernamen und Password einen Hash bildet und auf dem Server dann nachsieht, ob 2FA aktiviert ist und bei Bedarf den Token abfragt. Da ich KeypassXC ohne Yubikey benutze, ist der jetzige Eingabemodus nicht sehr smooth für mich.


Die allgemeine Kritik ist m. E. berechtigt und einen Kritiker als Fehler zu bezeichnen ist - mit Verlaub - unter aller Sau.

Foto
Foto
3

Das System mit Pin + Token finde ich super.

Was ich aber net gut finde ist :

- das ich nicht die letzten Logins sehen kann,

- das mein PW auch für Forum etc. gilt

- das kein U2F unterstüzt wird

Foto
1

ich finde wie 2FA bei mailbox.org implementiert perfekt;

was ich aber logisch jetzt nicht nachvollziehen kann, wieso bei aktiviertem 2FA man nur auf einem PC angemeldet sein kann?

sprich ich melde mich am PC zu Hause an, und lasse das laufen;

erst nach einem Abmelde/Anmeldespielchen kann ich mich in der Arbeit anmelden ...

Foto
2

Das mit den zwei Rechnern ist echt doof.... meine Frau ist Zuhause und ich auf der Arbeit.

Kann ja nicht sein das meine Frau sich erst abmelden muss damit ich mich anmelden kann. Musste die 2fa schon zwei mal wieder raus nehmen da ein einloggen nicht möglich war. Frau war am Rechner .... hat sich nicht abgemeldet und dann das Haus verlassen. Schöner wäre es den Login des 2fa auf dem vertrauenswürdigen Rechner zu speichern .

Ich hoffe inständig das dies geändert wird.

Danke

Foto
1

Ich hoffe inständig, dass man NIEMALS eine 2FA-Anmeldung speichern kann. Nirgendwo. In deinem Usecase solltest du 2FA abschalten. Es geht nämlich nicht so wie du willst.

Foto
2

2FA speichern geht bei allen großen Anbietern.

Google Amazon Facebook usw. beim ersten einloggen muss ich das per Handy bestätigen .... kann beim Browser den Haken bei Vertrauenswürdig setzen und dann kommt die 2FA nicht mehr.

Foto
2

Was??? Wenn du den zweiten Faktor bei einer erneuten Anmeldung nicht wieder eingeben musst, läuft da mächtig was schief. Es ist das Wesen eine zweiten Faktors, dass er immer wieder eingegeben werden muss.

Selbst wenn man ihn speichern kann, sollte man genau das nicht tun.


Und 2 Usewr, die mittels eigener Authenticatoren parallel einen LogIn wollen, würde ich technisch auch verhindern wollen. Sowas kann nur schiefgehen.


Legt euch 2 Accounts innerhalb eines Family-Accounts hier bei mailbox.org zu, und gebt euch die betreffenden Ordner gegenseiti frei. Alles andere ist Murks.

Foto
3

mailbox.org steckt halt in der Nische der Computer Nerds fest. Tolle Technik, furchtbares Interface und nervig zu bedienen.


Wenn man das kritisiert: Ist doch alles ganz logisch du DAU.

Da ich nur für Wegwerf-Adressen in das Interface muss reicht es für mich aus. In meinem weniger technikaffinen Bekanntenkreis scheitern aber viele daran.

Foto
1

Falls du mich damit meinst, kritisierst du den falschen.


Die 2FA ist bei mailbox nachvollziehbar beschrieben, und einfach einzurichten. In dem Posts, auf die ich geantwortet habe, wird beschrieben / gefordert, dass man für eine 2FA-Anmeldung den 2. Faktor speichern möchte, oder man sich gleichzeitig mit 2FA von 2 Rechnern einwählen können möchte, dann wohl der eine mit, der andere ohne 2FA.

Da hat der Ausgangsposter ganz eindeutig - trotz guter Beschreibung von 2FA - überhaupt nicht kapiert, wofür 2FA da ist.


Falls es einen Anbieter gibt, der angeblich den Inhalt des 2. Faktors für den LogIn SPEICHERT, würde ich gerne wissen, wer das sein sollm damit ich diesen Anbieter ab sofort meiden kann.


Das feste speichern des 2. Faktors wäre nach meinem Verständnis ein schwerer Bruch der 2FA-Sicherheit.


Unterstelle also denen, die hier wie ich sachlich darauf hinweisen, dass an den Ausgangsposts was nicht stimmt, eben gerade nicht, dass ich andere beschimpfe.

Foto
2

Nein, ich meine nicht explizit dich.

Du schreibst:"nachvollziehbar beschrieben." Das ist halt Ansichtssache was nachvollziehbar beschrieben ist.

Die nächste Frage wäre warum mailbox.org nicht eine 2FA nutzt wie alle anderen Anbieter dieser Möglichkeit. EDIT: Oder wenigstens die gängige 2FA als Alternative anbietet.

Foto
2

Was ist das denn bei z.b Amazon wenn ich für das Einloggen eine SMS bekomme mit einem Code den ich eingeben muss. Hier kann ich einen Haken setzten das dieser Browser vertrauenswürdig ist. Gehe ich zum zweiten Rechner mache ich das gleiche und auf beiden Rechnern bleibe ich eingeloggt.


Ist das keine 2FA?


Mir geht es ja darum das jemand, der mein Passwort doch raus bekommt nicht einfach hier rein kommt ....

Foto
1

Für mich ist das keine 2FA. Die wird bei Amazon so aktiviert:


https://www.netzwelt.de/anleitung/173002-amazon-so-schuetzt-konto-zwei-schritt-verifizierung.html

Foto
1

@8115578: mailbox bietet viel mehr 2FA-optionen als so mancher andere Anbieter.


Siehe hier: https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten

Foto
1

Ja, SMS sind unsicher, aber selbst, die von dir zitierte, Art und Weise wird bei mailbox.org nicht angeboten.

Foto
2

Könnte den Code bei Amazon aber auch über Free OTP generieren ohne SMS.

Foto
1

genau mit der selben App nutz ich die 2FA von mailbox.org

auch von PayPal, Amazon, ...

Foto
3

Wie kann man das im Jahr 2021/22 so dermaßen verkacken... Ist mir echt schleierhaft. Ich bin auch Entwickler und habe sowas dilettantisches im Bereich UX und Dokumentation noch nicht gesehen. Sorry Jungs aber ein Feld in dem ich Passwort und 2fa gleichzeitig rein schreiben muss das braucht schon auch viel Talent es sich so auszudenken :D.

Es ist ja nicht so als wäre der Standard nicht auch bei zig anderen Plattformen richtig integriert.

Die Doku ist fast so schlimm wie die Docker man ...

Aber was noch fast besser ist das der Inhaber oder wer auch immer in seinem Namen schreibt einfach keine Kritik verkraftet. Das es die perfekte und absolut bugfreie Software nicht gibt ist glaube ich jedem klar, aber dann keine Antwort oder eine Antwort in Form von "ist uns doch egal wir machen alles richtig" kommt finde ich absolut inakzeptabel.

Also liebe Entwickler / PO / Inhaber nehmt die Kommentare ernst und fühlt euch nicht bei jeder Kritik auf den Schlips getreten...

2FA super!

2FA UX -> mist

Foto
4

Ich muss meinen Vorrednern hier leider absolut zustimmen. Die Umsetzung der 2FA von UX ist für 2021/22 definitiv nicht zeitgemäß. Ich habe bei sämtlichen Portalen, wo es möglich ist, eine 2FA aktiviert, außer bei meinem Mailbox Account. Wenn ich mir die Doku dafür anschaue, wirkt das Ganze eher nach einer Bastellösung, als einer ausgereiften Technik. Ein Feld für Passwort und Token, die man dann hintereinander schreiben muss. Wer denkt sich denn sowas aus?

Ich würde Mailbox.org gerne an meine Familie weiterempfehlen, aber gerade bei meinen Eltern, die gerne mal jeden Link anklicken und ihre Passwörter häufig auf Notizzetteln neben den Bildschirm kleben, ist eine 2FA enorm wichtig. Eine so komplizierte 2FA würden die niemals verstehen.

Foto
1

@5812682 ein Blick über den Tellerrand hätte Dir verraten, dass

"aber ein Feld in dem ich Passwort und 2fa gleichzeitig rein schreiben muss das braucht schon auch viel Talent es sich so auszudenken :D."

eigentlich state of the art ist; gab lange Zeit sogar Banken die das gemacht haben; sprich der gesamte TAN bestand aus ein paar geheimen Ziffern die nur Du kanntest und dem was der Generator anzeigte;

das gab es schon da hatte es die RFC f. OTP noch gar nicht gegeben ...


@Andre betrachtest es denn als ausgereift, dass man zwischen der Passworteingabe und der Eingabe des 2ten Faktors Captchas lösen muss; auch das habe ich schon gesehen ...

Foto
2

Ich benutze anscheinend nur unasgereifte Software wie es scheint bzw die Mehrheit die hier bzgl ux Mängel angeben. Ist mir schon klar das es Banken auch so gamcht haben oder immer noch machen, heißt aber im Umkehrschluss nicht das es deswegen gut ist. Weil es egal ist wann das Passwort zusammensteckt wird. Für den Nutzer ist es halt viel einfacher zuerst seinen uname dann sein Passwort und als drittes sein otp einzugeben. Nur in das geht's

Auch wenn sie vielerlei otp anbieten bedeutet das halt auch nicht zwingend das es deswegen besser ist. Im Lokal ist die Wahrscheinlichkeit auch höher dass das Essen qualitativ hochwertiger ist wenn weniger auf der Karte steht

Foto
1

@5812682 Du weißt aber schon, dass sich die Sicherheit in Summe genau um nichts erhöht, ob man das ganze in 2 Etappen und hier womöglich mit einem Passwort Safe arbeitet od. auf einmal eingibt;

im Gegenteil: die Gesamtsicherheit ist sogar besser, wenn man den 2ten Faktor in einem Rutsch gleich mit dazu eingibt;


zumal es Fakt ist, dass in den 1980er und 90er als es noch deutlich weniger PKWs gab, diese aber in einem merklich schlechteren Zustand waren als heute; soviel zu Deinem Vergleich mit Speisekarten;


ein Unfall auf Grund eines technischen Gebrechens ist heute ausgeschlossen; damals aber nicht; heute ist die Ursache Nummer 1: Selbstüberschätzung und dessen Folgen wie Raserei, ...


Foto
1

Ich benutze den von mailbox.org ausgelieferten Yubikey. Der wird ja gegen den Server von mailbox.org validiert.


Von daher finde ich es sowohl einfacher, als auch konsequent, dass man erst die PIN, und dann den 2. Faktor in das gleiche Feld eingibt.


Und noch eines: du schreibst, dass erst Username, dann Passwort, und dann 2. Faktor eingegeben werden.


Das ist bei mi so nicht. Ich gebe meinen Usernamen ein, meine PIN, und tippe auf meinen Yubikey. Fertig.


Und: ich kenne Lokale, da gibt es nur Döner. Einige Lokale sind echt gut, andere so gar nicht.

Foto
1

Nabend,

ich finde die Umsetzung von 2 FA okay. Ja, es ist anders als bei anderen Diensten, aber wir sind doch wohl auch hier Kunde weil wir anders sind als der "normale" User von anderen Maildiensten.

Mir fehlt nur die Funktion des Anwendungskennwortes z.B. für Thunderbird und Co.. Das hat z.B. Google ganz nett gelöst und erhöht so, aus meiner Sicht, die Sicherheit nochmal.

Ach ja, und nicht nur Mailbox.org hat die Variante bei der man den OTP direkt mit ins Kennwortfeld eingibt. Wer sich per VPN über eine Sophos mit einem Netzwerk verbindet muss ebenfalls sein Kennwort & den OTP Code in eine Zeile bei der Anmeldung eingeben.

Foto
1

An für sich würde es mich schon locker reichen, wenn ich dem Browser zu Hause vertrauen könnte und ich in dem angemeldet bleibe. Zusätzlich wäre noch nett, wenn man sehen könnte wo man noch überall angemeldet ist...

Foto
1

Wenn du deinem Rechner zu Hause nicht vertrauen kannst, ist dein Problem nicht die 2FA, sondern etwas ganz anderes.

Und wenn du nicht weißt, wo du dich mit welchem Gerät wohin eingeloggt hast, ist dein Problem noch größer, hat aber auch nichts mit 2FA zu tun.

Foto
1

@7586310 er meint das anders; er würde gerne seinem Browser zu Hause vertrauen, um damit an einer 2ten Stelle sich noch einmal anmelden zu können;

seit der PSD2-Richtlinie kannst Du Dich im Elextronic Banking auch nur noch mit einem 2ten Faktor anmelden; meist is es ein pushTAN - Banken haben es genützt die unsicheren und auch teuren SMS abzuschaffen;


und hier kannst Du Dich sehr wohl mehrmals anmelden (über verschiedene Browser); ich will jetzt nicht hören, dass sowas sinnlos wäre, oder es dafür keinen Use case gäbe;


einfach ein wenig Phantasie und Dir ist klar, dass es sehr wohl Sinn machen kann;

Foto
1

so ist es Walter.

Insbesondere könnte man so auch feststellen, wenn sich jemand unbefugtes in den Account einloggt.

Foto
1

Wobei ich muss hier schon sagen, dass diese Geschichte, nur eine Verbindung haben zu können etwas nervt;


habe ich mich zu Hause auf meinem PC angemeldet, und 'vergesse' mich abzumelden,

und will mich in der Arbeit anmelden, dann muss ich mich erstmal anmelden um mch wieder abzumelden,

und dann kann ich mich erst richtig anmelden;

Foto
1

Wenn du unter "Einstellungen > Sicherheit" das automatische ausloggen nicht abgeschaltet hast, sollte sich die Session auf dem Browser zu Hause von alleine beenden.


Wenn du zu Hause deinem rechern eh vertraust, kannst du genau so gut ein Mailprogramm benutzen, das du laufen lassen kannst, und dich bei der Arbeit via INternet und 2FA anmelden.


Es gibt für jedes Szenario einen Usecase. Aber gerade in Betracht von 2FA finde ich es schräg, die Sicherheit des Logins durch ein permanentes eingeloggt sein auszuhöhlen, um mit mehreren Geräten gleichzeitig eingeloggt zu sein.


Ich komme gut mit dem klar, was mailbox hier technisch umsetzt.

Foto
1

Das heißt ja aber auch, das wenn ich mich nur von zuhause einlogge die 2FA keinen Vorteil bietet ?

Foto
1

Aus meiner Sicht nicht. Ich benutze auf meinem Home-Rechner Thunderbird. Thunderbird ist mit einem Passwort gesichert, die Mail-Datenbank wird damit verschlüsselt. Mailbox habe ich so eingestellt, dass, wenn ich den Dienst über den Browser aufrufe, ich mich mit 2FA einlogge.


Ich betrachte meinen Rechner zu Hause "als sicher" - mir ist klar, dass man das anders sehen kann, aber...


Auf meinem Handy nutze ich FairEmail, und das Handy selber entriegle ich mit einem Yubikey.


Wenn man den Rechner zu Hause sicher machen will, muss man über Linux nachdenken, und ggf. auch die Platte z.B. mit VeraCrypt verschlüsseln.


Ich bin aber nur ein normaler User, Leute, die sich mit dem Thema Sicherheit oder Kryptographie auskennen, werden das wahrscheinlich anders sehen, aber so schlau bin ich nicht...

Foto
1

Bei Thunderbird hast du etwas falsch verstanden. Das Passwort verschlüsselt die Mails nicht. Das sichert nur die Passwörter, für die Verschlüsselungszertifikate (angeblich). Deine Mails kannst du alle auf der Festplatte finden und mit jedem Editor lesen, solange sie nicht einzeln Verschlüsselt wurden.

Rechner zu Hause sichern, nur mit Linux? Also die Festplatte verschlüsseln geht mit jedem Betriebssystem. Das Windows dafür eine schlechte Wahl ist, würde ich auch sagen aber das ist ein anderes Thema. Aber warum MS Geld für eine Pro Version nachschmeissen, wenn es kostenlos sogar besser geht?

Wenn du sogar für ein Telefon einen Yubikey verwendest, dann scheinst du ein grosses Sicherheitsbedürfnis zu haben, das sich mit 2FA und Windows nicht so einfach lösen lässt.

Foto
1

Stimmt, da habe ich mit dem PW unter Thunderbrid was falsch erinnert. Das PW verhindert aber zuverlässig den unbefugten Start. Danke für deine Klarstellung.


Klar, das Festplatten verschlüsseln mit jedem System geht, Linux hat halt sein Vorteile, was Sicherheit angeht.


Natürlich verwende ich einen Yubikey für das Smartphone! Damit ist das Handy einfach viel besser gesichert, da bei einem Verlust das Gerät standardmäßig verschlüsselt ist, und ohne 2FA been gar nicht aufgeht. Einfacher als mit nem Key wie einem Yubikey geht das sonst nicht.


Um meinen Rechner zu Hause mache ich mir nicht so viele Sorgen. Alle mobilen und damit leicht verlier- oder klaubaren Geräte sind eben gerade deswegen sehr abgesichert. UNter Windows geht eine Anmeldung mit 2FA inzwischen sehr einfach, und zusammen mit z.B. Veracrypt und Boxcyptor läuft das alles echt gut, wenn man nen Yubikey mit FIDO2 nutzt.

Foto
1

Wenn du ausgeraubt wirst, können die aber auch den Yubikey mitklauen. Meist wird man ja vorher ausgespäht und geprüft, ob sich das Telefon überhaupt lohnt.

Hast du da noch einen Passcode, zusätzlich zum Yubikey?

Foto
1

Klar. Der Yubikey geht via NFC, den sieht niemand. Für mich zählt halt je mobiler, desto zugenagelter. Klar kann mich jemand ausspähen, aber...

Foto
1

Hatte an den zum einstecken gedacht. NFC kann man ja gut verstecken. 😉

Foto
1

Dank dieser Diskussion bin ich auf die Idee gekommen, mir auch 2FA mit FreeOTP+ einzurichten. Die Anleitung finde ich sehr verständlich und die Handhabung einfach. Also, dies nur mal als positive Rückmeldung zu diesem Thema. Sehr easy das Ganze, wie ich finde.

Foto
1

Theoretisch ist es einfach aber praktisch schlägt der Test immer fehl.

Und solange Passwordmanager damit nicht umgehen können, lohnt sich das nicht.

Foto
1

"Theoretisch ist es einfach aber praktisch schlägt der Test immer fehl."

Das kann ich nicht bestätigen. Bei mir schlug der erste Versuch fehl, warum auch immer, aber danach ging's.

Foto
1

Ich habe es mehrfach mit und ohne die Pin eingegeben. Welchen Algorithmus hast du verwendet?

Ich habe es noch mal versucht. Die ersten Versuche haben nicht funktioniert aber mit Android/Zeittoken und 1Password ging es. Da sind einfach zu viele Option, ohne Erklärung.

Foto
1

Die Einrichtung habe ich genau wie in der Anleitung beschrieben gemacht, also fürs "Web Interface, alles andere Passwort", mit Softtoken (FreeOTP+ von F-Droid), genau wie auf den Screenshots in der Anleitung. Das hat funktioniert, genauso das Einloggen seitdem mit PIN|OTP als Passwort.

Foto
1

Die meisten Token wurden als inkompatibel abgelehnt. Ich hatte schon fast alle durch. Den Unterschied hat wohl die Umstellung von Event auf Zeit basierende Tokens gemacht.

Die vielen Token und Optionen sind ungewöhnlich. Alle anderen Server haben nur eine Art von Token und die funktionieren sofort.

Foto
4

Als IT-ler habe ich bei der Einrichtung ehrlich gesagt auch erstmal auf dem Schlauch gestanden. Dachte mir, komm richte schnell 2FA ein und gut ist. Hatte bis dato 52 Einträge in Authy und musste noch nie eine Anleitung zu Rate ziehen. Dies war hier zum ersten Mal nötig. Erstmal: PIN? Wozu? Hab ich vorher noch nie gebraucht. Na gut. Als nächstes die Tokenauswahl. Ok das krieg ich hin, aber ich stelle mir gerade vor, dass versucht jemand mit weniger Affinität zur Technik. Auweia. Dann vor allem die Umstellung des Tokentyps von ereignis- auf zeitbasiert muss man erstmal sehen. Auch das kenne ich von keinem anderen Dienst. Eine Erklärung zum "OTP-Sicherheitslevel" habe ich bis jetzt nicht gefunden. Heißt "OTP nur für Webinterface, alle anderen Dienste aus", dass ich die anderen Dienste gar nicht mehr nutzen kann?


Nun gut, alles soweit eingestellt und dann den QR-Code gescannt und was sehe ich? Den kryptischen Eintrag LSG... Auch das war bisher bei keinem anderen Dienst so, dass ich den Eintrag manuell anpassen musste um ihn sinnvoll zuordnen zu können. Dann der erste Login und ich muss mir erstmal einen weiteren Eintrag in Keepass amlegen damit das Passwortfeld nicht mit dem Passwort sondern der PIN vorausgefüllt wird. Finde auch hier die Variante anderer Anbieter, erst Username und Passwort und im Anschluss 2FA wesentlich angenehmer. Zur Integration in Mailclients wären mir auch anwendungsspezifische Passwörter lieber, als das "Standardpasswort".


Alles in allem funktioniert es ja, aber es ist mMn das umständlichste, dass mir seit Nutzung von 2FA untergekommen ist.

Foto
3

Es gibt noch ein grösseres Problem, bei dieser Umsetzung. Verwendet man die Webseite oder die WebApp, dann muss man sich alle paar Minuten aus- und wieder einloggen. Das ist bei der üblichen 2FA Umsetzung nicht nötig.

Verwendet man die Webseite nicht, dann kann man sich 2FA auch eigentlich sparen. Da ist dann das Mail Programm die Schwachstelle und Anwendungspasswörter gibt es nicht.

Foto
1

Nein. Du kannst im Webinterrface die Zeit einstellen, nach der ein automatischer Logout erfolgt. Das hat mit 2FA nichts zu tun.

Foto
1

Ich weiss aber nein. Die Zeit steht auf „Nie“. Die Session soll aktiv bleiben, bis ich mich abmelde.

Nachdem ich 2FA eingestellt hatte, lief die Session alle paar Minuten ab. Immer wann das 2FA Token abläuft, wird das Passwort ungültig. Vielleicht funktioniert es, wenn keine zeitbasierten Token verwendet werden. Die hat mein Passwortmanager aber nicht angenommen.

Foto
2

Wow, bin gerade auf die sehr branchen unübliche 2FA implementierung gestolpert und schliesse mich der Ursprünglichen "Frage" vollumfänglich an.


Es gibt auch seit 4 Jahren keine "Antwort" vom Entwickler, obwohl es die Frage mit den 3. meisten Votes ist und die Bilder von vor 4 Jahren sind auch noch zutreffend...


Weiter wird nur YubiKey und keine offenen Standards unterstützt.


Wollte eigtl. zu Mailbox wechseln, aber das geht mir doch ordentlich gegen den Strich :-/

Foto
1

Das Absurde ist ja zusätzlich das hier versierte Leute schreiben das es für sie kein Problem wäre. Man solle sich nicht so anstellen. Irgendeine andere Firma auf dieser Welt würde dieses Verfahren auch nutzen.

Für mich ist es auch kein Problem, es ist aber lästig.

Problematisch wird es aber dies meinen Verwandten oder Freunden zu erklären bzw einzurichten. Die haben einen Passwordmanager. Man kann dort dieses Verfahren nicht automatisch einrichten weil hier eine absolut exotische Lösung gewählt wurde. Die sind nicht mit Computern aufgewachsen, haben keine Zeit dafür etc.

Dementsprechend ist 2FA bei mailbox.org nur etwas für Nerds und diesen Dienst kann man anderen schlecht empfehlen, trotz der vielen guten Voraussetzungen.

Foto
1

Die Notwendigkeit eines Passwortmanagers/-safes widerspricht dem Sinn von 2FA

Foto
1

Erstmal ist das nicht ganz so klar und Zweitens würde das nicht den Umstand wett machen das die 2FA mailbox.org weniger Versierte fast komplett auschließt.


Nochmal. Es geht nicht um Euch. Es geht um die Anderen.

Foto
1

Diese spezielle 2FA beisst sich ja auch nur mit den Passwort Managern. Manuell ist es egal, ob man ein Passwort oder eine PIN eingibt.

Fehlende Anwendungspasswörter stören mehr aber sind eigentlich auch nur ein Notbehelf.

Foto
1

Weniger versierte werden definitiv NICHT von der Verwendung von 2FA ausgeschlossen;


@8115578 Nein, es geht nicht um die anderen, es geht um ALLE


wie gesagt, sobald man bei 2FA einen Passwortmanager/-safe bemühen muss, ist der eigentliche Sinn nicht mehr gegeben;

spätestens wenn der Passwortmanager/-safe glztg. auch das Tool ist, welches die OTP-Nummer bestimmt sogar sinnbefreit;

weil damit knack ich einfach dieses Ungetüm (= Passwortmanager/-safe) und habe ALLES notwendige;


wenn Du von weniger versierten sprichst, dann erkläre mal was ein 2ter Faktor ist; und was der genau nicht sein darf, weil es dann eben kein 2ter Faktor mehr ist;

du legst Deinen PIN-Code f. Deine Geldkarte hoffentlich nicht in irgendeinem Passwortmanager/-safe ab, oder?

nebenbei ist der ohnehin auf der Geldkarte am Magnetstreifen gespeichert, und bei einem Verlust dieser, in 0 komma nix zurückgerechnet;

Foto
4

2FA + Passwortmanager

Diese Debatte ist nicht abschliessend zu führen. Meine Meinung ist klar ja. Die MEhrheit profiziert von komplexen, nicht mehrfach verwendeten Passwörtern und gleichzeitigem Einsatz von 2FA.

Hängt am Ende aber alles vom Aufwand und möglichen Schaden ab (Threadmodelling...).


Beispiel: Kommt ein Passwort irgendwie in die Hände eines Angreifers (zuschauen beim eintippen, gehackt, etc.) bleibt noch der zweite Faktor der hoffentlich an ein Gerät gebunden ist und/oder über ein anderes PW wiederhergestellt werden kann. Der Fall ist mit und ohne PW Manager zutreffend.


Im Zweifelsfall halte ich mich an dieses Chart: https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model/


2FA Anwendung bei mailbox.org


Die implementierung hier ist sehr exotisch. Banken, Versicherungen, Facebook, Twitter, YouTube, Dropbox... eigentlich alle viel benutzten Services implementieren 2FA als "Benutzername + Passwort und danach der weitere Faktor". Das kann ich meiner Mama, Freunden, etc. gut erklären: Gib bei E-Mail/Benutzername deine E-Mail ein. Gib bei Passwort dein Passwort ein. Und jetzt beim Feld 2FA/OTP/MFA die SMS, bzw. die sechs zahlen. Überall gleich.

Nur hier nicht. Hier hast du ein Passwort aus 4 Buchstaben und danach die sechs Zahlen. Ja Mama, alles ins Feld Passwort. Und ja Mama, das musst du jedesmal machen.


Die Schwierigkeit ist, dass es 1. anders ist als beim Rest und 2. jedesmal eingegeben werden muss.

Zusätzlich beisst es sich ein wenig mit der Empfehlung von Passwortmanagern. Viele führen den Login automatisch aus, was hier zu einem Fehler führt, weil nach den vier Zeichen noch die 6 Zahlen fehlen.

Die Debatte ob Passwortmanager empfehlenswert sind oder nicht sollte nicht hier geführt werden. Fakt ist, dass Sie empfohlen werden.


2FA einrichten bei mailbox.org

Nööö. Kann mir keiner sagen, dass es einfach ist. Definitv eine Hürde, die Anwender davon abhält es einzuschalten. Es gibt einen mehrseitigen Wiki dazu... Seit 4 jahren "intuitiv" xD


Ausschliesslich YubiKey

Warum wurd ausschliesslich ein Anbieter für ein physisches Token unterstützt? Warum nicht FIDO2, etc. implementieren, damit alle Anbieter (Nitrokey, Solokey, etc.) unterstützt werden?

Edit: Nitro und co werden unterstützt. Siehe Antwort von 7586310.


Naja. Das war halb strukturiert, halb informativ, halb rumgemecker... zusammen drei gute Hälften (F in Mathe xD).


PS: Und man kann per POP/IMAP immernoch alles runterladen, sobald man das eigtl. Passwort hat xD. Heisst wenn der PW Manager geknakt wird, ist der zweite Faktor wertlos... Das wovor der 2FA eigtl. schützen sollte... Alternative ist nur, den rest zu deaktivieren. Hach toll. xD

Foto
2

Laut der Knowledgebase von mailbox.org werden Nitrokeys unterstützt...


e2138ee8bb295e7eaa00c593115cc8ca

https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten

Foto
1

Und ja, FIDO2 fände ich auch sehr wünschenswert.

Foto
1

Stimmt! Habs korrigiert :-)

Foto
1

Die mailbox.org 2FA funktioniert mit Passwortmanagern (zumindest mit Keepass(XC)). Man kann das Auto-Type so einrichten, dass es User + PIN + TOTP korrekt eingibt. Ob es sinnvoll ist, das TOTP im gleichen PW-Manager wie die PIN zu speichern, muss jeder selbst wissen. Man definiert sich dadurch sozusagen ein Trusted Device.

Auch verstehe ich die Kritik bzgl. IMAP und 2FA überhaupt nicht. Es ist doch Absicht, dass ein IMAP-Client auch Mails lesen kann.


Persönlich würde ich die Möglichkeit, App-spezifische Passwörter, die nur den Zugriff auf bestimmte Protokolle (IMAP, SMTP, CalDAV/CardDAV, WebDAV) erlauben, sehr begrüßen. Ebenso ein Single-Sign-On Verfahren über SAML/OpenID o.ä., sodass z.B. auch das Forum hier vom 2FA profitieren kann und man nicht das normale Passwort nutzen muss. Dass mindestens einmal letzteres geplant ist, hat Peer Heinlein selbst ja auch schonmal hier im Forum bestätigt.

Foto
1

hat er bestätigt, aber was von dem was im laufe der Jahre angekündigt wurde ist auch tatsächlich umgesetzt worden ?

Foto
3

Bezüglich verschiedener Aussagen:


"Weiter wird nur YubiKey und keine offenen Standards unterstützt."
Nein, wir unterstützen schon seit vielen Jahren offene Standards, sowohl TOTP als auch HOTP. 2FA geht damit sowohl mit beliebigen üblichen Hardware-Tokengeneratoren, als auch mit beliebigen üblichen Software-Tokengeneratoren, z.B. auf dem Smartphone.


Die implementierung hier ist sehr exotisch.
Ja, weil wir ein Mailprovider sind und man hier eben nicht nur über ein (sehr einfach) abzusicherndes Webinterface sondern auch über native Protokolle reinkommt. wenn wir das Passwort als Bestandteil des Logins verwenden würden, dann wäre es eben kompromittiert. Das kann man machen, wenn man nur das Webinterface macht. Das darf man nicht machen, wenn weitere native Dienste wie Mail, Chat und andere sachen angeboten werden.

Kann man exotisch finden, oder auch nicht. Ist aber technisch notwendig und zu Ende gedacht. Es ist eben auch kein vergleichbarer Standardfall vergl. mit einem reinen Webportal. Äpfel und Birnen nicht vergleichen.

Und einfach OTP für native Protokolle anzubieten ist halt auch so eine Sache, wenn jede versandte E-Mail einen manuellen SMTP-Auth-Login erfordert ist das nicht jedermanns Sache. Dann ist 2FA tot, wird nicht genutzt/akzeptiert und das hilft der Sache nicht (und wir würden Haue kriegen, wie man nur glauben könnte, das so anbieten zu wollen für Laien).


Was wir ja im Prinzip gemacht haben ist, dass es neben dem eigetlichen Login-Passwort ein 2FA-Passwort gibt. Aus strategischen Gründen um es für Normaluser zu vereinfachen haben wir uns damals dazu entschieden, dies als PIN-Code auszugestalten, was wir damals als ausreichend sicher und für den Laien gut bedienbar eingeschätzt haben -- analog zu EC-Karte und PIN-Code, wo man ja übrigens auch nicht das Online-Banking-Passwort (oder vice versa) eingibt. Kann man auch klug oder doof finden, war damals aber die sehr umfangreich diskutierte und abgewogene Entscheidung.

PS: Und man kann per POP/IMAP immernoch alles runterladen, sobald man das eigtl. Passwort hat xD. Heisst wenn der PW Manager geknakt wird, ist der zweite Faktor wertlos... Das wovor der 2FA eigtl. schützen sollte... Alternative ist nur, den rest zu deaktivieren. Hach toll. xD
Richtig. Aus diesem Grunde ja wird das Passwort NICHT für den 2FA-Web-Login benutzt. Eben.


Das kann ich meiner Mama, Freunden, etc. gut erklären: Gib bei E-Mail/Benutzername deine E-Mail ein. Gib bei Passwort dein Passwort ein. Und jetzt beim Feld 2FA/OTP/MFA die SMS, bzw. die sechs zahlen.
Und dann bitte erklären: Ja, Mama. Und nun hat der Betreiber des Internetcafes im Urlaub, des Internet-Rechners in der Hotellobby, Dein Freund bei dem Du Dich mal kurz an dessen Rechner eingeloggt hast oder der studentische Hiwi vom PC-Pool von Bibliothek oder Uni Dein Passwort und kann damit viel, viel Blödsinn machen. Ja, Mama, darum ist es eine verdammt doofe Idee das Passwort an ungesicherten Rechnern eingeben zu wollen.

Bitte mal klarmachen. Grundlage der Entscheidung ist die Anforderung/Annahme gewesen, dass man sich damit auf einem fremden Rechner sicher einloggen muss. Kann man gut finden, kann man doof finden. Die einen sagen: "Das mache ich sowieso nie", die anderen sagen "prima, das will ich können müssen". Aber das ist eine Grundannahme die man trifft wenn man ein Security-Konzept erörtert. Und das führt zu Entscheidungen. Ob das jeder nachvollziehen kann, ist eine andere Frage, aber solange ich die Sicherheit der Daten meiner Kunden verantworte muss ich das entsprechend entscheiden und verantworten. Kompromittierte Passwörter sind für mich nicht akzeptabel.

Foto
1

"...analog zu EC-Karte und PIN-Code..."

und im Gegensatz zu diesen ist bei mailbox.org der PIN-Code nicht auf Ziffern begrenzt, sondern alphanumerisch möglich, ist also der erste Faktor, der auch nur für 2FA zu nutzen ist, auch noch sichererer als die PIN auf der EC-Karte.

(Ziffern, Buchstaben und letztere auch noch unterschieden in Groß- und Kleinschreibung)

Foto
1

Hallo zusammen,


ich bin Neukunde und habe eben mein Postfach angelegt. Als sicherheitsbewusster Anwender habe ich selbstverständlich sofort 2FA aktiviert und bin direkt darüber gestolpert. Ausgeloggt, wollte mich wieder einloggen und habe zuerst - bzw. mein Passwort-Manager - Benutzername und Passwort ausgefüllt. Dann bekam ich die Meldung "Benutzername oder Passwort falsch" und war erst einmal verwirrt. Erst nachdem ich den Wiki-Artikel gefunden habe habe ich gelernt, dass ich als Passwort PIN + OTP eintragen muss. Das ist absolut nicht intuitiv, funktioniert anders als bei allen anderen Anbietern und wird so leider auch nicht von meinem Passwort-Manager (1Password) unterstützt. Es macht den Login leider sehr umständlich und dürfte auf Smartphones noch komplizierter sein, da ich PIN und OTP in zwei Schritten aus dem PW-Manager kopieren muss :(

Foto
1

Die PIN als Passwort eintragen. Nachdem 1Password beide Felder ausgefüllt hat, musst du noch das Token manuell anhängen.

Foto
2

Im Ernst?


Beim einrichten der 2FA wird man IM Backend hingewiesen, die Anleitung zu lesen.

16ed507c99e49140d96c1177c23fbec1

Dann kommt man in die Knowledgebase:


7005769b624bce8eb7289d3e67b483bc


Dort wird man auf die besonderen Rubrik verwiesen, und da steht es dann haarklein:

526fc6290878399f9bbee5e19399301f


Sorry Leute, lesen müsste ihr selber!

Foto
2

Und noch ein Hinweis:


Ein ganz hervorragender, plattformübergreifender Passwortmanager ist KeePass.


Der kann tatsächlich alles.


Kostenlos.


https://keepass.info/

Foto
1

Ich werde sicherlich nicht meinen PW-Manager ändern nur für einen Dienst, wo 2FA ganz anders funktioniert als bei allen anderen Diensten, die ich nutze und die perfekt mit 1Password funktionieren. Und zum Thema lesen: Ja okay, hätte ich zuerst lesen können aber bei der OTP-Einrichtungen war selbst ich als versierter Benutzer von der Vielfalt der Einstellungsmöglichkeiten erschlagen. Außerdem habe ich diese Art der 2FA-Implementierung nicht erwartet und dachte, dass ich hier nichts lesen muss sondern dass es so ist wie bei allen anderen Anbieter ;)

Foto
2

Hallo Leute, nur mal als letzter Kommentar bevor ich meine Konten von mailbox.org in den kommenden Tagen wegziehe:

Ich habe mir diese bräsige Diskussion seit ein paar Jahren immer mal wieder angetan und bin immer wieder geschockt gewesen, wie Nutzermeinung regelmäßig von anderen Kunden und Mitarbeitern als zu doof, falsch verstanden oder "einfach mal richtig lesen!1!" abgetan wurde.

Herr Heinlein hat außerdem mit seiner herablassenden Art nicht dazu beigetragen, diese Nutzermeinungen in sachliche Diskussion und etwaige Verbesserungen zu überführen, sondern weiter Öl ins Feuer gegossen. Stattdessen wurde mobartig die berechtigte Kritik an einer Funktion kleingeredet. Ich empfand einige der Kommentare hier gerade zu an Gaslighting grenzend!

Ich vermute, dass Herr Heinlein eigentlich kein Interesse hat, auf Kundenfragen einzugehen, vor allem da es eine überwältigende Mehrheit von Diensten weltweit gibt, die 2FA nutzerfreundlicher implementiert und daher Kritik und Verbesserungswünsche über die miserable Nutzererfahrung eigentlich nachvollziehbar sein sollte. Für mich ist das alles jedenfalls recht ernüchternd, da ja Herr Heinlein in Deutschland als sowas wie ein E-Mail-Pionier und -Fachperson angesehen wird.

Herr Heinlein, schließen Sie bitte einfach diesen Thread, wenn Sie keine Verbesserungen an der mailbox.org 2FA-Funktion für notwendig halten. Das würde vielleicht den existierenden oder potentiellen Kunden helfen zu wissen, worauf sie sich einlassen.

Danke fürs Lesen und viel Erfolg noch.

Foto
3

Hallo Herr Leidel, sie sprechen ja auch mich direkt an, daher erlaube ich mir mal zu antworten.


Ja, die User müssen tatsächlich selber lesen.


Der Witz ist, dass ich auf einen User geantwortet habe, der sich wie viele andere hier beschwert, wie scheiße das hier alles ist. Er schreibt selber, dass es sehr viele Einstellmöglichkeiten bei 2FA gibt, dass er den Hinweis, die Anleitung zu lesen, zur Kenntnis genommen habe, aber er (!!!) das mit dem lesen mal sein gelassen hat.


Aber sich dann beschweren. So was mag ich. Nicht.


Kritisieren kann man alles, aber da sollte man dann schon Bescheid wissen.


Peer Heinlein hat mehrfach ganz klar erklärt, warum er das so macht, und was es damit auf sich hat.


Das hält einige hier natürlich nicht davon ab, alles zu fordern, was diese selber für das einzige oder für das Optimum halten, aggessiv einzufordern.


So geht das nicht. Ich habe bislang so einige Sachen mit mailbox geklärt. Das ging so weit, dass als ich einmal ein echtes Problem hatte, noch weit vor der Zeit des neune Supports auf meinen Hilferuf hin an einem Feiertag Peer heinlein am Telefon war und wir das Problem gelöst haben. Einfach so.


Ihre Interpretation der Dinge hier finde ich schräg, und ihre Unterstellungen Herrn heinlein gegenüber, dass er kein Interesse habe, auf Kundenfragen einzugehen, ist FALSCH.


Zum einen habe ich Ihnen gerade belegt, dass er das tut, zum anderen macht sein lange Antwort hier oben deutlich, dass er das sowieso tut.


Herr Leidel, werden sie erwachsen. Sie kriegen im Leben nicht alles, was sie wollen. Mailbox hat zur Frage 2FA sehr überzeugende Argumente geliefert, warum das zwar als Wunsch verstanden wird, aber eben aus Sicherheitserwägungen heraus NICHT umgesetzt wird,


Der einzige Kommentar, der hier unangemessen war, war zum Schluss der Ihre, Herr Leidel.


Scheinbar finden sie es ja doch so gut hier, dass sie nochmal klar machen wollen, dass man sie hier halten müsse.


Von mir aus nicht, nachdem sie mich hier blöde angesprochen haben, weil ich korrekt drauf hinweise, dass User, bevor sie sich beschweren, sich doch mal an die Regel RTFM halten sollten.


Lesen bildet.


Tschüss, Herr Leidel!

Foto
3

Herr Leidel, ich stimme ihnen 100% zu! Und an User 7586310: Erstens, warum sind sie direkt so feindselig? Zweitens hören sie bitte auf falsche Behauptungen aufzustellen! Ich habe nie behauptet, dass ich wissentlich den Hinweis ignoriert habe! Was ich sagte ist, dass ich von den Einstellungsmöglichkeiten erschlagen war und diesen Hinweis erst gar nicht gesehen habe.


Ansonsten ist mir weiterhin schleierhaft, warum diese exotische 2FA Implementierung gewählt wurde. Alle hier genannten Argumente dafür lassen sich entkräftigen: Auch für z.B. IMAP-Zugänge gibt es einen "Industriestandard" und der nennt sich App-Passwörter.


Eigentlich wollte ich mit meiner Domäne zu mailbox.org umziehen und ein deutsches Unternehmen unterstützen. Die toxische, nicht hilfsbereite Community hier lässt mich aber gerade stark daran zweifeln, ob ich das wirklich noch will.

Foto
1

So eigentlich liegen die Karten ja auf'm Tisch. Herr Heinlein hat ja gesagt was geht und was nicht . Wenn jemand was anderes möchte/braucht gibt es ja genug andere potente Provider.

Außerdem denke das wir auch nicht über die Bedürfnisse anderer urteilen sollten. Wenn jemand meint er möchte sein Postfach mit 2FA durchgängig absichern dann ist das ja ok. Er ist dann halt nur vielleicht bei mailbox.org falsch

Foto
2

Hallo Sven J. ,


da Herr Leidel mich in seinem Post falsch angeht, ich hätte etwas "abgetan", habe ich das klargestellt. Hier kommt immer wieder der Vorwurf, wie kompliziert, doof, und falsch mailbox.org was macht.


Zu oft hat sich inzwischen herausgestellt, dass die Leute sich hier lauthals beschweren, aber eben noch nicht vorher mal nachgelesen haben, wie das geht. Der Hinweis auf die Hilfetexte ist ziemlich deutlich, und sie haben ja selber geschrieben, dass sie die Infos nicht gelesen haben.


Sie bestehen weiterhin auf ihrer Sichtweise und leiten aus meiner einen Antwort ab, dass die gesamte Community hier "toxisch" sei.


Lächerlich.


Peer Heinlein hat sehr genau erklärt, warum er da was und wie implemnetiert hat. Ich bin bei mailbox.org gelandet, weil ich von IT-Sicherheitsspezialisten gehört hatte, was die Leute von Heinlein Support und von mailbox.org für Linux- und Mailprofis sind.


Seit ich hier bin, läuft über meine Mails hier kein Spam und nicht anderes böses mehr rein.


Das Sicherheitskonzept von mailbox kann man problemlos umsetzen. Und anstatt pseudosichere App-Passwörter zu fordern für die Geräte habe ich mich darum gekümmert, meine mobilen Devices abzusichern. Das Device stellt nämlich die Gefährdung dar, wenn man ein ach so sicheres App-Passwort auf einem Smartphone drauf hat, dass grundsätzlich das größte Angriffsrisiko darstellt, alleine, weil es am leichtesten geklaut werden kann.


Und siehe da, dann kann man mit den richtigen App auf dem Smartphone auf einmal gut und sicher arbeiten, auch ohne App-Passwörter.


Ich kann von jedem x-beliebigen Rechner mailen. Private Browser-Session auf, Mailadresse rein, PIN, und Yubikey, fertig. Selnbst die IT in meiner Hochsicherheits-Büroumgebung hätte damit kein Problem, weil das alles klar getrennt ist, und bei uns die privaten Sessions gekapselt werden.


Es geht, und so, wie mailbox.org das umsetzt und Peer Heinlein das erklärt hat, macht das Sinn. Man muss nur einmal nachdenken und verstehen, auf was genau er abstellt.


Nichts für Ungut, aber viele Fragen lassen sich hier gut klären. Aber sich beschweren, obwohl man die Anleitungen nciht gelesen hat, oder man zur Fraktion der "Aber ichwill das genau so, also macht das gefälligst so"-Fraktion gehört, finde ich nicht o.k. (zu ersterem) oder feindselig (zu letzterem).


Tschö.

Foto
2

Herr/Frau 7586310,


vielleicht sollten genau sie sich mal fragen, warum ich direkt den Eindruck einer toxischen Community gewonnen habe? Wenn sie von mailbox.org überzeugt sind und dementsprechend auch daran interessiert sein könnten, dass mehr Menschen diesen Dienst nutzen, sollten sie vielleicht nicht direkt so aggressiv herüberkommen. Sie haben sich z.B. die Mühe gemacht und Screenshots angefertigt, nachdem ich bereits geschrieben habe, dass ich die Hilfeseite gefunden habe und mich offensichtlich wieder einloggen konnte. Sie wollten mir also nicht helfen, sondern mich mit erhobenem Zeigefinger belehren. Danke, aber das ist nicht hilfreich.


Ich verstehe auch nicht wieso es so schwierig ist sich mal in die Lage derer zu versetzen, die mit Feedback oder Fragen zu dem Thema 2FA hier im Forum aufschlagen. Es ist nun einmal so, dass es quasi einen "Industriestandard" gibt, wie 2FA umgesetzt wird. Wenn ich diese Umsetzung nun von etlichen Diensten gewöhnt bin und es bisher nie ein Problem dargestellt hat, dann kann man dafür Verständnis zeigen und freundlich auf den Umstand bei mailbox.org hinweisen. Ich fahre seit vielen Jahrzehnten Auto und weiß, wie das funktioniert (Industriestandard). Nun steige ich in ein neues Auto ein (mailbox.org) und dort sind Gas- und Bremspedal vertauscht.


Schon alleine die Anzahl an Posts in diesem Thread zeigt doch, dass es hier immer wieder Missverständnisse und Irritationen gibt. Vielleicht gab es damals gute Gründe es so zu machen. Aber vielleicht sollte man auf Grund der Menge des Feedbacks hier mal darüber nachdenken, die Implementierung anzupassen?


Und nochmal für sie, Begriffe / Wörter wie "RTFM" oder "Lächerlich" fördern keine konfliktfreie Kommunikation.

Foto
1

Ich nutze auch seit vielen Jahren verschiedenste Webdienste, bei denen im Ergebnis JEDE Variante einer 2FA vorkommt. Von falscher 2FA über verschieden beschriftete Felder, abweichende Reihenfolgen von Passwort und Token bis hinzu FIDO2.


Ihr Beispiel stimmt nicht.


Mailbox.org hat nicht Gas und Bremse vertauscht.


Sie sehen hier wenn, dann den Unterschied zwischen Schaltung und Automatik. Und bei Automatiken gibt es auch welche mit 5 - 9 Gängen, Shiftschaltung am Schalthebel, Schaltpaddels... Soviel mal zu "Standards".


Ach ja, als ich das erste mal einen Porsche fahren durfte, war das Zündschloss auf der falschen Seite montiert. Und bei einem Saab ist das Zündschloss ganz woanders, von den Warnblinkerschaltern in den Autos mal gar nicht zu reden.


Sie merken, auf was ich hinaus will.


Und: RTFM ist eine Regel, die jeder ITler kennt. Und ihren Zweist mit mir sprachlich auf die gesamte Community hier ausgedehnt haben Sie alleine, als sie schrieben "Die toxische, nicht hilfsbereite Community..."


Und genau diese Generalisierung bezeichne ich als lächerlich. Und feindselig allen anderen Usern hier gegenüber.

Foto
3

Ich schließe mich an, dass die 2FA bei mailbox.org nicht wirklich optimal gelöst ist.

Da hilft auch das "Schönreden" oder "Rechtfertigen" aus meiner Sicht nichts.

Microsoft, Google & Co. machen vor, wie 2FA für den Benutzer logisch und sicher funktionieren kann.


Vor ein paar Monaten hat der mailbox-Support hier im Forum angekündigt, dass an einem Nachfolger der jetzigen 2FA gearbeitet wird:

https://userforum.mailbox.org/topic/5441-neue-2fa-implementierung-absehbar#comment-25489

Gibt es hierzu schon etwas Neues, und was genau können wir von dieser zukünftigen Implementierung erwarten?

Foto
1

Ich nutze Outlook ja nicht, aus Gründen.


Wie hat denn Microsoft die 2FA bei der Nutzung von IMAP gelöst? Auf dem Rechner, und auf dem Handy?


Das würde mich jetzt wirklich mal interessieren, denn das ist ja genau der Usecase, den alle hier von mailbox.org fordern.


Also, dass informiert mich mal, das interessiert mich echt.

Foto
1

Sehe ich das richtig? Wenn ich die Mail-App von Microsoft auf Android verwende, muss ich ein App-Passwort generieren, dass ich dann fest in der App eingebe?


Wenn das so ist: also nichts mit 2FA. Richtig?


Das sollte dann besser sein als die Lösung von mailbox.org? Ernsthaft?


8cdb7f9e33a73cb1736185716c5ce3f9

Foto
1

Ich verstehe nicht, warum App-Passwörter auf Smartphones ein Problem darstellen? Der Flash-Speicher ist verschlüsselt. Der Zugang zum Smartphone sollte immer mit PIN, Fingerabdruck oder ähnliches abgesichert sein. Darüberhinaus bieten einige Apps die Möglichkeit, nochmal selber mit einer PIN/Passwort abgesichert zu werden. Was sind die Bedenken?

Foto
2

@Sven J. ganz einfach, weil es mit 2FA genau nichts zu tun hat; oder betrachtet jemand die Absicherung seines PC mit UserId/Passwort als 2ten Faktor?


@7586310

"Wie hat denn Microsoft die 2FA bei der Nutzung von IMAP gelöst?"

gar nicht; und nebenbei Microsoft hat bis jetzt noch gar nix gelöst, sondern nur Probleme gemacht ;-)

@4388379 ein Schlechtreden von einer Lsg., welche man nicht verstanden hat, disqualifiziert.

(was kann die 2FA-Lsg. von mailbox.org nicht, was die 2FA-Lsg. von anderen kann?)

Foto
4

Als langjähriger Mailbox-Nutzer bin ich es leid, in meinem Umfeld für mailbox.org zu werben. Ein Punkt ist sicherlich die Sensibilisierung der Menschen im Umgang mit ihren persönlichen Daten. Um von der Erkenntnis dann ins Tun zu kommen, darf die 2FA keine Hürde darstellen. Dazu gehört auch die Integration in einen PW-Managers. Seit ich die Empfehlung für einen anderen deutschen E-Mail Provider ausspreche, ist das Tun nur der nächste Schritt nach Installation und Verwendung eines PW-Managers.

Nachdem ich nun schon seit 2 Jahren auf eine Anpassung warte und mir rückblickend diesen Thread zu Gemüte führe, bin ich auch schon mitten im Umzug zu einem anderen Provider... ciao mailbox.org

Foto
2

In z.B. Thunderbird kann ich mich in mein Postfach mit meinem Benutzernamen und normalem Passwort einloggen, einfach so!


Siehe https://kb.mailbox.org/de/privat/faq-artikel/e-mail-einrichtung-allgemein und https://kb.mailbox.org/service-desk/account-artikel/die-zwei-faktor-authentifizierung-einrichten wo steht:

Die 2FA ist nur für das Einloggen in den Webclient aktivierbar. Alle anderen Dienste wie z.B. IMAP, POP3 und SMTP mit einem einem lokalen E-Mail-Client oder Datensynchronisation via WebDAV, CalDAV und CardDAV (mit dem entsprechenden Client) unterstützen bei uns keine 2FA.

Wieso soll die Kombination aus Benutzername und selbst gewähltem Passwort sicherer sein als Benutzername plus ein vom Dienst generiertes, langes und aus zufälligen Zahlen, Buchstaben (und Sonderzeichen?) bestehendes App-Passwort?

Foto
1

@3550615

Ich weiß beim besten Willen nicht, was jetzt die Frage nach einem Passwort-Manager mit der 2FA bei Mailbox zu tun haben soll.


Den 2ten Faktor selber kannst du nur dann in einen PW-Manager integrieren, wenn der PW-Manager den 2ten faktor generiert.


Es ist das Wesen eines 2ten Faktors (...deswegen heißt der so), weil er auf einem getrennten Weg generiert wird.


Nur als Tipp: KeePass kann genau das.


Ich glaube, dass mindestens einige Leute, die sich hier immer krachend beschweren, das Konzept eines 2ten Faktors und/oder den UNterschied zwischen einem 2ten Faktor und einem sog. App-Passwort und/oder die Probleme bei der Authenisierung an einem IMAP-Postfach mittels eines 2ten Faktors einfach nicht verstanden haben.


Und wie ich oben durch kurzes recherchieren rausgefunden habe: auch Microsoft erlaubt KEINE 2FA-Authentisierung an IMAP. Wie auch?

Foto
2

@7586310

In erster Linie hat der PW-Manager natürlich nichts mit 2FA zu tun. Sorry fürs Missverständnis. Aber nur wenn ich 2FA auch einfach in den PW-Manager integrieren kann (siehe 1Password und Konsortien) wird es auch "gerne" verwendet.

Foto
1

@3550615

Das geht dann mit der Integration des 2ten Faktors, wenn dein PW-Manager den generieren kann. Das können einige, aber...

Eigentlich braucht man das nicht. Typischer Weise brauchst du den 2ten faktor ja dann, wenn du an einem fremden Rechner sitzt. Auf dem läuft dein PW-Manager nicht.


Also würdest du dann in einem Browser ein privates Fenster aufmachen, dort mailbox.org aufrufen, dann deine Mailadresse eingeben, die PIN und von deinem Passwortgenerator (z.B. Google Authenticator) die Zahl abtippen oder deinen Yubikey an den fremden Rechner stöpseln und das Token abrufen.


Ich mache das so auf fremden rechnern und auf meinem Notebook, da habe ich kein Mailprogramm mehr drauf - was nicht da ist, kann keinen Ärger machen, falls der Rechner mal geklaut wird.


Auf meinem Smartphone nutze ich Fair Email, das Handy ist verschlüsselt und wird per NFC-Yubikey entlockt, kein Finderabdruck, keine PIN.


Für mich ist es wichtiger, das Handy so zu schützen, dass für den Fall das es gestohlen wird, niemand überhaupt an die Daten kommen kann. Sehr praktisch ist da auch diese Google-Verschlüsselung, die das Handy selbst nach einem Reset absolut wertlos macht für den Dieb.


Natürlich wären App-Passwörter nett, aber auch ein App-Passwort würde nicht die Probleme lösen, wennd as Handy selber schlecht gesichert ist. Kurzum: je mobiler ein Gerät ist, desto mehr sollte man das Gerät selber sichern. Wer das Gerät nicht öffnen kann, kommt auch an keine Daten ran.

Foto
2

Bei Microsoft funktioniert die 2FA mittels Authenticator App (Push und OTP) oder SMS z.B. mit Outlook (Windows, iOS, Android) oder auch mit Apple Mail. Hierbei wird kein IMAP benutzt.

Für IMAP gibt es bei Microsoft immerhin App-Passwörter als "Krücke".


Bei Mailbox.org habe ich aber keine Möglichkeit 2FA zu verwenden, wenn ich einen Mail Client benutzen möchte.


Die teilweise doch sehr dünnhäutigen Reaktionen hier im Forum auf Kritik an der 2FA kann ich ehrlich gesagt auch nicht so ganz nachvollziehen.

Offenbar gibt es doch eine große Zahl an Kunden, denen die derzeitige Lösung aus diversen Gründen nicht gefällt/ausreicht und als sehr ungewöhnlich und nicht eingänglich empfunden wird.


Darüber hinaus arbeitet mailbox.org ja an einem Nachfolger für die derzeitige 2FA-Lösung, wie ich weiter oben schon verlinkt habe:

https://userforum.mailbox.org/topic/5441-neue-2fa-implementierung-absehbar#comment-25489

Also scheint man sich ja doch bewusst zu sein, dass die derzeitige Lösung nicht optimal ist.

Leider gibt es aber hierzu keine weiteren Infos was es mit der neuen Implementierung auf sich hat, und auch hier im Thread wird darauf bisher nicht eingegangen.

Foto
1

@4388379


"Bei Mailbox.org habe ich aber keine Möglichkeit 2FA zu verwenden, wenn ich einen Mail Client benutzen möchte."

stimmt, dafür kannst Dir den Mailclient aussuchen; offener Standard eben;

Foto
1

@ 4388379

Du schreibst hier etwas von einer Art Standard, den es gäbe, 2FA auf eine gewisse Weise einzurichten. Da finde ich das Gegenargument von 7586310, es handele sich einfach im übertragenen Sinne um einen anderen Ort für den Warnblinker im Auto und nicht um Bremse und Gas vertauscht, treffend.

Ich möchte noch einen anderen Vergleich bringen.

M$ Apple und Google schaffen es leider sehr gut zukünftige Kunden mit ihren durchaus sehr ausgereiften Produkten, was die Bedienung anbelangt, in Kontakt zu bringen.

Siehe Education Programme, auch noch in Unis. Da wird man schon als Kind in der Schule "eingenordet". Und die Lehrer bekommen die Produkte kostenlos, Schulen auch oder sehr günstig.


Damit können sie gefühlt Standards setzen.

Die Frage ist, ob wir dies als Standards anerkennen.

Es ist in meinen Augen einfach ein anderer Standard bei mailbox.org. Wenn Du als Kind schon damit gearbeitet hättest, würdest Du die anderen Produkte "komisch" finden.

Das ist so, als wenn jemand mit Messer und Gabel essen gelernt hat. Auf einmal soll er Stäbchen verwenden?!!

Diese Parabel wird auch hier im Forum deutlich. Jahrelange mailbox.org User haben sich daran gewöhnt, dass es hier ein wenig anders ist und sagen: "Macht nix!"


Natürlich hast Du Recht, wenn Du sagt, es gibt Verbesserungspotential, gerade für Neueinsteiger. Es wird gleichwohl immer eine Hürde geben, die Frage ist, wie man sie begründet. Mein Vorschlag: Mit Stäbchen essen lernt man auch nicht in einer Stunde. ;)

Foto
1

Dem kann man wohl ganz klar widersprechen. Ich kenne keine Schule die Google oder Apple einsetzt und bis auf ein paar wenige Ausnahmen auch nicht MS. Leider verbietet das deutsche Datenschutzgesetzt den Einsatz vieler sinnvoller Programme wie Teams und Office und stattdessen setzt man auf Open Source Bastellösung wie Big Blue Button für Onlinekonferenz. Da spielt es dann keine Rolle, ob die voller Bugs sind oder völlig unsicher, denn dadurch das sie Open Source sind erfüllen Sie quasi automatisch die Datenschutz Richtlinien. Was bei meinen Kinder an der Schule für ein Müll als Online Präsenz durchgeht würde jedes richtige Unternehmen innerhalb Wochen in den bankrott reiten.

Foto
1

@9719906


Von einem "Standard" habe ich doch überhaupt nichtsgeschrieben, das war dann deine Interpretation.

Ich habe lediglich darauf hingewiesen, dass Microsoft, Google & Co. funktionierende Lösungen im Angebot haben, mit denen ich 2FA auch mit einem Mailclient auf Desktop und Smartphone nutzen kann - im Gegensatz zu mailbox.org.


Deine Autovergleiche, Vergleiche mit "Essen mit Stäbchen" und Microsoft als "M$" zu schreiben, helfen an der Stelle ehrlich gesagt keinem User hier auch nur ein bisschen weiter, was ihre Kritik an der jetzigen 2FA-Implementierung angeht.


Schön wäre es eben, eine entsprechende Lösung angeboten zu bekommen, und wenn es nur die Kombination aus IMAP + App-Kennwörter ist, wie bei vielen anderen Anbietern.

Foto
1

@Stephan

Open Source ist der Wunschzustand aber nicht Realität. Die meisten Behörden, inklusive der Schulen, verwenden die üblichen Verdächtigen. Da müssen erst mal ein paar Eltern aufwachen und die Schule verklagen. Bei Behörden wie Finanzamt und Strafverfolgung kannst du leider gar nichts ausrichten.

Foto
1

@Stephan: interessant. Ich empfinde es eher andersrum. Ich habe zwar derzeit eher den Einblick, was an Unis und Hochschulen verwendet wird, aber im Prinzip macht das nicht so viel aus. Was da eingesetzt wird, da wird einem schlecht. Positive Ausnahmen (z.B. TU Chemnitz) gibt es aber auch. Auch der Seitenhieb gegen BigBlueButton ist lächerlich, funktioniert es doch sehr gut, wenn man es richtig macht (z.B. CLT2021). So, nun zurück zum eigentlichen Thema.

@ 4388379: Ein einmaliger OAuth-Login wie z.B. bei Google hat auch keinen Vorteil ggü. einem eingeschränktem App-Passwort (Einschränkung auf bestimmte Protokolle). ich betrachte das auch nicht als 2FA. Fakt ist, dass auf Mail-Clients auf Handy ein 2FA wenig Sinn macht (außer man möchte jedes Mal ein Token eingeben o.ä.).

Aus meiner Sicht würde ich mich auf drei Dinge freuen:

  • Einführung von Keycloak oder Alternativen, Umbau der 2FA
  • App-Passwörter für bestimmte Protokolle (Bonus: read-only). Ich weiß, dass insbesondere letzteres eher schwierig ist.
  • Möglichkeit, den Account-Recovery-Prozess besser zu steuern

Ich denke, mit der Umsetzung dieser Punkte wären auch die meisten Kritikpunkte hier in diesem Thread hinfällig. Dass dies nicht mal eben so möglich ist und einige Abwägungen seiteins mailbox.org, ist mir aber auch klar. Peer Heinlein hat bereits einmal geschrieben, dass sich bei mailbox.org alle Dienste intern gegenseitig authentifizieren.

Foto
1

@lufer "Auch der Seitenhieb gegen BigBlueButton ist lächerlich, funktioniert es doch sehr gut, wenn man es richtig macht (z.B. CLT2021)."

Hier nur mal ein Beispiel der eklatanten Sicherheitslücken in BBB. Nach elend langer Diskussion nach knapp einem halbe Jahr gefixt. Das sollte sich MS leisten dann wär hier mal wieder Alarm. Aber Open Source lässt mal alles durchgehen...

https://github.com/bigbluebutton/bigbluebutton/issues/8951

Foto
1

MS und sicher? Das habe ich noch nie in einem Satz gehört. 🤣

Der Chefprogrammierer schrieb mal öffentlich: „Wir verkaufen die Software wenn sie im Alpha oder Beta Stadium ist. Die Leuten kaufen es doch trotzdem! Die Bugs kann man später beseitigen - oder auch nicht.“

Foto
1

@4388379

"Schön wäre es eben, eine entsprechende Lösung angeboten zu bekommen, und wenn es nur die Kombination aus IMAP + App-Kennwörter ist, wie bei vielen anderen Anbietern."

dann nimm doch die App von anderen Anbietern ...

es sei Dir ja völlig frei, welchen IMAP-client Du verwendest ...

Foto
1

So funktionieren App-Kennwörter nicht. Eine andere App ändert nichts.

Allerdings sind App-Kennwörter nur ein Notbehelf und relativ sinnlos. Wenn man eine App nicht unter kompletter Kontrolle hat, wie bei Spark oder Outlook, dann sollte man ihr besser kein Kennwort anvertrauen.

Foto
1

@Stephan: Okay, das ist wirklich heftig. Wirft für mich tatsächlich Fragezeichen auf das ganze Projekt und das Sicherheitsbewusstsein der Entwickler. Nichtsdestotrotz sind die Sicherheitslücken bei MS aber auch nicht besser mit den ganzen Exchange-Bugs und dem erst kürzlichen RDP-Fail.

@4030395M: Da stimmt ich zu. App-Kennwörter sind keine Allheilslösung, aber machen trotzdem Sinn.

Foto
1

Stimmt. Kann sinnvoll sein, wenn man einer Anwendung den Zugriff wieder entziehen will. MBO nutze ich aber für wichtige Mails und die vertraue ich keiner unsicheren App an.

Auch ist 2FA nett, falls man mal fremde Computer nutzen will aber in Zeiten von mobilem Internet sollte sowas eigentlich überflüssig geworden sein. Falls man das doch braucht, hilft die Implementierung von MBO ja trotzdem. Noch besser - Yubikeys verwenden.

Foto
Foto
1

-- Kommentar von mir gelöscht, da versehentlich an falscher Stelle geposted.

Foto
2

Ich denke, es würde die Diskussion weiter bringen, wenn wir über konkrete Bedrohungsszenarien sprechen und wie 2FA dabei helfen kann. Das gängigste Szenario ist sicherlich, dass jemand mein Passwort herausfindet und sich damit versucht über die Weboberfläche oder IMAP einzuloggen. Wenn ich 2FA einsetze und kein App-Passwort für IMAP generiert habe, dann sollte mich 2FA hiervor schützen.

Wenn ich für IMAP ein App-Passwort generiert habe und jemand dieses Passwort herausfindet, dann schützt mich 2FA nicht mehr. Auch, wenn App Passwörter die 2FA umgehen, so werden sie oft nur einmal in ein Programm eingegeben und nicht nochmal extra irgendwo gespeichert. D.h. ich glaube die Gefahr das jemand mein Standard-Passwort herausfindet ist vermutlich höher als die für ein App-Passwort, weil ich mein Standard-Passwort unter Umständen auf einem fremden Rechner eingebe, der kompromittiert ist. Ein App-Passwort gebe ich nur einmal auf meinem eigenen Rechner oder Handy ein. Auch der kann natürlich kompromittiert sein, aber ich habe doch wesentlich mehr Kontrolle als über einen fremden Rechner.

Zudem kann ich App-Passwörter jeder Zeit wieder löschen ohne den gesamten Zugriff auf mein Postfach zu verlieren. App-Passwörter funktionieren zudem nur bei IMAP und können nicht dazu verwendet werden über die Weboberfläche in meinen Account einzuloggen. Von daher würde ich nicht sagen das die Möglichkeit von App-Passwörtern nicht die gesamte 2FA unnütz macht.

Ein Feature das ich für besonders Hilfreich halte ist die Benachrichtigung über SMS wenn jemand sich zum ersten Mal von einem neuen Gerät anmeldet. Es scheint so das mailbox mit der Anzeige der aktiven Clients auch schon teilweise unterstützt. Was jetzt noch fehlt ist die automatische Benachrichtigung per SMS. Vielleicht ist das ja ein Kompromiss mit dem alle Seite leben können.


Schöne Grüße

Stephan

Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen