Warum ist die Zwei-Faktor-Authentifizierung so unglaublich umständlich und verwirrend aufgebaut?

Aaah, jetzt erst begreife ich den Nutzen der PIN+OTP Variante.

Im wiki steht dazu exakt ein Satz drin.

1. Wenn Sie sich im Webinterface mit Ihrer PIN (1. Faktor: Wissen) und OTP-Token (2. Faktor: Besitz) authentifizieren wollen, dann müssen Sie im Passwortfeld als erstes die 4-stellige PIN und dahinter ohne Leerzeichen das One-Time-Passwort von Ihrem OTP-Generator eingeben.

Kein einziges Warum/Vorteile/Nachteile/Alternativen oder sonstige Gründe für das Abweichen vom Standard, den alle anderen Anbietern folgen.

Ja, dein beschriebener Use Case ist echt clever. Sollte genau so im Wiki-Artikel stehen. Da steht aber nur der eine Satz drin… der Rest besteht aus einer langen Auflistung, was alles nicht mehr funktioniert, wenn man 2FA aktiviert :/

Selbst nutzen würde ich das aber wahrscheinlich nicht. Von Systemen in Feindeshand (aka Verwandte, Kunden, InternetCafe etc) logge ich mich eh nie auf gmail&co ein. Und unterwegs habe ich praktisch immer mein Smartphone dabei :)

Gefühlt ist das ganze 2FA-Thema bei mailbox.org arg unrund und sieht wie an allen Ecken dran gebastelt aus. Wenn ich mir den Aufbau bei z.B. fastmail.com anschaue, dann sehe ich das:

Klar, übersichtlich und aussagekräftig.

Man hat etwas weniger Auswahl, aber weniger Auswahl reduziert auch die Fehlerquellen.

Dort ist TOTP per App Standard, wer mehr braucht, benutzt einen YubiKey (ist bei Google, MS, AWS, github genauso).

App-Kennwörter sind extrem übersichtlich und einfach zu erstellen. Sämtliche Dokumentation zu "Wie richte ich das auf Windows Mail / Apple Mail / Android", zeigt immer klar erläutert auf App-Kennwörter. Auf keinen Fall führt eine Aktivierung von 2FA zu eingeschränkter Funktionalität!

Danke nochmal für die Erläuterung des PIN+OTP Modus, erst nach deinem Kommentar hats klack gemacht. Ich bin nur nicht sicher, ob der kleine Mehrwert den deutlich höheren mentalen Aufwand des Umlernens rechtfertigt. Es ist schon schwer genug, alle Nutzer für Sicherheit zu sensibilisieren. Dann haben die das mal verstanden, nutzen Passwortmanager und 2FA Apps, und dann kommt ein Dienst wie mailbox daher, der einfach quer schießt und noch nicht mal erklärt, warum er das tut. Von der grauenhaften Usability der Konfigurationsseite ganz zu schweigen.

Freut mich, dass du jetzt besser informiert bist :)

Der OTP Bereich bei mailbox.org ist ein gutes Beispiel dafür, dass hier halt in erster Linie teschnische Experten in der Entwicklung sitzen und erst in zweiter (oder dritter) UI Design Experten. Technisch finde ich zwei Faktor Authentifizierung bei mailbox.org am besten Umgesetetzt von allen Email Anbietern, bei denen Ich bisher war! Viele machen halt den oben angesprochenen Fehler als Passwort das gleiche PW zu verlangen, welches auch IMAP Zugang (dann ohne 2FA) bietet.

Die Einschränkungen von 2FA bei mailbox.org kommen einfach daher, dass im Backend wohl viele Daten mit deinem PW verschlüsselt sind. Das ist dann bei einloggen mit PIN&OTP natürlich ein Problem. Spricht meiner Einschätzung nach aber eher für mailbox.org, weil es einfach die durchgehende Verschlüsselung bestätigt. Man kann halt nicht alles haben!

Wenn ein Anbieter einfach nur in seine Anmeldemaske ein Feld fürs OTP knallt, ohne sich Gedanken über die Angriffszenarien zu machen oder in der Folge alle Daten unverschlüsselt abspeichert, dann ist das für mich eher eine Schwäche als ein Vorteil.

Die Usability kann man auf jeden Fall anpassen, man sollte dabei aber nicht die Funktion beschneiden. In deinem Fall klingt es so, als ob du von 2FA nicht wirklich profitierst. 2FA ist in erster Linie ein Schutzt gegen Keylogger/Man in the Middle/Phishing Angriffe. Wenn du dich eh nur von Zuhause einloggst und einen Passwortmanager mit starkem Passwort benutzt bist du davor schon so sehr gut abgesichert.

Cooler Link, danke dafür.

Für mich läuft es auf folgendes raus:

Wenn klassisches 2FA aktiv ist (Passwort + OTP), und es gibt Auth-Kanäle, die kein 2FA unterstützen (klassischer IMAP/SMTP-Stack), dann darf für diese Kanäle das normale Passwort nicht mehr erlaubt sein. Ergo ist eine konsequente Nutzung von anwendungsspezifischen Passwörtern angebracht (so macht es Google).

Eine vollständige Deaktivierung des Zugriffs auf IMAP/SMTP ist sicherlich möglich, wenn auch (mobil) sehr umständlich. Die einen lösen das dann mit einem eigenen Protokoll (z.B. Google, ProtonMail --> extra App notwendig), die anderen mit individuellen App-Kennwörtern, die immerhin den Schaden auf ein Gerät beschränken. Dumm nur, dass eben diese eine Kompromitierung langt, um direkten Zugriff auf alle Mails und Kontakte zu bekommen. Eine Zwickmühle, die mit dem altbekannten IMAP/SMTP wahrscheinlich schwer zu lösen ist :/

Ich finde das Vorhehen der Kollegen von Posteo hier schlichtweg skandalös und unverantwortbar. Wenn Nutzer gar nicht darüber aufgeklärt werden, daß sie hier Ihr Passwort exponieren, ja, wenn gerade im Vertrauen auf das 2F-Auth hier ggf. sogar geradezu ein sorgloser Umgang stattfindet, dann werden die eigenen Nutzer grob fahrlässig bis vorsätzlich gefährdet. Das kann und darf ein solcher Anbieter nicht machen.

Aber wir kennen das auch aus anderen Bereichen. Posteo hat unseren erzwungenen SSL-Versand versucht zu kopieren, also, was wir mit unseren @secure.mailbox.org-Adressen erreicht haben.

Was Posteo den Nutzern aber konsequent verschweigt: Posteo kann nirgendwo den EMPFANG der Mails per SSL sicherstellen. Und was nützt der erzwungene Versand einer Mail per SSL wenn die Antwort (mit zitierter Orginalmail?) wenige Minuten später ggf. im Klartext zurückgesandt wird?

Auch an weiteren Stellen zeigt sich der Geist, der dahinter steht. Zu Zeiten, wo SSLv3 schon lange als "darf man nicht mehr einsetzen" gebrochen war, hat Posteo noch SSLv3 angeboten, eine ganze Zeitlang sogar inklusive Heartbleed und anderen Downgrade-Bugs, obwohl diese schon wochenlang die Welt in Aufruhr versetzt haben. Sie gaukeln ein tolles SSL vor, das in Wirklichkeit nur als unsicher und gebrochen gebrandmarkt werden muß.

Usern wird hier immer wieder ein Feature und eine Sicherheit vorgegaukelt, die so ganz offensichtlich und keinesfalls gegeben ist. Und die größte Gefährdung ist stets die Nachlässigkeit aufgrund gefühlter (falscher) Sicherheit.

Das ist doch überhaupt nicht akzeptabel. Das kann man doch so auf gar keinen Fall machen! Posteo gefährdet bewußt seine Nutzer und führt sie in die Irre.

Interessanter Kommentar. Viel Klartext und nicht nur schöne heile Welt.

Keine Frage, 2FA muss durchgehend sauber in der Umgebung integriert sein. Wird hier geschlampt, schwächt das die ganze Sicherheitskette. Wenn User dank 2FA implizit von einem höheren Schutzniveau ausgehen, als tatsächlich geboten wird, kann das fatale Folgen haben.

Das ist soweit richtig, da stimme ich zu. Wir blenden an dieser Stelle die Verwaltungssoftware des OTP-Servers ein. Das sind keine Webseiten von uns. Im möglichen Rahmen haben wir die bereits minimalisiert und aufgeräumt, aber so "ganz grundsätzlich" andere Webseiten sind da nicht oder nicht einfach möglich.

Uns ging es damals auch durchaus darum, dass überhaupt erstmal an den Start zu bringen und für ein tiefergehendes umprogrammieren in der OTP-Software war keine Zeit.

Aber ich nehme das gerne mit auf und wir werden das bei Gelegenheit erneut anschauen, wie wir das grundsätzlich anders gestalten können. Durch die Einführung von U2F kann sich das da eh auch alles nochmal auf eine andere Software ändern.

Wenn die Implementierung schon so aufwändig war, ist gute Dokumentation unverzichtbar.

Ich kann damit Leben, extra Hürden beim Einrichten zu überwinden, aber dann muss mich die Dokumentation auch klar anleiten, was ich zu tun habe.

Vor allem, wenn es stark vom Standard anderer großer (Cloud-)Anbieter abweicht.

Ich hätte erwartet:

• Wie funktioniert es?
• Wodurch unterscheidet es sich von ähnlichen Systemen?
• Was muss ich machen? Auf meinem iphone? Auf meinem android?
  
• Wie kann ich prüfen, ob das funktioniert?
• Wie bediene ich diese (englische) Oberfläche? Ich kann Englisch, aber genügend andere nicht.

In meiner Firma beziehen wir für Usability-Tests gerne mal die nichttechnischen Mitarbeiter ein. Wenn die ein Feature nicht zum laufen bekommen (mit oder ohne Doku), dann ist das ein ernster Hinweis, dass dieses Feature von Kunden auch nicht verstanden wird. Und welche Firma möchte schon unnötigen Support-Aufwand verursachen?.

2F ist von OX gewollt und OX arbeitet an einem Authentication-Service. U.a. in enger Zusammenarbeit und aufgrund der Erfahrung mit uns.

Die Aussage, daß das von OX nicht gewollt ist, hat keine Substanz und ist nicht richtig.

Für die Behandlung von externen Accounts haben wir einen Lösungsansatz, den wir allerdings ausprobieren müssen. Das ist etwas heikel und dafür war die letzten 2 Monate keine Ruhe, da wir dafür ein größeres Testsetup aufbauen müssen, weil wir nicht riskieren wollen, diese Daten bei einer Umstellung zu verlieren. Aber ich bin frohen Mutes dass das funktionieren könnte und dass das Problem dann schnell gelöst sein könnte.

(Externe Zugangsdaten wurden von OX immer mit dem Userpasswort verschlüsselt. Insofern ja eine sehr tolle Sicherheit. Nur bei OTP eben "zuviel und zu gut".

Wenn fastmail sich das "leichter" macht dann ggf. dadurch, daß auf diesen Schutz eben verzichtet wird. Wir haben jetzt aber eine Idee für einen Weg wie wir die Zugangsdaten zwar verschlüsseln können, dafür aber nicht auf das (bei OTP sich ständig wechselnde) Userpasswort zurückgreifen müssen.)

Kann man denn schon ca. absehen, wann es soweit ist ?

2FA wird laut einer Präsentation (PDF) von Open-Xchange 7.10 unterstützt werden.

da is nix unrund, man muss es nur verstehen

Doch, leider ja. Mit der "Anleitung" (ich würde es nicht so nennen) hat man keine Chance dieses 2FA wirklich gut und schnell schonmal gar nicht zu verstehen. Dass es anders als von Google, Dropbox,.. gewohnt funktioniert und diese "Anleitung" wird dazu führen, dass die Leute es nicht aktivieren. Zudem kommt nach Aktivierung bei mir immer der Hinweis, dass der Zugriff nicht funktioniert und ich mich wieder neu anmelden muss. Dann läuft es erstmal wieder. Da wurde schnell versucht 2FA zu implementieren und dann nie richtig gemacht. Das erinnert stark an z.B. Apple die bei alten Betriebssytemversionen bei 2FA den Token dann beim 2. Login versuch erwarten. Anders als mailbox.org hat Apple das aber in den neuen Versionen dann gefixt.

Ich kann die von dir geäußerte Kritik überhaupt nicht nachvollziehen.

Die Anleitung ist selbsterklärend und absolut klar umzusetzen: https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten

Ich abe es genutzt und werde es nach einigen Umbauten an meinen eingebundenen Konten wieder benutzen, es hat auf Win 10 absolut Fehlerfrei funktioniert.

Liegt bzw. sitzt der Fehler vielleicht vor dem Rechner?

Also ich bin in die gleiche Falle wie die kritischen Vorredner gerannt.

1. Hürde: Bei mir funktionierte mit Authy die Akzeptanz des generierten Token nicht. Weder mit abfotografieren noch mit manueller Eingabe. Ich musste googeln, bis ich festgestellt habe, dass ich den Token Type von "ereignisbasiert" auf "zeitbasiert" stellen muss.

2. Hürde Ich konnte mich danach nicht mehr anmelden. Ich habe in der Doku den Hinweis zum Passwort schlicht überlesen (Kann man den Satz nicht irgendwie als wichtige Info hervorheben?). Auch hier hat Google geholfen.

Ich habe 15 Token von unterschiedlichen Anbietern und keiner hat die Anmeldung so gelöst. Ich fände es auch einfacher, wenn mailbox.org im Frontend aus dem Usernamen und Password einen Hash bildet und auf dem Server dann nachsieht, ob 2FA aktiviert ist und bei Bedarf den Token abfragt. Da ich KeypassXC ohne Yubikey benutze, ist der jetzige Eingabemodus nicht sehr smooth für mich.

Die allgemeine Kritik ist m. E. berechtigt und einen Kritiker als Fehler zu bezeichnen ist - mit Verlaub - unter aller Sau.

Ich hoffe inständig, dass man NIEMALS eine 2FA-Anmeldung speichern kann. Nirgendwo. In deinem Usecase solltest du 2FA abschalten. Es geht nämlich nicht so wie du willst.

2FA speichern geht bei allen großen Anbietern.

Google Amazon Facebook usw. beim ersten einloggen muss ich das per Handy bestätigen .... kann beim Browser den Haken bei Vertrauenswürdig setzen und dann kommt die 2FA nicht mehr.

Was??? Wenn du den zweiten Faktor bei einer erneuten Anmeldung nicht wieder eingeben musst, läuft da mächtig was schief. Es ist das Wesen eine zweiten Faktors, dass er immer wieder eingegeben werden muss.

Selbst wenn man ihn speichern kann, sollte man genau das nicht tun.

Und 2 Usewr, die mittels eigener Authenticatoren parallel einen LogIn wollen, würde ich technisch auch verhindern wollen. Sowas kann nur schiefgehen.

Legt euch 2 Accounts innerhalb eines Family-Accounts hier bei mailbox.org zu, und gebt euch die betreffenden Ordner gegenseiti frei. Alles andere ist Murks.

mailbox.org steckt halt in der Nische der Computer Nerds fest. Tolle Technik, furchtbares Interface und nervig zu bedienen.

Wenn man das kritisiert: Ist doch alles ganz logisch du DAU.

Da ich nur für Wegwerf-Adressen in das Interface muss reicht es für mich aus. In meinem weniger technikaffinen Bekanntenkreis scheitern aber viele daran.

Falls du mich damit meinst, kritisierst du den falschen.

Die 2FA ist bei mailbox nachvollziehbar beschrieben, und einfach einzurichten. In dem Posts, auf die ich geantwortet habe, wird beschrieben / gefordert, dass man für eine 2FA-Anmeldung den 2. Faktor speichern möchte, oder man sich gleichzeitig mit 2FA von 2 Rechnern einwählen können möchte, dann wohl der eine mit, der andere ohne 2FA.

Da hat der Ausgangsposter ganz eindeutig - trotz guter Beschreibung von 2FA - überhaupt nicht kapiert, wofür 2FA da ist.

Falls es einen Anbieter gibt, der angeblich den Inhalt des 2. Faktors für den LogIn SPEICHERT, würde ich gerne wissen, wer das sein sollm damit ich diesen Anbieter ab sofort meiden kann.

Das feste speichern des 2. Faktors wäre nach meinem Verständnis ein schwerer Bruch der 2FA-Sicherheit.

Unterstelle also denen, die hier wie ich sachlich darauf hinweisen, dass an den Ausgangsposts was nicht stimmt, eben gerade nicht, dass ich andere beschimpfe.

Nein, ich meine nicht explizit dich.

Du schreibst:"nachvollziehbar beschrieben." Das ist halt Ansichtssache was nachvollziehbar beschrieben ist.

Die nächste Frage wäre warum mailbox.org nicht eine 2FA nutzt wie alle anderen Anbieter dieser Möglichkeit. EDIT: Oder wenigstens die gängige 2FA als Alternative anbietet.

Was ist das denn bei z.b Amazon wenn ich für das Einloggen eine SMS bekomme mit einem Code den ich eingeben muss. Hier kann ich einen Haken setzten das dieser Browser vertrauenswürdig ist. Gehe ich zum zweiten Rechner mache ich das gleiche und auf beiden Rechnern bleibe ich eingeloggt.

Ist das keine 2FA?

Mir geht es ja darum das jemand, der mein Passwort doch raus bekommt nicht einfach hier rein kommt ....

Für mich ist das keine 2FA. Die wird bei Amazon so aktiviert:

https://www.netzwelt.de/anleitung/173002-amazon-so-schuetzt-konto-zwei-schritt-verifizierung.html

@8115578: mailbox bietet viel mehr 2FA-optionen als so mancher andere Anbieter.

Siehe hier: https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten

Ja, SMS sind unsicher, aber selbst, die von dir zitierte, Art und Weise wird bei mailbox.org nicht angeboten.

Könnte den Code bei Amazon aber auch über Free OTP generieren ohne SMS.

genau mit der selben App nutz ich die 2FA von mailbox.org

auch von PayPal, Amazon, ...

Wie kann man das im Jahr 2021/22 so dermaßen verkacken... Ist mir echt schleierhaft. Ich bin auch Entwickler und habe sowas dilettantisches im Bereich UX und Dokumentation noch nicht gesehen. Sorry Jungs aber ein Feld in dem ich Passwort und 2fa gleichzeitig rein schreiben muss das braucht schon auch viel Talent es sich so auszudenken :D.

Es ist ja nicht so als wäre der Standard nicht auch bei zig anderen Plattformen richtig integriert.

Die Doku ist fast so schlimm wie die Docker man ...

Aber was noch fast besser ist das der Inhaber oder wer auch immer in seinem Namen schreibt einfach keine Kritik verkraftet. Das es die perfekte und absolut bugfreie Software nicht gibt ist glaube ich jedem klar, aber dann keine Antwort oder eine Antwort in Form von "ist uns doch egal wir machen alles richtig" kommt finde ich absolut inakzeptabel.

Also liebe Entwickler / PO / Inhaber nehmt die Kommentare ernst und fühlt euch nicht bei jeder Kritik auf den Schlips getreten...

2FA super!

2FA UX -> mist

Ich muss meinen Vorrednern hier leider absolut zustimmen. Die Umsetzung der 2FA von UX ist für 2021/22 definitiv nicht zeitgemäß. Ich habe bei sämtlichen Portalen, wo es möglich ist, eine 2FA aktiviert, außer bei meinem Mailbox Account. Wenn ich mir die Doku dafür anschaue, wirkt das Ganze eher nach einer Bastellösung, als einer ausgereiften Technik. Ein Feld für Passwort und Token, die man dann hintereinander schreiben muss. Wer denkt sich denn sowas aus?

Ich würde Mailbox.org gerne an meine Familie weiterempfehlen, aber gerade bei meinen Eltern, die gerne mal jeden Link anklicken und ihre Passwörter häufig auf Notizzetteln neben den Bildschirm kleben, ist eine 2FA enorm wichtig. Eine so komplizierte 2FA würden die niemals verstehen.

@5812682 ein Blick über den Tellerrand hätte Dir verraten, dass

"aber ein Feld in dem ich Passwort und 2fa gleichzeitig rein schreiben muss das braucht schon auch viel Talent es sich so auszudenken :D."

eigentlich state of the art ist; gab lange Zeit sogar Banken die das gemacht haben; sprich der gesamte TAN bestand aus ein paar geheimen Ziffern die nur Du kanntest und dem was der Generator anzeigte;

das gab es schon da hatte es die RFC f. OTP noch gar nicht gegeben ...

@Andre betrachtest es denn als ausgereift, dass man zwischen der Passworteingabe und der Eingabe des 2ten Faktors Captchas lösen muss; auch das habe ich schon gesehen ...

Ich benutze anscheinend nur unasgereifte Software wie es scheint bzw die Mehrheit die hier bzgl ux Mängel angeben. Ist mir schon klar das es Banken auch so gamcht haben oder immer noch machen, heißt aber im Umkehrschluss nicht das es deswegen gut ist. Weil es egal ist wann das Passwort zusammensteckt wird. Für den Nutzer ist es halt viel einfacher zuerst seinen uname dann sein Passwort und als drittes sein otp einzugeben. Nur in das geht's

Auch wenn sie vielerlei otp anbieten bedeutet das halt auch nicht zwingend das es deswegen besser ist. Im Lokal ist die Wahrscheinlichkeit auch höher dass das Essen qualitativ hochwertiger ist wenn weniger auf der Karte steht

@5812682 Du weißt aber schon, dass sich die Sicherheit in Summe genau um nichts erhöht, ob man das ganze in 2 Etappen und hier womöglich mit einem Passwort Safe arbeitet od. auf einmal eingibt;

im Gegenteil: die Gesamtsicherheit ist sogar besser, wenn man den 2ten Faktor in einem Rutsch gleich mit dazu eingibt;

zumal es Fakt ist, dass in den 1980er und 90er als es noch deutlich weniger PKWs gab, diese aber in einem merklich schlechteren Zustand waren als heute; soviel zu Deinem Vergleich mit Speisekarten;

ein Unfall auf Grund eines technischen Gebrechens ist heute ausgeschlossen; damals aber nicht; heute ist die Ursache Nummer 1: Selbstüberschätzung und dessen Folgen wie Raserei, ...

Ich benutze den von mailbox.org ausgelieferten Yubikey. Der wird ja gegen den Server von mailbox.org validiert.

Von daher finde ich es sowohl einfacher, als auch konsequent, dass man erst die PIN, und dann den 2. Faktor in das gleiche Feld eingibt.

Und noch eines: du schreibst, dass erst Username, dann Passwort, und dann 2. Faktor eingegeben werden.

Das ist bei mi so nicht. Ich gebe meinen Usernamen ein, meine PIN, und tippe auf meinen Yubikey. Fertig.

Und: ich kenne Lokale, da gibt es nur Döner. Einige Lokale sind echt gut, andere so gar nicht.

Nabend,

ich finde die Umsetzung von 2 FA okay. Ja, es ist anders als bei anderen Diensten, aber wir sind doch wohl auch hier Kunde weil wir anders sind als der "normale" User von anderen Maildiensten.

Mir fehlt nur die Funktion des Anwendungskennwortes z.B. für Thunderbird und Co.. Das hat z.B. Google ganz nett gelöst und erhöht so, aus meiner Sicht, die Sicherheit nochmal.

Ach ja, und nicht nur Mailbox.org hat die Variante bei der man den OTP direkt mit ins Kennwortfeld eingibt. Wer sich per VPN über eine Sophos mit einem Netzwerk verbindet muss ebenfalls sein Kennwort & den OTP Code in eine Zeile bei der Anmeldung eingeben.

An für sich würde es mich schon locker reichen, wenn ich dem Browser zu Hause vertrauen könnte und ich in dem angemeldet bleibe. Zusätzlich wäre noch nett, wenn man sehen könnte wo man noch überall angemeldet ist...

Wenn du deinem Rechner zu Hause nicht vertrauen kannst, ist dein Problem nicht die 2FA, sondern etwas ganz anderes.

Und wenn du nicht weißt, wo du dich mit welchem Gerät wohin eingeloggt hast, ist dein Problem noch größer, hat aber auch nichts mit 2FA zu tun.

@7586310 er meint das anders; er würde gerne seinem Browser zu Hause vertrauen, um damit an einer 2ten Stelle sich noch einmal anmelden zu können;

seit der PSD2-Richtlinie kannst Du Dich im Elextronic Banking auch nur noch mit einem 2ten Faktor anmelden; meist is es ein pushTAN - Banken haben es genützt die unsicheren und auch teuren SMS abzuschaffen;

und hier kannst Du Dich sehr wohl mehrmals anmelden (über verschiedene Browser); ich will jetzt nicht hören, dass sowas sinnlos wäre, oder es dafür keinen Use case gäbe;

einfach ein wenig Phantasie und Dir ist klar, dass es sehr wohl Sinn machen kann;

so ist es Walter.

Insbesondere könnte man so auch feststellen, wenn sich jemand unbefugtes in den Account einloggt.

Wobei ich muss hier schon sagen, dass diese Geschichte, nur eine Verbindung haben zu können etwas nervt;

habe ich mich zu Hause auf meinem PC angemeldet, und 'vergesse' mich abzumelden,

und will mich in der Arbeit anmelden, dann muss ich mich erstmal anmelden um mch wieder abzumelden,

und dann kann ich mich erst richtig anmelden;

Wenn du unter "Einstellungen > Sicherheit" das automatische ausloggen nicht abgeschaltet hast, sollte sich die Session auf dem Browser zu Hause von alleine beenden.

Wenn du zu Hause deinem rechern eh vertraust, kannst du genau so gut ein Mailprogramm benutzen, das du laufen lassen kannst, und dich bei der Arbeit via INternet und 2FA anmelden.

Es gibt für jedes Szenario einen Usecase. Aber gerade in Betracht von 2FA finde ich es schräg, die Sicherheit des Logins durch ein permanentes eingeloggt sein auszuhöhlen, um mit mehreren Geräten gleichzeitig eingeloggt zu sein.

Ich komme gut mit dem klar, was mailbox hier technisch umsetzt.

Das heißt ja aber auch, das wenn ich mich nur von zuhause einlogge die 2FA keinen Vorteil bietet ?

Aus meiner Sicht nicht. Ich benutze auf meinem Home-Rechner Thunderbird. Thunderbird ist mit einem Passwort gesichert, die Mail-Datenbank wird damit verschlüsselt. Mailbox habe ich so eingestellt, dass, wenn ich den Dienst über den Browser aufrufe, ich mich mit 2FA einlogge.

Ich betrachte meinen Rechner zu Hause "als sicher" - mir ist klar, dass man das anders sehen kann, aber...

Auf meinem Handy nutze ich FairEmail, und das Handy selber entriegle ich mit einem Yubikey.

Wenn man den Rechner zu Hause sicher machen will, muss man über Linux nachdenken, und ggf. auch die Platte z.B. mit VeraCrypt verschlüsseln.

Ich bin aber nur ein normaler User, Leute, die sich mit dem Thema Sicherheit oder Kryptographie auskennen, werden das wahrscheinlich anders sehen, aber so schlau bin ich nicht...

Bei Thunderbird hast du etwas falsch verstanden. Das Passwort verschlüsselt die Mails nicht. Das sichert nur die Passwörter, für die Verschlüsselungszertifikate (angeblich). Deine Mails kannst du alle auf der Festplatte finden und mit jedem Editor lesen, solange sie nicht einzeln Verschlüsselt wurden.

Rechner zu Hause sichern, nur mit Linux? Also die Festplatte verschlüsseln geht mit jedem Betriebssystem. Das Windows dafür eine schlechte Wahl ist, würde ich auch sagen aber das ist ein anderes Thema. Aber warum MS Geld für eine Pro Version nachschmeissen, wenn es kostenlos sogar besser geht?

Wenn du sogar für ein Telefon einen Yubikey verwendest, dann scheinst du ein grosses Sicherheitsbedürfnis zu haben, das sich mit 2FA und Windows nicht so einfach lösen lässt.

Stimmt, da habe ich mit dem PW unter Thunderbrid was falsch erinnert. Das PW verhindert aber zuverlässig den unbefugten Start. Danke für deine Klarstellung.

Klar, das Festplatten verschlüsseln mit jedem System geht, Linux hat halt sein Vorteile, was Sicherheit angeht.

Natürlich verwende ich einen Yubikey für das Smartphone! Damit ist das Handy einfach viel besser gesichert, da bei einem Verlust das Gerät standardmäßig verschlüsselt ist, und ohne 2FA been gar nicht aufgeht. Einfacher als mit nem Key wie einem Yubikey geht das sonst nicht.

Um meinen Rechner zu Hause mache ich mir nicht so viele Sorgen. Alle mobilen und damit leicht verlier- oder klaubaren Geräte sind eben gerade deswegen sehr abgesichert. UNter Windows geht eine Anmeldung mit 2FA inzwischen sehr einfach, und zusammen mit z.B. Veracrypt und Boxcyptor läuft das alles echt gut, wenn man nen Yubikey mit FIDO2 nutzt.

Wenn du ausgeraubt wirst, können die aber auch den Yubikey mitklauen. Meist wird man ja vorher ausgespäht und geprüft, ob sich das Telefon überhaupt lohnt.

Hast du da noch einen Passcode, zusätzlich zum Yubikey?

Klar. Der Yubikey geht via NFC, den sieht niemand. Für mich zählt halt je mobiler, desto zugenagelter. Klar kann mich jemand ausspähen, aber...

Hatte an den zum einstecken gedacht. NFC kann man ja gut verstecken. 😉

Dank dieser Diskussion bin ich auf die Idee gekommen, mir auch 2FA mit FreeOTP+ einzurichten. Die Anleitung finde ich sehr verständlich und die Handhabung einfach. Also, dies nur mal als positive Rückmeldung zu diesem Thema. Sehr easy das Ganze, wie ich finde.

Theoretisch ist es einfach aber praktisch schlägt der Test immer fehl.

Und solange Passwordmanager damit nicht umgehen können, lohnt sich das nicht.

"Theoretisch ist es einfach aber praktisch schlägt der Test immer fehl."

Das kann ich nicht bestätigen. Bei mir schlug der erste Versuch fehl, warum auch immer, aber danach ging's.

Ich habe es mehrfach mit und ohne die Pin eingegeben. Welchen Algorithmus hast du verwendet?

Ich habe es noch mal versucht. Die ersten Versuche haben nicht funktioniert aber mit Android/Zeittoken und 1Password ging es. Da sind einfach zu viele Option, ohne Erklärung.

Die Einrichtung habe ich genau wie in der Anleitung beschrieben gemacht, also fürs "Web Interface, alles andere Passwort", mit Softtoken (FreeOTP+ von F-Droid), genau wie auf den Screenshots in der Anleitung. Das hat funktioniert, genauso das Einloggen seitdem mit PIN|OTP als Passwort.

Die meisten Token wurden als inkompatibel abgelehnt. Ich hatte schon fast alle durch. Den Unterschied hat wohl die Umstellung von Event auf Zeit basierende Tokens gemacht.

Die vielen Token und Optionen sind ungewöhnlich. Alle anderen Server haben nur eine Art von Token und die funktionieren sofort.

Als IT-ler habe ich bei der Einrichtung ehrlich gesagt auch erstmal auf dem Schlauch gestanden. Dachte mir, komm richte schnell 2FA ein und gut ist. Hatte bis dato 52 Einträge in Authy und musste noch nie eine Anleitung zu Rate ziehen. Dies war hier zum ersten Mal nötig. Erstmal: PIN? Wozu? Hab ich vorher noch nie gebraucht. Na gut. Als nächstes die Tokenauswahl. Ok das krieg ich hin, aber ich stelle mir gerade vor, dass versucht jemand mit weniger Affinität zur Technik. Auweia. Dann vor allem die Umstellung des Tokentyps von ereignis- auf zeitbasiert muss man erstmal sehen. Auch das kenne ich von keinem anderen Dienst. Eine Erklärung zum "OTP-Sicherheitslevel" habe ich bis jetzt nicht gefunden. Heißt "OTP nur für Webinterface, alle anderen Dienste aus", dass ich die anderen Dienste gar nicht mehr nutzen kann?

Nun gut, alles soweit eingestellt und dann den QR-Code gescannt und was sehe ich? Den kryptischen Eintrag LSG... Auch das war bisher bei keinem anderen Dienst so, dass ich den Eintrag manuell anpassen musste um ihn sinnvoll zuordnen zu können. Dann der erste Login und ich muss mir erstmal einen weiteren Eintrag in Keepass amlegen damit das Passwortfeld nicht mit dem Passwort sondern der PIN vorausgefüllt wird. Finde auch hier die Variante anderer Anbieter, erst Username und Passwort und im Anschluss 2FA wesentlich angenehmer. Zur Integration in Mailclients wären mir auch anwendungsspezifische Passwörter lieber, als das "Standardpasswort".

Alles in allem funktioniert es ja, aber es ist mMn das umständlichste, dass mir seit Nutzung von 2FA untergekommen ist.

Es gibt noch ein grösseres Problem, bei dieser Umsetzung. Verwendet man die Webseite oder die WebApp, dann muss man sich alle paar Minuten aus- und wieder einloggen. Das ist bei der üblichen 2FA Umsetzung nicht nötig.

Verwendet man die Webseite nicht, dann kann man sich 2FA auch eigentlich sparen. Da ist dann das Mail Programm die Schwachstelle und Anwendungspasswörter gibt es nicht.

Nein. Du kannst im Webinterrface die Zeit einstellen, nach der ein automatischer Logout erfolgt. Das hat mit 2FA nichts zu tun.

Ich weiss aber nein. Die Zeit steht auf „Nie“. Die Session soll aktiv bleiben, bis ich mich abmelde.

Nachdem ich 2FA eingestellt hatte, lief die Session alle paar Minuten ab. Immer wann das 2FA Token abläuft, wird das Passwort ungültig. Vielleicht funktioniert es, wenn keine zeitbasierten Token verwendet werden. Die hat mein Passwortmanager aber nicht angenommen.

Wow, bin gerade auf die sehr branchen unübliche 2FA implementierung gestolpert und schliesse mich der Ursprünglichen "Frage" vollumfänglich an.

Es gibt auch seit 4 Jahren keine "Antwort" vom Entwickler, obwohl es die Frage mit den 3. meisten Votes ist und die Bilder von vor 4 Jahren sind auch noch zutreffend...

Weiter wird nur YubiKey und keine offenen Standards unterstützt.

Wollte eigtl. zu Mailbox wechseln, aber das geht mir doch ordentlich gegen den Strich :-/

Das Absurde ist ja zusätzlich das hier versierte Leute schreiben das es für sie kein Problem wäre. Man solle sich nicht so anstellen. Irgendeine andere Firma auf dieser Welt würde dieses Verfahren auch nutzen.

Für mich ist es auch kein Problem, es ist aber lästig.

Problematisch wird es aber dies meinen Verwandten oder Freunden zu erklären bzw einzurichten. Die haben einen Passwordmanager. Man kann dort dieses Verfahren nicht automatisch einrichten weil hier eine absolut exotische Lösung gewählt wurde. Die sind nicht mit Computern aufgewachsen, haben keine Zeit dafür etc.

Dementsprechend ist 2FA bei mailbox.org nur etwas für Nerds und diesen Dienst kann man anderen schlecht empfehlen, trotz der vielen guten Voraussetzungen.

Die Notwendigkeit eines Passwortmanagers/-safes widerspricht dem Sinn von 2FA

Erstmal ist das nicht ganz so klar und Zweitens würde das nicht den Umstand wett machen das die 2FA mailbox.org weniger Versierte fast komplett auschließt.

Nochmal. Es geht nicht um Euch. Es geht um die Anderen.

Diese spezielle 2FA beisst sich ja auch nur mit den Passwort Managern. Manuell ist es egal, ob man ein Passwort oder eine PIN eingibt.

Fehlende Anwendungspasswörter stören mehr aber sind eigentlich auch nur ein Notbehelf.

Weniger versierte werden definitiv NICHT von der Verwendung von 2FA ausgeschlossen;

@8115578 Nein, es geht nicht um die anderen, es geht um ALLE

wie gesagt, sobald man bei 2FA einen Passwortmanager/-safe bemühen muss, ist der eigentliche Sinn nicht mehr gegeben;

spätestens wenn der Passwortmanager/-safe glztg. auch das Tool ist, welches die OTP-Nummer bestimmt sogar sinnbefreit;

weil damit knack ich einfach dieses Ungetüm (= Passwortmanager/-safe) und habe ALLES notwendige;

wenn Du von weniger versierten sprichst, dann erkläre mal was ein 2ter Faktor ist; und was der genau nicht sein darf, weil es dann eben kein 2ter Faktor mehr ist;

du legst Deinen PIN-Code f. Deine Geldkarte hoffentlich nicht in irgendeinem Passwortmanager/-safe ab, oder?

nebenbei ist der ohnehin auf der Geldkarte am Magnetstreifen gespeichert, und bei einem Verlust dieser, in 0 komma nix zurückgerechnet;

2FA + Passwortmanager

Diese Debatte ist nicht abschliessend zu führen. Meine Meinung ist klar ja. Die MEhrheit profiziert von komplexen, nicht mehrfach verwendeten Passwörtern und gleichzeitigem Einsatz von 2FA.

Hängt am Ende aber alles vom Aufwand und möglichen Schaden ab (Threadmodelling...).

Beispiel: Kommt ein Passwort irgendwie in die Hände eines Angreifers (zuschauen beim eintippen, gehackt, etc.) bleibt noch der zweite Faktor der hoffentlich an ein Gerät gebunden ist und/oder über ein anderes PW wiederhergestellt werden kann. Der Fall ist mit und ohne PW Manager zutreffend.

Im Zweifelsfall halte ich mich an dieses Chart: https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model/

2FA Anwendung bei mailbox.org

Die implementierung hier ist sehr exotisch. Banken, Versicherungen, Facebook, Twitter, YouTube, Dropbox... eigentlich alle viel benutzten Services implementieren 2FA als "Benutzername + Passwort und danach der weitere Faktor". Das kann ich meiner Mama, Freunden, etc. gut erklären: Gib bei E-Mail/Benutzername deine E-Mail ein. Gib bei Passwort dein Passwort ein. Und jetzt beim Feld 2FA/OTP/MFA die SMS, bzw. die sechs zahlen. Überall gleich.

Nur hier nicht. Hier hast du ein Passwort aus 4 Buchstaben und danach die sechs Zahlen. Ja Mama, alles ins Feld Passwort. Und ja Mama, das musst du jedesmal machen.

Die Schwierigkeit ist, dass es 1. anders ist als beim Rest und 2. jedesmal eingegeben werden muss.

Zusätzlich beisst es sich ein wenig mit der Empfehlung von Passwortmanagern. Viele führen den Login automatisch aus, was hier zu einem Fehler führt, weil nach den vier Zeichen noch die 6 Zahlen fehlen.

Die Debatte ob Passwortmanager empfehlenswert sind oder nicht sollte nicht hier geführt werden. Fakt ist, dass Sie empfohlen werden.

2FA einrichten bei mailbox.org

Nööö. Kann mir keiner sagen, dass es einfach ist. Definitv eine Hürde, die Anwender davon abhält es einzuschalten. Es gibt einen mehrseitigen Wiki dazu... Seit 4 jahren "intuitiv" xD

Ausschliesslich YubiKey

Warum wurd ausschliesslich ein Anbieter für ein physisches Token unterstützt? Warum nicht FIDO2, etc. implementieren, damit alle Anbieter (Nitrokey, Solokey, etc.) unterstützt werden?

Edit: Nitro und co werden unterstützt. Siehe Antwort von 7586310.

Naja. Das war halb strukturiert, halb informativ, halb rumgemecker... zusammen drei gute Hälften (F in Mathe xD).

PS: Und man kann per POP/IMAP immernoch alles runterladen, sobald man das eigtl. Passwort hat xD. Heisst wenn der PW Manager geknakt wird, ist der zweite Faktor wertlos... Das wovor der 2FA eigtl. schützen sollte... Alternative ist nur, den rest zu deaktivieren. Hach toll. xD

Laut der Knowledgebase von mailbox.org werden Nitrokeys unterstützt...

https://kb.mailbox.org/display/MBOKB/Die+Zwei-Faktor-Authentifizierung+einrichten

Und ja, FIDO2 fände ich auch sehr wünschenswert.

Stimmt! Habs korrigiert :-)

Die mailbox.org 2FA funktioniert mit Passwortmanagern (zumindest mit Keepass(XC)). Man kann das Auto-Type so einrichten, dass es User + PIN + TOTP korrekt eingibt. Ob es sinnvoll ist, das TOTP im gleichen PW-Manager wie die PIN zu speichern, muss jeder selbst wissen. Man definiert sich dadurch sozusagen ein Trusted Device.

Auch verstehe ich die Kritik bzgl. IMAP und 2FA überhaupt nicht. Es ist doch Absicht, dass ein IMAP-Client auch Mails lesen kann.

Persönlich würde ich die Möglichkeit, App-spezifische Passwörter, die nur den Zugriff auf bestimmte Protokolle (IMAP, SMTP, CalDAV/CardDAV, WebDAV) erlauben, sehr begrüßen. Ebenso ein Single-Sign-On Verfahren über SAML/OpenID o.ä., sodass z.B. auch das Forum hier vom 2FA profitieren kann und man nicht das normale Passwort nutzen muss. Dass mindestens einmal letzteres geplant ist, hat Peer Heinlein selbst ja auch schonmal hier im Forum bestätigt.

hat er bestätigt, aber was von dem was im laufe der Jahre angekündigt wurde ist auch tatsächlich umgesetzt worden ?

Bezüglich verschiedener Aussagen:

"Weiter wird nur YubiKey und keine offenen Standards unterstützt."

Die implementierung hier ist sehr exotisch.

Kann man exotisch finden, oder auch nicht. Ist aber technisch notwendig und zu Ende gedacht. Es ist eben auch kein vergleichbarer Standardfall vergl. mit einem reinen Webportal. Äpfel und Birnen nicht vergleichen.

Und einfach OTP für native Protokolle anzubieten ist halt auch so eine Sache, wenn jede versandte E-Mail einen manuellen SMTP-Auth-Login erfordert ist das nicht jedermanns Sache. Dann ist 2FA tot, wird nicht genutzt/akzeptiert und das hilft der Sache nicht (und wir würden Haue kriegen, wie man nur glauben könnte, das so anbieten zu wollen für Laien).

Was wir ja im Prinzip gemacht haben ist, dass es neben dem eigetlichen Login-Passwort ein 2FA-Passwort gibt. Aus strategischen Gründen um es für Normaluser zu vereinfachen haben wir uns damals dazu entschieden, dies als PIN-Code auszugestalten, was wir damals als ausreichend sicher und für den Laien gut bedienbar eingeschätzt haben -- analog zu EC-Karte und PIN-Code, wo man ja übrigens auch nicht das Online-Banking-Passwort (oder vice versa) eingibt. Kann man auch klug oder doof finden, war damals aber die sehr umfangreich diskutierte und abgewogene Entscheidung.

PS: Und man kann per POP/IMAP immernoch alles runterladen, sobald man das eigtl. Passwort hat xD. Heisst wenn der PW Manager geknakt wird, ist der zweite Faktor wertlos... Das wovor der 2FA eigtl. schützen sollte... Alternative ist nur, den rest zu deaktivieren. Hach toll. xD

Das kann ich meiner Mama, Freunden, etc. gut erklären: Gib bei E-Mail/Benutzername deine E-Mail ein. Gib bei Passwort dein Passwort ein. Und jetzt beim Feld 2FA/OTP/MFA die SMS, bzw. die sechs zahlen.

Bitte mal klarmachen. Grundlage der Entscheidung ist die Anforderung/Annahme gewesen, dass man sich damit auf einem fremden Rechner sicher einloggen muss. Kann man gut finden, kann man doof finden. Die einen sagen: "Das mache ich sowieso nie", die anderen sagen "prima, das will ich können müssen". Aber das ist eine Grundannahme die man trifft wenn man ein Security-Konzept erörtert. Und das führt zu Entscheidungen. Ob das jeder nachvollziehen kann, ist eine andere Frage, aber solange ich die Sicherheit der Daten meiner Kunden verantworte muss ich das entsprechend entscheiden und verantworten. Kompromittierte Passwörter sind für mich nicht akzeptabel.

"...analog zu EC-Karte und PIN-Code..."

und im Gegensatz zu diesen ist bei mailbox.org der PIN-Code nicht auf Ziffern begrenzt, sondern alphanumerisch möglich, ist also der erste Faktor, der auch nur für 2FA zu nutzen ist, auch noch sichererer als die PIN auf der EC-Karte.

(Ziffern, Buchstaben und letztere auch noch unterschieden in Groß- und Kleinschreibung)

Hallo zusammen,

ich bin Neukunde und habe eben mein Postfach angelegt. Als sicherheitsbewusster Anwender habe ich selbstverständlich sofort 2FA aktiviert und bin direkt darüber gestolpert. Ausgeloggt, wollte mich wieder einloggen und habe zuerst - bzw. mein Passwort-Manager - Benutzername und Passwort ausgefüllt. Dann bekam ich die Meldung "Benutzername oder Passwort falsch" und war erst einmal verwirrt. Erst nachdem ich den Wiki-Artikel gefunden habe habe ich gelernt, dass ich als Passwort PIN + OTP eintragen muss. Das ist absolut nicht intuitiv, funktioniert anders als bei allen anderen Anbietern und wird so leider auch nicht von meinem Passwort-Manager (1Password) unterstützt. Es macht den Login leider sehr umständlich und dürfte auf Smartphones noch komplizierter sein, da ich PIN und OTP in zwei Schritten aus dem PW-Manager kopieren muss :(

Die PIN als Passwort eintragen. Nachdem 1Password beide Felder ausgefüllt hat, musst du noch das Token manuell anhängen.

Im Ernst?

Beim einrichten der 2FA wird man IM Backend hingewiesen, die Anleitung zu lesen.

Dann kommt man in die Knowledgebase:

Dort wird man auf die besonderen Rubrik verwiesen, und da steht es dann haarklein:

Sorry Leute, lesen müsste ihr selber!

Und noch ein Hinweis:

Ein ganz hervorragender, plattformübergreifender Passwortmanager ist KeePass.

Der kann tatsächlich alles.

Kostenlos.

https://keepass.info/

Für Android: Keepass2Android

https://play.google.com/store/apps/details?id=keepass2android.keepass2android

Ich werde sicherlich nicht meinen PW-Manager ändern nur für einen Dienst, wo 2FA ganz anders funktioniert als bei allen anderen Diensten, die ich nutze und die perfekt mit 1Password funktionieren. Und zum Thema lesen: Ja okay, hätte ich zuerst lesen können aber bei der OTP-Einrichtungen war selbst ich als versierter Benutzer von der Vielfalt der Einstellungsmöglichkeiten erschlagen. Außerdem habe ich diese Art der 2FA-Implementierung nicht erwartet und dachte, dass ich hier nichts lesen muss sondern dass es so ist wie bei allen anderen Anbieter ;)

Hallo Leute, nur mal als letzter Kommentar bevor ich meine Konten von mailbox.org in den kommenden Tagen wegziehe:

Ich habe mir diese bräsige Diskussion seit ein paar Jahren immer mal wieder angetan und bin immer wieder geschockt gewesen, wie Nutzermeinung regelmäßig von anderen Kunden und Mitarbeitern als zu doof, falsch verstanden oder "einfach mal richtig lesen!1!" abgetan wurde.

Herr Heinlein hat außerdem mit seiner herablassenden Art nicht dazu beigetragen, diese Nutzermeinungen in sachliche Diskussion und etwaige Verbesserungen zu überführen, sondern weiter Öl ins Feuer gegossen. Stattdessen wurde mobartig die berechtigte Kritik an einer Funktion kleingeredet. Ich empfand einige der Kommentare hier gerade zu an Gaslighting grenzend!

Ich vermute, dass Herr Heinlein eigentlich kein Interesse hat, auf Kundenfragen einzugehen, vor allem da es eine überwältigende Mehrheit von Diensten weltweit gibt, die 2FA nutzerfreundlicher implementiert und daher Kritik und Verbesserungswünsche über die miserable Nutzererfahrung eigentlich nachvollziehbar sein sollte. Für mich ist das alles jedenfalls recht ernüchternd, da ja Herr Heinlein in Deutschland als sowas wie ein E-Mail-Pionier und -Fachperson angesehen wird.

Herr Heinlein, schließen Sie bitte einfach diesen Thread, wenn Sie keine Verbesserungen an der mailbox.org 2FA-Funktion für notwendig halten. Das würde vielleicht den existierenden oder potentiellen Kunden helfen zu wissen, worauf sie sich einlassen.

Danke fürs Lesen und viel Erfolg noch.

Hallo Herr Leidel, sie sprechen ja auch mich direkt an, daher erlaube ich mir mal zu antworten.

Ja, die User müssen tatsächlich selber lesen.

Der Witz ist, dass ich auf einen User geantwortet habe, der sich wie viele andere hier beschwert, wie scheiße das hier alles ist. Er schreibt selber, dass es sehr viele Einstellmöglichkeiten bei 2FA gibt, dass er den Hinweis, die Anleitung zu lesen, zur Kenntnis genommen habe, aber er (!!!) das mit dem lesen mal sein gelassen hat.

Aber sich dann beschweren. So was mag ich. Nicht.

Kritisieren kann man alles, aber da sollte man dann schon Bescheid wissen.

Peer Heinlein hat mehrfach ganz klar erklärt, warum er das so macht, und was es damit auf sich hat.

Das hält einige hier natürlich nicht davon ab, alles zu fordern, was diese selber für das einzige oder für das Optimum halten, aggessiv einzufordern.

So geht das nicht. Ich habe bislang so einige Sachen mit mailbox geklärt. Das ging so weit, dass als ich einmal ein echtes Problem hatte, noch weit vor der Zeit des neune Supports auf meinen Hilferuf hin an einem Feiertag Peer heinlein am Telefon war und wir das Problem gelöst haben. Einfach so.

Ihre Interpretation der Dinge hier finde ich schräg, und ihre Unterstellungen Herrn heinlein gegenüber, dass er kein Interesse habe, auf Kundenfragen einzugehen, ist FALSCH.

Zum einen habe ich Ihnen gerade belegt, dass er das tut, zum anderen macht sein lange Antwort hier oben deutlich, dass er das sowieso tut.

Herr Leidel, werden sie erwachsen. Sie kriegen im Leben nicht alles, was sie wollen. Mailbox hat zur Frage 2FA sehr überzeugende Argumente geliefert, warum das zwar als Wunsch verstanden wird, aber eben aus Sicherheitserwägungen heraus NICHT umgesetzt wird,

Der einzige Kommentar, der hier unangemessen war, war zum Schluss der Ihre, Herr Leidel.

Scheinbar finden sie es ja doch so gut hier, dass sie nochmal klar machen wollen, dass man sie hier halten müsse.

Von mir aus nicht, nachdem sie mich hier blöde angesprochen haben, weil ich korrekt drauf hinweise, dass User, bevor sie sich beschweren, sich doch mal an die Regel RTFM halten sollten.

Lesen bildet.

Tschüss, Herr Leidel!

Herr Leidel, ich stimme ihnen 100% zu! Und an User 7586310: Erstens, warum sind sie direkt so feindselig? Zweitens hören sie bitte auf falsche Behauptungen aufzustellen! Ich habe nie behauptet, dass ich wissentlich den Hinweis ignoriert habe! Was ich sagte ist, dass ich von den Einstellungsmöglichkeiten erschlagen war und diesen Hinweis erst gar nicht gesehen habe.

Ansonsten ist mir weiterhin schleierhaft, warum diese exotische 2FA Implementierung gewählt wurde. Alle hier genannten Argumente dafür lassen sich entkräftigen: Auch für z.B. IMAP-Zugänge gibt es einen "Industriestandard" und der nennt sich App-Passwörter.

Eigentlich wollte ich mit meiner Domäne zu mailbox.org umziehen und ein deutsches Unternehmen unterstützen. Die toxische, nicht hilfsbereite Community hier lässt mich aber gerade stark daran zweifeln, ob ich das wirklich noch will.

So eigentlich liegen die Karten ja auf'm Tisch. Herr Heinlein hat ja gesagt was geht und was nicht . Wenn jemand was anderes möchte/braucht gibt es ja genug andere potente Provider.

Außerdem denke das wir auch nicht über die Bedürfnisse anderer urteilen sollten. Wenn jemand meint er möchte sein Postfach mit 2FA durchgängig absichern dann ist das ja ok. Er ist dann halt nur vielleicht bei mailbox.org falsch

Hallo Sven J. ,

da Herr Leidel mich in seinem Post falsch angeht, ich hätte etwas "abgetan", habe ich das klargestellt. Hier kommt immer wieder der Vorwurf, wie kompliziert, doof, und falsch mailbox.org was macht.

Zu oft hat sich inzwischen herausgestellt, dass die Leute sich hier lauthals beschweren, aber eben noch nicht vorher mal nachgelesen haben, wie das geht. Der Hinweis auf die Hilfetexte ist ziemlich deutlich, und sie haben ja selber geschrieben, dass sie die Infos nicht gelesen haben.

Sie bestehen weiterhin auf ihrer Sichtweise und leiten aus meiner einen Antwort ab, dass die gesamte Community hier "toxisch" sei.

Lächerlich.

Peer Heinlein hat sehr genau erklärt, warum er da was und wie implemnetiert hat. Ich bin bei mailbox.org gelandet, weil ich von IT-Sicherheitsspezialisten gehört hatte, was die Leute von Heinlein Support und von mailbox.org für Linux- und Mailprofis sind.

Seit ich hier bin, läuft über meine Mails hier kein Spam und nicht anderes böses mehr rein.

Das Sicherheitskonzept von mailbox kann man problemlos umsetzen. Und anstatt pseudosichere App-Passwörter zu fordern für die Geräte habe ich mich darum gekümmert, meine mobilen Devices abzusichern. Das Device stellt nämlich die Gefährdung dar, wenn man ein ach so sicheres App-Passwort auf einem Smartphone drauf hat, dass grundsätzlich das größte Angriffsrisiko darstellt, alleine, weil es am leichtesten geklaut werden kann.

Und siehe da, dann kann man mit den richtigen App auf dem Smartphone auf einmal gut und sicher arbeiten, auch ohne App-Passwörter.

Ich kann von jedem x-beliebigen Rechner mailen. Private Browser-Session auf, Mailadresse rein, PIN, und Yubikey, fertig. Selnbst die IT in meiner Hochsicherheits-Büroumgebung hätte damit kein Problem, weil das alles klar getrennt ist, und bei uns die privaten Sessions gekapselt werden.

Es geht, und so, wie mailbox.org das umsetzt und Peer Heinlein das erklärt hat, macht das Sinn. Man muss nur einmal nachdenken und verstehen, auf was genau er abstellt.

Nichts für Ungut, aber viele Fragen lassen sich hier gut klären. Aber sich beschweren, obwohl man die Anleitungen nciht gelesen hat, oder man zur Fraktion der "Aber ichwill das genau so, also macht das gefälligst so"-Fraktion gehört, finde ich nicht o.k. (zu ersterem) oder feindselig (zu letzterem).

Tschö.

Herr/Frau 7586310,

vielleicht sollten genau sie sich mal fragen, warum ich direkt den Eindruck einer toxischen Community gewonnen habe? Wenn sie von mailbox.org überzeugt sind und dementsprechend auch daran interessiert sein könnten, dass mehr Menschen diesen Dienst nutzen, sollten sie vielleicht nicht direkt so aggressiv herüberkommen. Sie haben sich z.B. die Mühe gemacht und Screenshots angefertigt, nachdem ich bereits geschrieben habe, dass ich die Hilfeseite gefunden habe und mich offensichtlich wieder einloggen konnte. Sie wollten mir also nicht helfen, sondern mich mit erhobenem Zeigefinger belehren. Danke, aber das ist nicht hilfreich.

Ich verstehe auch nicht wieso es so schwierig ist sich mal in die Lage derer zu versetzen, die mit Feedback oder Fragen zu dem Thema 2FA hier im Forum aufschlagen. Es ist nun einmal so, dass es quasi einen "Industriestandard" gibt, wie 2FA umgesetzt wird. Wenn ich diese Umsetzung nun von etlichen Diensten gewöhnt bin und es bisher nie ein Problem dargestellt hat, dann kann man dafür Verständnis zeigen und freundlich auf den Umstand bei mailbox.org hinweisen. Ich fahre seit vielen Jahrzehnten Auto und weiß, wie das funktioniert (Industriestandard). Nun steige ich in ein neues Auto ein (mailbox.org) und dort sind Gas- und Bremspedal vertauscht.

Schon alleine die Anzahl an Posts in diesem Thread zeigt doch, dass es hier immer wieder Missverständnisse und Irritationen gibt. Vielleicht gab es damals gute Gründe es so zu machen. Aber vielleicht sollte man auf Grund der Menge des Feedbacks hier mal darüber nachdenken, die Implementierung anzupassen?

Und nochmal für sie, Begriffe / Wörter wie "RTFM" oder "Lächerlich" fördern keine konfliktfreie Kommunikation.

Ich nutze auch seit vielen Jahren verschiedenste Webdienste, bei denen im Ergebnis JEDE Variante einer 2FA vorkommt. Von falscher 2FA über verschieden beschriftete Felder, abweichende Reihenfolgen von Passwort und Token bis hinzu FIDO2.

Ihr Beispiel stimmt nicht.

Mailbox.org hat nicht Gas und Bremse vertauscht.

Sie sehen hier wenn, dann den Unterschied zwischen Schaltung und Automatik. Und bei Automatiken gibt es auch welche mit 5 - 9 Gängen, Shiftschaltung am Schalthebel, Schaltpaddels... Soviel mal zu "Standards".

Ach ja, als ich das erste mal einen Porsche fahren durfte, war das Zündschloss auf der falschen Seite montiert. Und bei einem Saab ist das Zündschloss ganz woanders, von den Warnblinkerschaltern in den Autos mal gar nicht zu reden.

Sie merken, auf was ich hinaus will.

Und: RTFM ist eine Regel, die jeder ITler kennt. Und ihren Zweist mit mir sprachlich auf die gesamte Community hier ausgedehnt haben Sie alleine, als sie schrieben "Die toxische, nicht hilfsbereite Community..."

Und genau diese Generalisierung bezeichne ich als lächerlich. Und feindselig allen anderen Usern hier gegenüber.

Ich schließe mich an, dass die 2FA bei mailbox.org nicht wirklich optimal gelöst ist.

Da hilft auch das "Schönreden" oder "Rechtfertigen" aus meiner Sicht nichts.

Microsoft, Google & Co. machen vor, wie 2FA für den Benutzer logisch und sicher funktionieren kann.

Vor ein paar Monaten hat der mailbox-Support hier im Forum angekündigt, dass an einem Nachfolger der jetzigen 2FA gearbeitet wird:

https://userforum.mailbox.org/topic/5441-neue-2fa-implementierung-absehbar#comment-25489

Gibt es hierzu schon etwas Neues, und was genau können wir von dieser zukünftigen Implementierung erwarten?

Ich nutze Outlook ja nicht, aus Gründen.

Wie hat denn Microsoft die 2FA bei der Nutzung von IMAP gelöst? Auf dem Rechner, und auf dem Handy?

Das würde mich jetzt wirklich mal interessieren, denn das ist ja genau der Usecase, den alle hier von mailbox.org fordern.

Also, dass informiert mich mal, das interessiert mich echt.

Sehe ich das richtig? Wenn ich die Mail-App von Microsoft auf Android verwende, muss ich ein App-Passwort generieren, dass ich dann fest in der App eingebe?

Wenn das so ist: also nichts mit 2FA. Richtig?

Das sollte dann besser sein als die Lösung von mailbox.org? Ernsthaft?

Ich verstehe nicht, warum App-Passwörter auf Smartphones ein Problem darstellen? Der Flash-Speicher ist verschlüsselt. Der Zugang zum Smartphone sollte immer mit PIN, Fingerabdruck oder ähnliches abgesichert sein. Darüberhinaus bieten einige Apps die Möglichkeit, nochmal selber mit einer PIN/Passwort abgesichert zu werden. Was sind die Bedenken?

@Sven J. ganz einfach, weil es mit 2FA genau nichts zu tun hat; oder betrachtet jemand die Absicherung seines PC mit UserId/Passwort als 2ten Faktor?

@7586310

"Wie hat denn Microsoft die 2FA bei der Nutzung von IMAP gelöst?"

gar nicht; und nebenbei Microsoft hat bis jetzt noch gar nix gelöst, sondern nur Probleme gemacht ;-)

@4388379 ein Schlechtreden von einer Lsg., welche man nicht verstanden hat, disqualifiziert.

(was kann die 2FA-Lsg. von mailbox.org nicht, was die 2FA-Lsg. von anderen kann?)

Als langjähriger Mailbox-Nutzer bin ich es leid, in meinem Umfeld für mailbox.org zu werben. Ein Punkt ist sicherlich die Sensibilisierung der Menschen im Umgang mit ihren persönlichen Daten. Um von der Erkenntnis dann ins Tun zu kommen, darf die 2FA keine Hürde darstellen. Dazu gehört auch die Integration in einen PW-Managers. Seit ich die Empfehlung für einen anderen deutschen E-Mail Provider ausspreche, ist das Tun nur der nächste Schritt nach Installation und Verwendung eines PW-Managers.

Nachdem ich nun schon seit 2 Jahren auf eine Anpassung warte und mir rückblickend diesen Thread zu Gemüte führe, bin ich auch schon mitten im Umzug zu einem anderen Provider... ciao mailbox.org

In z.B. Thunderbird kann ich mich in mein Postfach mit meinem Benutzernamen und normalem Passwort einloggen, einfach so!

Siehe https://kb.mailbox.org/de/privat/faq-artikel/e-mail-einrichtung-allgemein und https://kb.mailbox.org/service-desk/account-artikel/die-zwei-faktor-authentifizierung-einrichten wo steht:

Die 2FA ist nur für das Einloggen in den Webclient aktivierbar. Alle anderen Dienste wie z.B. IMAP, POP3 und SMTP mit einem einem lokalen E-Mail-Client oder Datensynchronisation via WebDAV, CalDAV und CardDAV (mit dem entsprechenden Client) unterstützen bei uns keine 2FA.

Wieso soll die Kombination aus Benutzername und selbst gewähltem Passwort sicherer sein als Benutzername plus ein vom Dienst generiertes, langes und aus zufälligen Zahlen, Buchstaben (und Sonderzeichen?) bestehendes App-Passwort?

@3550615

Ich weiß beim besten Willen nicht, was jetzt die Frage nach einem Passwort-Manager mit der 2FA bei Mailbox zu tun haben soll.

Den 2ten Faktor selber kannst du nur dann in einen PW-Manager integrieren, wenn der PW-Manager den 2ten faktor generiert.

Es ist das Wesen eines 2ten Faktors (...deswegen heißt der so), weil er auf einem getrennten Weg generiert wird.

Nur als Tipp: KeePass kann genau das.

Ich glaube, dass mindestens einige Leute, die sich hier immer krachend beschweren, das Konzept eines 2ten Faktors und/oder den UNterschied zwischen einem 2ten Faktor und einem sog. App-Passwort und/oder die Probleme bei der Authenisierung an einem IMAP-Postfach mittels eines 2ten Faktors einfach nicht verstanden haben.

Und wie ich oben durch kurzes recherchieren rausgefunden habe: auch Microsoft erlaubt KEINE 2FA-Authentisierung an IMAP. Wie auch?

@7586310

In erster Linie hat der PW-Manager natürlich nichts mit 2FA zu tun. Sorry fürs Missverständnis. Aber nur wenn ich 2FA auch einfach in den PW-Manager integrieren kann (siehe 1Password und Konsortien) wird es auch "gerne" verwendet.

@3550615

Das geht dann mit der Integration des 2ten Faktors, wenn dein PW-Manager den generieren kann. Das können einige, aber...

Eigentlich braucht man das nicht. Typischer Weise brauchst du den 2ten faktor ja dann, wenn du an einem fremden Rechner sitzt. Auf dem läuft dein PW-Manager nicht.

Also würdest du dann in einem Browser ein privates Fenster aufmachen, dort mailbox.org aufrufen, dann deine Mailadresse eingeben, die PIN und von deinem Passwortgenerator (z.B. Google Authenticator) die Zahl abtippen oder deinen Yubikey an den fremden Rechner stöpseln und das Token abrufen.

Ich mache das so auf fremden rechnern und auf meinem Notebook, da habe ich kein Mailprogramm mehr drauf - was nicht da ist, kann keinen Ärger machen, falls der Rechner mal geklaut wird.

Auf meinem Smartphone nutze ich Fair Email, das Handy ist verschlüsselt und wird per NFC-Yubikey entlockt, kein Finderabdruck, keine PIN.

Für mich ist es wichtiger, das Handy so zu schützen, dass für den Fall das es gestohlen wird, niemand überhaupt an die Daten kommen kann. Sehr praktisch ist da auch diese Google-Verschlüsselung, die das Handy selbst nach einem Reset absolut wertlos macht für den Dieb.

Natürlich wären App-Passwörter nett, aber auch ein App-Passwort würde nicht die Probleme lösen, wennd as Handy selber schlecht gesichert ist. Kurzum: je mobiler ein Gerät ist, desto mehr sollte man das Gerät selber sichern. Wer das Gerät nicht öffnen kann, kommt auch an keine Daten ran.

Bei Microsoft funktioniert die 2FA mittels Authenticator App (Push und OTP) oder SMS z.B. mit Outlook (Windows, iOS, Android) oder auch mit Apple Mail. Hierbei wird kein IMAP benutzt.

Für IMAP gibt es bei Microsoft immerhin App-Passwörter als "Krücke".

Bei Mailbox.org habe ich aber keine Möglichkeit 2FA zu verwenden, wenn ich einen Mail Client benutzen möchte.

Die teilweise doch sehr dünnhäutigen Reaktionen hier im Forum auf Kritik an der 2FA kann ich ehrlich gesagt auch nicht so ganz nachvollziehen.

Offenbar gibt es doch eine große Zahl an Kunden, denen die derzeitige Lösung aus diversen Gründen nicht gefällt/ausreicht und als sehr ungewöhnlich und nicht eingänglich empfunden wird.

Darüber hinaus arbeitet mailbox.org ja an einem Nachfolger für die derzeitige 2FA-Lösung, wie ich weiter oben schon verlinkt habe:

https://userforum.mailbox.org/topic/5441-neue-2fa-implementierung-absehbar#comment-25489

Also scheint man sich ja doch bewusst zu sein, dass die derzeitige Lösung nicht optimal ist.

Leider gibt es aber hierzu keine weiteren Infos was es mit der neuen Implementierung auf sich hat, und auch hier im Thread wird darauf bisher nicht eingegangen.

@4388379

"Bei Mailbox.org habe ich aber keine Möglichkeit 2FA zu verwenden, wenn ich einen Mail Client benutzen möchte."

stimmt, dafür kannst Dir den Mailclient aussuchen; offener Standard eben;

@ 4388379

Du schreibst hier etwas von einer Art Standard, den es gäbe, 2FA auf eine gewisse Weise einzurichten. Da finde ich das Gegenargument von 7586310, es handele sich einfach im übertragenen Sinne um einen anderen Ort für den Warnblinker im Auto und nicht um Bremse und Gas vertauscht, treffend.

Ich möchte noch einen anderen Vergleich bringen.

M$ Apple und Google schaffen es leider sehr gut zukünftige Kunden mit ihren durchaus sehr ausgereiften Produkten, was die Bedienung anbelangt, in Kontakt zu bringen.

Siehe Education Programme, auch noch in Unis. Da wird man schon als Kind in der Schule "eingenordet". Und die Lehrer bekommen die Produkte kostenlos, Schulen auch oder sehr günstig.

Damit können sie gefühlt Standards setzen.

Die Frage ist, ob wir dies als Standards anerkennen.

Es ist in meinen Augen einfach ein anderer Standard bei mailbox.org. Wenn Du als Kind schon damit gearbeitet hättest, würdest Du die anderen Produkte "komisch" finden.

Das ist so, als wenn jemand mit Messer und Gabel essen gelernt hat. Auf einmal soll er Stäbchen verwenden?!!

Diese Parabel wird auch hier im Forum deutlich. Jahrelange mailbox.org User haben sich daran gewöhnt, dass es hier ein wenig anders ist und sagen: "Macht nix!"

Natürlich hast Du Recht, wenn Du sagt, es gibt Verbesserungspotential, gerade für Neueinsteiger. Es wird gleichwohl immer eine Hürde geben, die Frage ist, wie man sie begründet. Mein Vorschlag: Mit Stäbchen essen lernt man auch nicht in einer Stunde. ;)

Dem kann man wohl ganz klar widersprechen. Ich kenne keine Schule die Google oder Apple einsetzt und bis auf ein paar wenige Ausnahmen auch nicht MS. Leider verbietet das deutsche Datenschutzgesetzt den Einsatz vieler sinnvoller Programme wie Teams und Office und stattdessen setzt man auf Open Source Bastellösung wie Big Blue Button für Onlinekonferenz. Da spielt es dann keine Rolle, ob die voller Bugs sind oder völlig unsicher, denn dadurch das sie Open Source sind erfüllen Sie quasi automatisch die Datenschutz Richtlinien. Was bei meinen Kinder an der Schule für ein Müll als Online Präsenz durchgeht würde jedes richtige Unternehmen innerhalb Wochen in den bankrott reiten.

@9719906

Von einem "Standard" habe ich doch überhaupt nichtsgeschrieben, das war dann deine Interpretation.

Ich habe lediglich darauf hingewiesen, dass Microsoft, Google & Co. funktionierende Lösungen im Angebot haben, mit denen ich 2FA auch mit einem Mailclient auf Desktop und Smartphone nutzen kann - im Gegensatz zu mailbox.org.

Deine Autovergleiche, Vergleiche mit "Essen mit Stäbchen" und Microsoft als "M$" zu schreiben, helfen an der Stelle ehrlich gesagt keinem User hier auch nur ein bisschen weiter, was ihre Kritik an der jetzigen 2FA-Implementierung angeht.

Schön wäre es eben, eine entsprechende Lösung angeboten zu bekommen, und wenn es nur die Kombination aus IMAP + App-Kennwörter ist, wie bei vielen anderen Anbietern.

@Stephan

Open Source ist der Wunschzustand aber nicht Realität. Die meisten Behörden, inklusive der Schulen, verwenden die üblichen Verdächtigen. Da müssen erst mal ein paar Eltern aufwachen und die Schule verklagen. Bei Behörden wie Finanzamt und Strafverfolgung kannst du leider gar nichts ausrichten.

@Stephan: interessant. Ich empfinde es eher andersrum. Ich habe zwar derzeit eher den Einblick, was an Unis und Hochschulen verwendet wird, aber im Prinzip macht das nicht so viel aus. Was da eingesetzt wird, da wird einem schlecht. Positive Ausnahmen (z.B. TU Chemnitz) gibt es aber auch. Auch der Seitenhieb gegen BigBlueButton ist lächerlich, funktioniert es doch sehr gut, wenn man es richtig macht (z.B. CLT2021). So, nun zurück zum eigentlichen Thema.

@ 4388379: Ein einmaliger OAuth-Login wie z.B. bei Google hat auch keinen Vorteil ggü. einem eingeschränktem App-Passwort (Einschränkung auf bestimmte Protokolle). ich betrachte das auch nicht als 2FA. Fakt ist, dass auf Mail-Clients auf Handy ein 2FA wenig Sinn macht (außer man möchte jedes Mal ein Token eingeben o.ä.).

Aus meiner Sicht würde ich mich auf drei Dinge freuen:

• Einführung von Keycloak oder Alternativen, Umbau der 2FA
• App-Passwörter für bestimmte Protokolle (Bonus: read-only). Ich weiß, dass insbesondere letzteres eher schwierig ist.
• Möglichkeit, den Account-Recovery-Prozess besser zu steuern

Ich denke, mit der Umsetzung dieser Punkte wären auch die meisten Kritikpunkte hier in diesem Thread hinfällig. Dass dies nicht mal eben so möglich ist und einige Abwägungen seiteins mailbox.org, ist mir aber auch klar. Peer Heinlein hat bereits einmal geschrieben, dass sich bei mailbox.org alle Dienste intern gegenseitig authentifizieren.

@lufer "Auch der Seitenhieb gegen BigBlueButton ist lächerlich, funktioniert es doch sehr gut, wenn man es richtig macht (z.B. CLT2021)."

Hier nur mal ein Beispiel der eklatanten Sicherheitslücken in BBB. Nach elend langer Diskussion nach knapp einem halbe Jahr gefixt. Das sollte sich MS leisten dann wär hier mal wieder Alarm. Aber Open Source lässt mal alles durchgehen...

https://github.com/bigbluebutton/bigbluebutton/issues/8951

MS und sicher? Das habe ich noch nie in einem Satz gehört. 🤣

Der Chefprogrammierer schrieb mal öffentlich: „Wir verkaufen die Software wenn sie im Alpha oder Beta Stadium ist. Die Leuten kaufen es doch trotzdem! Die Bugs kann man später beseitigen - oder auch nicht.“

@4388379

"Schön wäre es eben, eine entsprechende Lösung angeboten zu bekommen, und wenn es nur die Kombination aus IMAP + App-Kennwörter ist, wie bei vielen anderen Anbietern."

dann nimm doch die App von anderen Anbietern ...

es sei Dir ja völlig frei, welchen IMAP-client Du verwendest ...

So funktionieren App-Kennwörter nicht. Eine andere App ändert nichts.

Allerdings sind App-Kennwörter nur ein Notbehelf und relativ sinnlos. Wenn man eine App nicht unter kompletter Kontrolle hat, wie bei Spark oder Outlook, dann sollte man ihr besser kein Kennwort anvertrauen.

@Stephan: Okay, das ist wirklich heftig. Wirft für mich tatsächlich Fragezeichen auf das ganze Projekt und das Sicherheitsbewusstsein der Entwickler. Nichtsdestotrotz sind die Sicherheitslücken bei MS aber auch nicht besser mit den ganzen Exchange-Bugs und dem erst kürzlichen RDP-Fail.

@4030395M: Da stimmt ich zu. App-Kennwörter sind keine Allheilslösung, aber machen trotzdem Sinn.

Stimmt. Kann sinnvoll sein, wenn man einer Anwendung den Zugriff wieder entziehen will. MBO nutze ich aber für wichtige Mails und die vertraue ich keiner unsicheren App an.

Auch ist 2FA nett, falls man mal fremde Computer nutzen will aber in Zeiten von mobilem Internet sollte sowas eigentlich überflüssig geworden sein. Falls man das doch braucht, hilft die Implementierung von MBO ja trotzdem. Noch besser - Yubikeys verwenden.

Wer die Anleitung liest, kann das einrichten.

Also: RTFM.

Es tut. mit allen Authentisierungsverfahren. Ganz einfach. Seit Jahren.

Bei allem Respekt, dieser Kommentar ist nicht hilfreich. Das Einrichten von 2FA ist bei so ziemlich jedem anderen Anbieter mit zwei, drei Klicks erledigt und erfordert nicht einmal das Lesen eines FM. Bei Mailbox.org ist es leider deutlich umständlicher als irgendwo anders, und das ohne ersichtlichen Grund.

Der Grund ist ersichtlich. Den Usern die freie Auswahl der Tokens zu geben.

Sowie man sich die Anleitung durchliest, ist völlig klar, was man wie zu tun hat. Und warum das so ist, wurde lang und breit seitens mailbox dargelegt.

RTFM.

Das ist kein ersichtlicher Grund. Wenn das ein Grund wäre, warum machen das nicht alle anderen Dienstleister genauso umständlich? Es geht auch einfach, und das ohne irgendwelche Verluste.

Dieses 2FA-DIY-Kit, das den Usern hier vor die Nase gesetzt wird, ist nur für 2FA-Nerds interessant, die an allen Einstellungen herumfrickeln wollen. Ein Dienst wie Mailbox.org wird aber auch von technischen Laien benutzt, die zu Recht das selbe Sicherheitslevel haben wollen wie die Nerds, ohne RTFM.

Tja, wenn du die Auswahl der Tokens nicht als ersichtlichen Grund akzeptierst, ist das deine Ansicht.

Zum letzten mal: jeder, aber wirklich jeder, kann das einrichten. Wer halt die Anleitung nicht lesen will, soll try and error machen.

Fakt ist, das man es einrichten kann. Leicht. Und das es funktioniert.

Ja, wenn das ein Fakt ist...

Man bekommt halt viele Optionen. Die Qual der Wahl! :)

Einziges Problem war, dass die iPhone Option für iPhones überhaupt nicht funktioniert (mit meinem Passwortmanager jedenfalls).

Mailbox ist technisch und funktional die deutlich beste DSGVO-konforme Maillösung. Fragt euch mal, warum ein deutscher definitiv technisch und funktional deutlich schwächerer gleich teurer Anbieter mehr Zulauf hat. In meinem Bekanntenkreis wurde nahezu immer die niedrigere Einstieghürde für weniger versierte Mailuser genannt.

Mein Fazit: Mailbox.org ist der Mail-Dienst für IT-ler, die anderen werden überwiegend woanders hingehen.

Soweit man das liest, wird daran seit längerem gearbeitet. Wann da etwas kommt ist schwer vorherzusagen.

Und Aussagen zur Verfügbarkeit von neuen Diensten/Anpassungen erhält man aus verständlichen Gründen auch nicht.

Somit gilt es einfach abzuwarten, bis es kommt, wenn es denn kommt.

Ich denke, dass OpenTalk sehr viel Personal in Forschung und Entwicklung gebunden hat, dass mailbox.org darunter leider musste.

2FA und auch app spezifische Passwörter sollten ja eigentlich überarbeitet werden. Aber davon sieht man aktuell nichts.

Dafür gab/gibt es jetzt OpenTalk für alle.

gerade das ist ja das Geniale, man braucht nicht extra warten

den 2ten Faktor eingeben zu können, sondern das geht in einem Rutsch;

wo ist das Problem?

und vernünftig bedienbar ist immer im Auge des Betrachters;

Eine vierstellige PIN ist nicht genial. Der Standard, den eine große Mehrheit der anderen Anbieter von 2FA-Funktionen bietet ist genial: ein sicheres Passwort vergeben (nicht vierstellige PIN!) und zusätzlich einen zweiten Faktor bei der Anmeldung verwenden, zum Beispiel ein OTP:

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html

Wie funktioniert ein Log-In mit einem zweiten Faktor?Eine Authentisierung mittels mehrerer Faktoren beginnt in vielen Fällen mit der gewöhnlichen Eingabe eines guten Passworts. Das System, in das sich Nutzerin oder Nutzer einloggen möchten, bestätigt daraufhin die Richtigkeit des eingegebenen Kennworts. Dies führt jedoch nicht - wie bei einfachen Systemen üblich - direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke. Auf diesem Weg wird verhindert, dass unbefugte Dritte Zugang zu Nutzerdaten oder Funktionen erhalten, nur weil Sie in den Besitz des Passworts gelangt sind.

Bei Mailbox.org kann derzeit keine brauchbare 2FA angeboten werden. Ich wette nicht weil Mailbox.org es nicht will, sondern weil es mit dem verwenden Software Stack nicht besser möglich ist.

Von usable Security wie vom BSI gefordert fangen wir lieber nicht an: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/Bewertung-2FA-Verfahren/bewertung-2fa-verfahren_node.html#doc1032220bodyText3

Nützt jedoch alles nichts, Peer Heinlein hat festgestellt, dass die derzeitige 2FA gut genug ist und aus seiner Sicht maximale Sicherheit garantiert. Wir Kunden können das nur akzeptieren oder wechseln.

Nein.

Ich habe in vielen, vielen Posts die sehr ausführlich die Problematik des Softwarestacks dargelegt und dabei auch ausführlich dargelegt, dass wir an der Implementierung von OpenIDConnect alias Keycloak arbeiten, dies aber ein immenses Unterfangen ist, weil wir zeitgleich Dutzende verschiedener großer und kleiner Dienste simultan umprogrammieren und abinden müssen. Insb. *weil* unser internes Verwaltungssystem extrem sicher und abgeschottet programmiert ist und NICHT mit Master-Passwörtern für unsere Backends arbeitet (wie das andere Provider tun) ist das alles andere als trivial. Diese arbeiten schreiten voran, ich könnte mich zu Details des Zeitplans äußern, mache das aber nicht mehr, weil mir das vielfach mit Unverständnis und Gehässigkeit quittiert worden ist.

Ich habe aber auch mehrfach dargelegt, dass es bei einen solchen Multi-Service-Angebot wie mailbox.org KEINE kluge Idee ist, einfach das Haupt-Passwort durch einen 2. Faktor anzusichern. Ich habe keinerlei Lust, dass zum x. mal darzulegen, es ist alles beliebig oft erklärt worden. Kurzfassung: Solange es Dienste gibt, die kein 2FA können und einen Passwort-Only-Login brauchen, wäre es absoluter Quatsch, den Login über Passwort und OTP abzusichern, weil dann das Passwort kompromittiert wird. Das verstehen viele nicht, aber das kann ich dann nur sehr bedingt ändern. Das versteht man inbs. dann nicht, wenn man von Mailprotokollen wenig Ahnung hat und glaubt, dass das Internet nur aus http-basierten Protokollen besteht, die alle bequem per Eingabemaske mit einem 2. Faktor abzusichern sind. Die Welt ist aber nicht so.

Das Problem löst sich durch eine flächendeckende OIDC-Unterstützung, aber solange die nicht gegeben ist, wäre eine Kombi aus Passwort+OTP absoluter Irrsinn.

Wir arbeiten weiter an der Einführung von OIDC und melden uns, wenn es soweit ist.

@Schokoriegel

Denkfehler

Du weißt hoffentlich welches Problem das hier:

"Dies führt jedoch nicht - wie bei einfachen Systemen üblich - direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke."

mit sich bringt ...

hallo Peer Heinlein [mailbox.org], vielen Dank für die persönliche Antwort. Ich verstehe, dass es viel Zeit und Arbeit erfordert, OIDC zu implementieren in einer gewachsenen Struktur und die Sicherheit im Backend gewährleistet werden muss.

Das Argument, dass die PIN (die keine PIN ist, sondern ein kurzes vierstelliges alphanumerisches Passwort) + OTP sicherer wäre zieht nicht. Ich kann verstehen, dass ihr bisher keine Lösung hattet, die mehr zugelassen hat und OIDC eben große Umbaumaßnahmen erfordert.

Rein nur auf das Thema PIN + OTP bezogen spräche aus Sicht des Anwenders alles dafür, dass man beides hätte:

• ein sicheres Passwort und zusätzlich 2FA für den interaktiven manuellen Login an der Weboberfläche.
• Zusätzlich weitere Applikations-spezische lange Passwörter für zum Beispiel IMAP, WebDAV und Kalenderzugriff, die man jedoch nur einmal eingeben muss, die also sehr lang und kryptisch sein können, da bei automatisierten Schnittstellen keine 2FA möglich ist.

Es gibt schlicht keinen als Anwender nachvollziehbaren Grund, warum man nur ein kurzes vierstelliges Passwort + OTP haben kann. Das ergibt keinen Sinn. Sicherheitsbedenken sind kein Grund. Nirgendwo sonst wo ich 2FA kenne ist das Ausgangspasswort nur auf vier Stellen begrenzt.

Eine PIN ist zudem eine PIN: personal identification number, Geheimzahl. Gibt es bei Bezahlkarten an der Kasse, beim Hotelsafe oder Türschlössern. Nirgendwo in moderner IT habe ich noch vierstellige Passwörter. Selbst nicht mit 2FA.

Ich wette zudem weiter, dass ihr bei einer internen Auswertung der Nutzungsrate der jetzt implementierten 2FA bei einer niedrigen Adoptionsrate liegen werdet. Das aktuelle 2FA-Verfahren verhindert wegen fehlender Benutzerfreundlichkeit, Unüblichkeit und unzureichend verständlicher Dokumentation praktisch gelebte Security bei den Anwendern.

Folgender Link in der 2FA-Doku führt übrigens derzeit ins Nirwana:
Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort.

Das ist schon längere Zeit so wenn ich mich recht entsinne. Ob die Doku überhaupt irgendjemand versteht und komplett anwendet?

Ich hoffe die Doku für OIDC wird besser - idealerweise benötigt man die Doku gar nicht, weil das 2FA-Verfahren von OIDC selbsterklärend supereinfach einzirichten und zu benutzen ist.

Vielen Dank trotzdem und bitte nehmt meinen Beitrag als konstruktive motivierende Kritik. Weiter so und vielen Dank.

p.s. die nächste Generation Authentifizierung mit Passkeys und gerätebasierter passwortloser Anmeldung steht bereits in den Startlöchern:

• https://fidoalliance.org/passkeys/
• BSI Podcast 'Update verfügbar': #40: Passkey statt Passwort – was steckt dahinter?

@ Walter H.

Schreib doch ruhig dem BSI, dass du der Ansicht bist, dass das BSI bei der von mir oben zitierten Beschreibung des 2FA-Verfahrens einen Denkfehler hat und du es besser weißt als das BSI. Ich wäre gespannt auf die Antwort. Nur zu.

@Schokoriegel

diese von dir zitierte Beschreibung habe ich nicht gelesen, weil keine Relevanz;

"ein sicheres Passwort und zusätzlich 2FA für den interaktiven manuellen Login an der Weboberfläche."

genau das hast Du ja ..., Du scheinst es nur nicht zu sehen;

@Walter H.

Das BSI ist in Sachen Sicherheit in der Informationstechnik relevanter als deine freie Einzelmeinung.

@Schokoriegel

es hat genau deswegen keine Relevanz; weil es Deine Argumentation weder untermauert noch zeigt, dass Du Dich damit auseinandergesetzt hast;

Zitiere nur etwas, das Du auch verstanden hast.

@ Walter H.

Deine Meinung zur Sicherheit in der Informationstechnik ist weniger relevant als die des BSI. Das BSI ist kompetenter in diesem Thema als du. Du stehst nicht über dem BSI.

Du darfst anderer Meinung als das BSI sein, das ist jedoch irrelevant im Thema IT-Sicherheit.

Was du hier zeigst ist Verteidigung des Mailbox.org Kurses gegen jede rationale Argumente. Darfst du und du kannst den Faden gerne damit "bereichern". Nützt aber niemandem etwas und treibt die Entwicklung von Mailbox.org nicht weiter voran.

@Schokoriegel

hast Du denn ein rationales Argument?
(das Argument des nicht damit kompatiblen Password-Managers/-Safes zählt nicht, weil eben keine Relevanz und das ganze auf 1FA zurückstuft)

ich hab bis jetzt keines gesehen; wie gesagt das BSI sagt hier genau nichts, was dem Mailbox.org Kurs - gegen den Du bist - etwas entgegenzusetzen hätte

Alles klar?

@ Walter H.

Dass die 2FA-Einrichtung einfach sein sollte, die Dokumentation dazu kurz und verständlich und sich das ganze Verfahren in der Benutzung am Markt verfügbarer Dienste möglicht weit orientieren sollte sind rationale Argumente. Habe ich dir beim BSI verlinkt, willst du nicht lesen, weil du das BSI ablehnst, nun gut.

Fachlich kannst du diese Dimension z. B. unter User Experience (UX) einordnen. Das ist ein ganzes eigenständiges Fachgebiet in der Entwicklung von Software und Diensten. Nichts daran ist unsachlich, das ist ein gewöhnliches Sachthema. Leicht verständliche und schnell benutzbare Software und Dienste sind nicht selbstverständlich, sondern müssen erst zu einem hohen Grad an Gebrauchstauglichkeit entwickelt werden.

Zudem stimme ich dir grundsätzlich zu, dass dies teilweise ein Zielkonflikt zur IT-Sicherheit sein kann, aber nicht muss. Es geht beides gleichzeitig bzw. man sollte einen brauchbaren Kompromiss zwischen UX und Sicherheit finden, so dass die Sicherheitsfunktionen in der Praxis eine hohe Nutzerakzeptanz finden und breit eingesetzt werden.

Das 2FA funktioniert bei Mailbox genauso wie bspw. bei vielen RSA-Setups und dem Login in eine VM. Das ist zumindest im Unternehmensumfeld absolut marktüblich und auch vom BSI akzeptiert. Aber klar, man kann sich auch an Microsoft Auth oder Google ranklatschen und nen race to the bottom machen. Jeder wie er mag. Ich finde es so ganz gut, wie es mailbox handhabt.

@8908805

Wie du an diesem Faden und vielen weiteren Beiträgen von Mailbox.org Kunden sehen kannst, wird die Einrichtung der derzeitigen 2FA-Lösung als umständlich und verwirrend angesehen. Du bist mit deiner Ansicht, dass die Implementierung und Einrichtung marktüblich wäre absolut allein. Das BSI beschreibt 2FA ebenfalls anders.

Die Verwendung ist unüblich und teilweise falsch beschrieben, da ein vierstelliges Passwort eben keine persönliche Identifikationsnummer ist. Die Dokumentation ist ungenügend und enthält gleich zum Beginn nicht funktionierende Links. Eine einfache, kurze und regelmäßig gepflegte Liste mit direkten Links zu den Appstores für Android und iOS, welche TOTP-Apps empfohlen werden und wie diese zu den Einrichtungsoptionen passen fehlt ebenso.

Ein erster Schritt und vergleichsweise einfach in kurzer Zeit zu beheben wäre eine kurze, aktuell gepflegte und saubere Dokumentation der Einrichtung und das Streichen des Begriffs PIN, die keine PIN ist. Das wird einfach nicht angegangen, leider. :-(

Ich verwende hier TOTP und hatte es tatsächlich in Verbindung mit einem ReinerSCT in Minuten ohne Fehler eingerichtet. Und die Nutzung (PIN + Token als Passwort) funktioniert genau so wie das SecurID Token-Verfahren von RSA - also ein Standard um Konzernumfeld. Ich mache mir da auch nichts vor, dass das im Gelegenheitsnutzer-Umfeld ggf nicht bekannt ist und hier lieber die Verwendung von Microsoft/Google-Spyapps beliebter ist.

@8908805 ist mit seiner Einschätzung hier mit Sicherheit nicht allein.

Und Schokoriegel, einmal klar gesagt: dein rumgenöle hier nervt. Deine Ausführung und Meinungen, dass "ein vierstelliges Passwort eben keine persönliche Identifikationsnummer" sei, ist 1. eine Verdrehung von Dir, und 2. FALSCH.

Eine PIN *IST* definniert als "persönliche Identifikationsnummer, und wird hier für 2FA genau so genutzt, und genau das sagt mailbox.org auch.

Das dreisteste an deinem rumgeheule hier ist, dass du den gegebenen Hinweis, dass noch in diesem Jahr auf OpenIDConnect umgestellt wird, permanent ignorierst, um in einem vor 6 (!) Jahren gestarteten Thread wieder und wieder schlechte Stimmung zu verbreiten.

Aber spätestens mit deiner falschen Kritik an dem Konzept der hier anzuwendenden PIN und deren angeblich falscher Definition machst du dich echt lächerlich.

Ach ja, bevor das wieder kommt: ich arbeite in einem Hochsicherheitsumfeld, wir sind ISO 27001 zertifiziiert, und wir arbeiten mit gesundheitsbezogenen Daten.

Das, was mailbox.org hier bisher macht bei 2FA, IST Industriestandard. Denn wir machen das genau so. Und wir sind wie gesagt zertifiziert. Und natürlich machen wir das in VPNs, falls da auch wieder komische Fragen kommen sollten. Und ja, es ginge auch außerhalb von VPNs, aber für etliche Szenarien ist das bei uns eben so vorgeschrieben.

Und wer es noch eine Nummer sicherer will, wenn es um die Sicherheit seiner Passwörter geht, der schaue sich den Yubico Authenticator an - der macht es ganz leicht, den Zugriff auf den Authenticator mit dem Yubikey abzusichern.

Und dann ist da noch KeePass - damit kann man den Login genau so anlegen, dass man die mailbox.org-PIN eben NICHT im PW-Manager speichern muss,

So, das wars von meiner Seite.

Mir geht das ewige genörgle hier nämlich mächtigst auf den Zeiger.

Danke!

@ 8908805

Ja, für Fachleute ist die Anleitung machbar, sie entspricht aber wie du an den vielen Beschwerden hier und anderswo sehen kannst nicht der Erwartung vieler gewöhnlicher Anwender und hat nichts mit Standard zu tun. Dass das Einzelne anders sehen können ist davon unabhängig.

@ 7586310

Wenn du nicht in der Lage bist, das Thema zu verstehen und sachlich zu diskutieren - einfach die Finger still halten. Dein Genöle und deine persönlichen Angriffe sind hier kein Thema. Ich diskutiere erst dann mit dir wenn du es schaffst, sachlich zu bleiben.

@Schokoriegel spar Dir Dein rumgeheule, wenn Du nicht in der Lage bist mit dem wie es mailbox.org anbietet umzugehen, halt einfach Deine Klauen still;

jeder der lesen kann kommt mit der Anleitung zu recht; und wer nicht lesen kann, dem ist nicht zu helfen;

@Walter H.

Spar dir dein Rumgeheule und dein inhaltsloses Geschreibsel, wenn du nichts zum Sachthema beitragen kannst.

> jeder der lesen kann kommt mit der Anleitung zu recht; und wer nicht lesen kann, dem ist nicht zu helfen;

Deine Behauptung ist nachweislich falsch, wie du an diesem Faden hier und unzähligen weiteren Beschwerden über die 2FA-Funktionalität bei Mailbox.org von anderen im Netz lesen kannst.

@Schokoriegel: ach und welchen Inhalt lieferst Du?

schaffst Du es ohne andere zu beleidigen sachlich zu diskustieren?

ein 'Ja' ist nachweislich falsch, siehe Deine vielen sinnlosen Kommentare;

@ Walter H.

Ich habe hier zig Fakten geliefert und sachlich diskutiert. Weißt du alles, habe ich dir ausreichend erklärt. Muss ich dir nicht noch einmal alles wiederholen. Von dir kam am Ende nichts mehr, weil du mit deinem Latein am Ende warst. Du meinst, auf der Basis der persönlichen Angriffe eines anderen Teilnehmers jetzt deinen Frust abladen zu können, weil dir die Sachargumente ausgegangen sind. Dabei kann ich dir nicht helfen.

Die Lösung ist einfach: beim Sachthema bleiben, und aushalten, dass wir hier nicht entscheiden, ob und wann Mailbox.org eine vernünftige 2FA-Lösung anbieten wird. OpenID Connect ist angekündigt, wann das kommt und ob die Einrichtung, Bedienung und Gebrauchstauglichkeit der mit OIDC realisierten 2FA besser, gleich schlecht wie heute oder schlechter sein wird ist noch nicht bekannt.

In der Zwischenzeit kannst du weiter hier deine Ansicht vertreten, dass bei Mailbox.org alles super ist und man auf keinen Fall irgendwas verbessern müsste, obwohl die Kritik an der Mailbox.org 2FA durch das halbe Netz unzählige Male nicht nur von mir geäußert wurde.

Bei dir ist es zudem nervig, dass du hier alles tot diskutierst und einfach nicht einsehen kannst, dass manche Verhältnisse einfach verbesserungswürdig sind und geändert gehören.

Ich habe ein ganz einfaches Beispiel: Doku Einrichtung 2FA

Kannst du bestätigen, dass gleich der Link am Anfang der offiziellen 2FA-Doku kaputt ist und das verbessert gehört? Ist es dir möglich, dazu irgendwie einmal ja zu sagen und zu einzugestehen, dass das geändert und verbessert gehört?

Wenn du noch nicht einmal dieses Minimalbeispiel bestätigen und zustimmen kannst geht es dir überhaupt nicht um die Sache. Ganz einfaches Minimalbeispiel und Sachdiskussion. Und über diese einfachen Sachthemen muss man nicht ausrasten und andere Kunden unter die Gürtellinie angehen, sondern das kann man sachlich kritisieren. Konstruktiv.

Ich könnte ebenfalls ein Ticket dazu aufmachen, brauche das aber jetzt nicht mehr selber, da ich auch trotz dieser unbrauchbaren Dokumentation geschafft habe, die 2FA einzurichten.

Wenn man statt der vielen sinnlosen Streiterien hier nur einmal zwei Stunden die Dokumentation auf Vordermann gebracht hätte wäre schon die Hälfte des Problems hier erledigt. Es findet sich jedoch über 6 Jahre lang kein Wille dazu, dies zu tun.

Wenn man einen Passwortmanager hat, der Passwort + OTP speichert und verwaltet. hat man eh keine 2FA mehr. 2FA hat man nur, wenn man zwei unabhängige Faktoren hat.

2FA heisst doch nur, dass man 2 Sachen machen muss, um sich erfolgreich anzumelden?

1FA = nur ein Passwort oder Code
2FA = ein Passwort oder Code + noch was

Laut deiner Argumentation müsste man aus Sicherheitsgründen ja zwei Geräte haben. Eine App mit dem Passwortmanager, auf dem zweiten Handy eine App mit einem TOTP-Generator. Wahrscheinlich nicht so realistisch im Privatkundenbereich?

Auf jeden Fall ist 2FA generell sicherer als 1FA (nur ein Passwort).

@Name Du hast bei der 2FA was grundsätzliches Mißverstanden;

bei der Authorisierung mit nur einem Faktor ist das einfach nur 'Wissen', sprich ein Passwort od. ein Code den man wissen muss;

bei der Authorisierung mit 2 Faktoren, kommt noch der Besitz von etwas hinzu;

der Besitz kann sein,

- eine Chipkarte [dazu braucht es dann auch einen PIN]

- ein TAN¹

- ...

¹ jetzt etwas Geschichte: mit dem Zeitalter als das sogenannte Elektronik-Banking übers Internet verbreitet wurde, gab es bereits innovative Banken, welche das was heute als TOTP-Generator bezeichnet wird, dem Kunden als "Scheckkarte" mitgaben, und der TAN setzte sich dann durch ein paar Stellen Wissen und ein paar Stellen des Generators zusammen;

auch die klassischen TANs auf Papier - wurden durch die PSD2-Richtlinie der EU untersagt - waren ein 2ter Faktor; weil ohne diesem Papierschnippsel mit den TANs, nützt einem 3ten - dem Betrüger - der PIN nicht wirklich etwas;

ein TAN mit SMS hat bei der einen od. anderen Bank noch Bedeutung - wurde durch die PSD2-Richtlinie nicht untersagt;

aber die meisten Banken waren hier nicht ganz uneigennützig und haben auf den pushTAN gesetzt;

so wie Du es handhabst gibt es kein 2FA, weil sobald der Passwortmanager auch den OTP-Token generiert, fehlt der Faktor Wissen.

und nein, man braucht kein 2tes Gerät; man muss es nur richtig machen; und es mailbox.org anzukreiden es so zu machen, dass DU mit Deinem Passwortmanager nicht zu Rande kommst ist ein ganz anderes Problem;

2FA heißt: Wissen plus Besitz, ein Passwortmanager der zugleich TOTP-Generator ist, ist einfach Unwissen.

so wie Du es handhabst gibt es kein 2FA, weil sobald der Passwortmanager auch den OTP-Token generiert, fehlt der Faktor Wissen. 

Ich denke, dass du dich hier verschrieben hast und meinst, dass der Faktor "Besitz" fehlt.

In der Theorie hast du damit auch Recht, aber bei genauerem Hinsehen ist TOTP ohnehin auch nicht wirklich Besitz, sondern viel mehr Wissen "getarnt" als Besitz, schließlich entscheidet hier nur die Kenntnis über den geheimen Schlüssel, aus dem das TOTP generiert wird. Die Verwaltung dieses geheimen Schlüssels obliegt anders als bei Hardware-basierten "Besitz"-Faktoren (bspw. der Chipkarte oder der SIM-Karte für SMS-Empfang) dem Nutzer bzw. der jeweils eingesetzten App. Sowohl der Nutzer als auch die App können das Wissen (also den geheimen Schlüssel) jederzeit duplizieren bzw. verbreiten, weswegen man hier wohl kaum von "Besitz" als Faktor sprechen kann. In der Zeit von Passwortmanagern "weiß" der Nutzer sein Passwort übrigens in der Regel genau so wenig wie sein TOTP-Geheimnis. Wenn eine (lokale) TOTP-App als Faktor "Besitz" durchgeht, könnte genau so auch ein (lokaler) Passwortmanager als Faktor "Besitz" durchgehen, wodurch man wieder bei nur einem Faktor wäre.

Das ist aber in der Realität auch überhaupt kein Problem, denn die wahre Frage sollte sich nicht um die Menge oder die Art der Faktoren drehen, sondern um Angriffsvektoren und wie diese durch verschiedene Authentisierungen abgewehrt werden. Aus diesem Grund sind mehrere Faktoren auch nicht zwangsläufig sicherer als nur ein einzelner Faktor. Ein starkes und einzigartiges Passwort kann, obwohl nur ein einzelner Faktor, sicherer sein als ein schwaches und mehrfach eingesetztes Passwort mit 2FA über SMS.

Die gesamte Diskussion, ob TOTP-Token im Passwortmanager gemeinsam mit den Passwörtern gespeichert werden sollen/dürfen, ist in der Realität nur dann relevant, wenn der Angriffvektor daraus besteht, dass Zugriff auf den Passwortmanager erlangt werden könnte. Dieser Angriffsvektor spielt jedoch eine eher untergeordnete Rolle im Vergleich zu Passwort-Leaks, Phishing und Malware.

@ 3193838

ich mein das schon richtig, dass hier der Faktor Wissen fehlt;

ein TOTP-Generator ist nur der Faktor Besitz;

und ein Passwort od. ein PIN, welchen man nicht selbst eingeben muss, ist eben kein Wissen;

wenn Du es so willst ist der Passwortmanager ein Superwissen, des aber de Fakto niemand hat;

und auch menschliches Versagen ist Teil des Angriffsvektors, nennen nur die meisten dann Single-Point-of-Failure;

Klar, kann ein gutes Passwort sicherer sein, als ein schlechtes mit SMS od. sonst wie als 2ten Faktor abgesichertes;

nur ist ein gutes Passwort eben nur so lange gut, so lange es nirgends gespeichert ist;

und spätestens, wenn jemand es in einem Passwortmanager ablegt ist es wieder ein schlechtes Passwort;

der Tenor hier geht in die Richtung, dass so wie es eben hier implementiert ist, unbequem ist, obwohl es genau deswegen eben sogar sicherer ist;

weil eben kein Passwortmanager hilft ;-)

Komfort/Bequemlichkeit und SIcherheit korrelieren NIE.

@ 3193838

ich mein das schon richtig, dass hier der Faktor Wissen fehlt;

ein TOTP-Generator ist nur der Faktor Besitz;

und ein Passwort od. ein PIN, welchen man nicht selbst eingeben muss, ist eben kein Wissen;

wenn Du es so willst ist der Passwortmanager ein Superwissen, des aber de Fakto niemand hat;

und auch menschliches Versagen ist Teil des Angriffsvektors, nennen nur die meisten dann Single-Point-of-Failure;

Klar, kann ein gutes Passwort sicherer sein, als ein schlechtes mit SMS od. sonst wie als 2ten Faktor abgesichertes;

nur ist ein gutes Passwort eben nur so lange gut, so lange es nirgends gespeichert ist;

und spätestens, wenn jemand es in einem Passwortmanager ablegt ist es wieder ein schlechtes Passwort;

der Tenor hier geht in die Richtung, dass so wie es eben hier implementiert ist, unbequem ist, obwohl es genau deswegen eben sogar sicherer ist;

weil eben kein Passwortmanager hilft ;-)

Komfort/Bequemlichkeit und SIcherheit korrelieren NIE.

Es geht nicht um theoretisches Maximieren der Sicherheit als Vorwand, um zu verschleiern, dass Mailbox.org derzeit keine sicher und hinreichend bequeme Art von 2FA anbieten kann.

Sich das Thema schön zu reden und eine vierstellige PIN (die keine PIN ist, nur Groß- und Kleinbuchstaben und Zahlen) + OTP in einem Schritt als 2FA zu definieren und das maximal kompliziert, so dass viele Anwender abspringen und bei single factor Authentifizierung bleiben macht es nicht besser.

Die großen Anbieter zeigen leider erneut, wie es die Anwender haben wollen: sicher und bequem. Die 2FA von Mailbox.org ist so verwirrend und unbequem, dass sie nicht genutzt wird. Ich wette, dass eine Auswertung über die aktiven 2FA-Accounts ergeben wird, dass kaum jemand diese 2FA benutzen wird.

2FA muss hinreichend einfach benutzbar sein. Die derzeitige Situation mit Sicherheitstheorie schön reden macht nichts besser.

Also jetzt muss ich mich doch mal verteidigend vor mailbox.org werfen.

Ich stimme zu, die vom TO vor 6 Jahren beklagte, bis heute so existierende Einrichtungsmaske, ist eine nerdige Zumutung. Es bleibt dem Willigen nur, so lange herumzuexperimentieren, bis der "Testen"-Dialog ein grünes Ergebnis auswirft.

Dann aber ist es die eindeutigste und einfachste und universalste und dabei sicherste Variante, die man sich denken kann. Man benötigt seinen OTP-Generator; wenn man denn technisch absolut unabhängig sein will, hat man das Geheimnis memoriert und rechnet den Code mit Zettel und Stift aus; und einen leicht zu merkenden PIN, den man nirgends aufschreiben muss.

Und ab da kommt man unter allen Umständen in den Mailer, solange der Browser https kann und das, was er zurück bekommt, in eine lesbare Form zu rendern in der Lage ist. Das OS ist egal, ob das Terminal, an dem man sitzt, in der Lage ist, BT- oder irgendeinen anderen Kontakt mit einem Passkey- oder OTP-Gerät aufzunehmen, ist irrelevant.

Nur in welcher Reihenfolge, erst PIn oder erst Code - das muss ich jedesmal neu ausprobieren. :)

Wenn ich es maximal bequem haben will, dann habe ich einen Mailclient installiert. Der kommt über IMAP, da spielt 2FA sowieso keine Rolle. Wenn man sich wirklich und ausschließlich über das Web-Portal verbindet und immer wieder abmeldet, dann will man es SICHER. In der Passwort-App neben dem Passwort auch da 2FA-Geheimnis mit abzulegen, macht die Sache traumhaft bequem, wenn die Webseite mitspielt, aber reduziert letztlich die Sicherheit doch wieder auf 1FA - das Passwort für die Passwort-App; das gilt dann praktischerweise gleich für alle dort abgelegten Accounts.

@Schokoriegel

"2FA muss hinreichend einfach benutzbar sein."

widerspricht aber dem Grundgedanken 2FA

'einfach' und 'sicher' sind 2 nicht korrelierende Eigenschaften

2FA muss sicher sein, das steht ohne Zweifel über alles;

Kann leider meinen Beitrag nicht bearbeiten.

Ich scheine 2FA bei Mailbox.org völlig falsch verstanden zu haben. Dachte man müsse wie bei anderen Diensten wie gehabt sein Passwort eingeben und dann zusätzlich eine selbstausgedachte PIN plus noch das OTP und das sich Leute darüber aufregen (das es halt einfacher bei anderen Diensten ist, denn da reicht Passwort + OTP aus).

Dabei heisst 2FA hier scheinbar anstatt dem 30-stelligen Passwort + OTP (wie bei anderen Diensten) eine 4-stellige PIN + ein OTP?

Jein, die Authentifizierung besteht aktuell aus PIN + OTP (WebUI) oder Passwort (alle anderen Dienste).

Wie Peer oben bereits erklärt hat, wäre es geradezu fahrlässig, das Passwort für die Anmeldung am WebUI zu nutzen, zumindest solange die anderen Dienste nicht auch 2FA nutzen oder anwendungsspezifische Passwörter nutzen.

Danke, lufer

@ Walter H.

> "2FA muss hinreichend einfach benutzbar sein."

> widerspricht aber dem Grundgedanken 2FA

> 'einfach' und 'sicher' sind 2 nicht korrelierende Eigenschaften

> 2FA muss sicher sein, das steht ohne Zweifel über alles;

Das ist mir bekannt. Es hilft jedoch nichts, eine Sicherheitslösung zu bauen, die in der Theorie wunderbar sicher ist, deren Einrichtung und Verwendung so unüblich und kompliziert ist, dass kaum ein Anwender diese wunderbar sichere Lösung einsetzt, da 2FA weiterhin bei Mailbox.org kein Opt-out Default und auch kein Standard ist. Bei Mailbox.org ist bis heute 2FA optional. Die 2FA muss manuell über den Anwender eingerichtet und kann deaktiviert werden.

Siehe dazu wieder das BSI: technische Betrachtung bei 2FA-Verfahren - usable Security: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/Bewertung-2FA-Verfahren/bewertung-2fa-verfahren_node.html#doc1032220bodyText3

Es ist eben nicht so, dass es bei Security ausschließlich darum geht, technisch die Sicherheit zu maximieren. Wenn ein Sicherheitsmerkmal optional ist und per default abgeschaltet ist muss man die Anwender zwingend mitnehmen und möglichst einfache Einrichtung und Anwendung sicherstellen, damit die Nutzungsrate der 2FA möglichst hoch ist. Theoretisch maximal sichere Verfahren, die kaum jemand einsetzt erbringen in der Praxis nicht den Sicherheitsnutzen, den man haben will.

@Schokoriegel

"Es ist eben nicht so, dass es bei Security ausschließlich darum geht, technisch die Sicherheit zu maximieren."

doch, weil man bei Reduktion der Sicherheit die Maßnahme in Frage stellen muss;

"Bei Mailbox.org ist bis heute 2FA optional."

Jein. wenn eingerichtet ist es auch verpflichtend; genau wie man es erwartet;

andere Player haben da ganz andere Unarten: dass man eben nicht jedesmal den OTP braucht ... z.B.;

und so wie mailbox.org 2FA implementiert hat, ist sie zwar anders, aber in Summe nicht komplizierter; eher einfacher bei der Handhabe;

wie gesagt, im Auge des Betrachters; und dass kaum jemand 2FA bei mailbox.org nutzt ist Deine pers. Meinung, welche keinesfalls der Realität entsprechen muss; was sie wahrscheinlich auch nicht tut;

@ Walter H.

> "Es ist eben nicht so, dass es bei Security ausschließlich darum geht, technisch die Sicherheit zu maximieren."

> doch, weil man bei Reduktion der Sicherheit die Maßnahme in Frage stellen muss;

"doch" ist kein Argument. Etwas in Frage stellen ist ebenfalls kein Argument.

Wenn jedoch eine theoretisch super sichere Funktion optional bleibt, standardmäßig nicht eingerichtet ist, die Einrichtung mühsam und unüblich realisiert ist und deshalb kaum eingesetzt wird ist dieser Sicherheitsmechanismus im Ergebnis weniger sicher, als eine benutzbarere 2FA, die üblichen Standardverfahren folgt und leicht einzurichten ist.

Es geht nicht um Sicherheit in der Theorie, sondern um verwirklichte Sicherheit in der gelebten Praxis. Wir diskutieren hier über die Praxis.

> "Bei Mailbox.org ist bis heute 2FA optional."

> Jein. wenn eingerichtet ist es auch verpflichtend; genau wie man es erwartet;

Nicht jein, sondern so ist es. 2FA ist per Default abgeschaltet und man muss 2FA erst über einen mühsamen und schwer zu verstehenden manuellen Prozess einrichten, was genau hier das Thema ist. Was optional bleibt, mühsam und kompliziert eingerichtet werden muss wird kaum eine nennenswerte Nutzung erfahren. Siehe https://de.wikipedia.org/wiki/Default-Effekt

> und so wie mailbox.org 2FA implementiert hat, ist sie zwar anders, aber in Summe nicht komplizierter; eher einfacher bei der Handhabe;

Doch, es ist komplizierter, da nicht wie erwartet. Erwartet ist, dass man ein von mir aus neues sicheres Passwort seiner Wahl für 2FA vergibt und dieses dann über einen zweiten vom Passwort unabhängigen Faktor zusätzlich geschützt wird. Habe ich dir beim BSI verlinkt, wie der allgemein verwendete und erwartete Nutzungsablauf bei 2FA ist. Oben zitiert, hat dir nicht gefallen und du hast dem BSI einen Denkfehler unterstellt, der offensichtlich nicht beim BSI liegt, solange du nicht schlauer bist als das BSI.

> dass kaum jemand 2FA bei mailbox.org nutzt ist Deine pers. Meinung, welche keinesfalls der Realität entsprechen muss; was sie wahrscheinlich auch nicht tut;

Woher weißt du, dass das nicht so ist? Ich habe hier die Klagen der Nutzer auf meiner Seite, dass die Einrichtung verwirrend, umständlich und unlogisch ist, zudem den Fakt, dass die Einrichtung kein Default ist, sondern optional. Ich wette ohne die Zahlen zu kennen, dass die 2FA-Nutzung bei privaten Anwendern von Mailbox.org wegen dieser umständlichen Einrichtung, unklaren Dokumentation und unüblichen Verwendung deutlich unter der 2FA-Nutzung bei anderen Email-, Weboffice und Cloud-Anbietern zurück bleibt.

Ich wäre sehr überrascht, wenn eine Rate von 90% oder mehr von Anwendern erreicht wird. Unvorstellbar bei der Qualität der Dokumentation, die du keinem Normalanwender zumuten kannst.

"Wenn jedoch eine theoretisch super sichere Funktion optional bleibt,"

ein zusätzliches Schloß bei einer Haustür od. Wohnungstüre ist auch nur optional,

und bei welcher Tür wird ein vermeintlicher Einbrecher es eher versuchen

der mit nicht verwendetem Zusatzschloß od. der ohne Zusatzschloß?

Und Deine Argumentation ist angesichts der Problematik nicht passend;

"Nicht jein, sondern so ist es."

Leider falsch. und lese erst die Argumentation vollständig und verstehe sie auch.

"Woher weißt du, dass das nicht so ist?"

zähl mal 1 und 1 zusammen ...

@ Walter H.

> "Wenn jedoch eine theoretisch super sichere Funktion optional bleibt,"

> ein zusätzliches Schloß bei einer Haustür od. Wohnungstüre ist auch nur optional,

> und bei wellcher Tür wird ein vermeintlicher Einbrecher es eher versuchen

> der mit nicht verwendetem Zusatzschloß od. der ohne Zusatzschloß?

Es geht nicht um Vergleiche mit irgendwelchen Schlössern. Es geht in diesem Kommentarfaden darum, warum die derzeitige Mailbox.org Lösung für 2FA so unglaublich umständlich und verwirrend eingerichtet ist und sich nicht an gängige am Markt etablierte Verfahren hält.

Ob du das für passend oder nicht passend hältst - gut für dich, macht aber keinen Unterschied. Es macht jedoch sehr wohl einen Unterschied, ob die Mailbox.org 2FA-Lösung einfach einzurichten und nach gängigen Methoden einfach bedienbar ist, so dass durchschnittliche Anwender damit zurecht kommen. Dann kann man die Benutzer-Akzeptanzrate deutlich steigern. Praktische Security gegen theoretische Security, die in der Praxis nicht funktioniert.

> "Woher weißt du, dass das nicht so ist?"

> zähl mal 1 und 1 zusammen ...

Du mutmaßt also, dass etwas sein könnte, was angesichts des Default-Effektes und der hier breit diskutierten umständlich-verwirrenden Einrichtung und Bedienbarkeit der Mailbox.org 2FA unwahrscheinlich ist.

Gegen diese niedrige Wahrscheinlichkeit spekulierst du auf das Gegenteil, dass viele Nutzer absolute Experten sind und sich durch einen umständlichen, unüblichen und kompliziert unverständlich dokumentierten Prozess durcharbeiten. Glaube ich weiter nicht, eine Vielzahl an von mir beobachteten Benutzer zeigt mir das Gegenteil.

Wir sind also verschiedener Meinung. Verstanden.

@Schokoriegel

"Es geht nicht um Vergleiche mit irgendwelchen Schlössern."

dann kannst Dir Deine Argumentation gänzlich sparen;

Du willst es einfach nicht verstehen;

weiter oben hatte ich bereits angedeutet: dass so wie Du das mit 2FA gerne hättest; es f. böse Jungs es einfacher ist das Konto zu knacken, als es bei mailbox.org implementiert ist;

warum das so ist, solltest Dich damit erstmal auseinandersetzen;

bevor noch Argumente fallen, wie schlecht, seltsam, od. sonst wie es mailbox.org implementiert hat;

Daumen hoch f. Mailbox

und ich bin raus aus der Diskussion;

@Walter H.

>"Es geht nicht um Vergleiche mit irgendwelchen Schlössern."

> dann kannst Dir Deine Argumentation gänzlich sparen;

> Du willst es einfach nicht verstehen;

Ich habe längst verstanden. Du hast nur eine andere Meinung als ich, viele andere Kunden hier in diesem Faden und als das BSI. Darfst du. Das heißt noch lange nicht, dass ich deine Position nicht verstehe. Ich verstehe deine Position, ich halte sie aber für falsch.

IT-Sicherheitsmechanismen müssen neben technicher Sicherheit gleichzeitig auch möglichst einfach bedienbar sein. Wenn die Einrichtung nicht default-mäßig aktiver Sicherheitsverfahren optional ist darf die Einrichtung keinesfalls zu kompliziert oder gar umständlich und verwirrend sein. Sonst werden diese zusätzlichen Sicherheitsfunktionen einfach nicht genutzt. Einfacher Fakt. Schreiben Fachleute vom BSI genau so, ist allgemeines IT-Grundlagenwissen.

Wenn du das immer noch nicht verstehst hier ein prägnantes Beispiel aus der weiteren Praxis:
Heise Online: Taurus Leak: Bundeswehr nutzte angeblich ungesichertes System Zitat:

> In einem Interview mit der "Welt" äußerte Kiesewetter auch Kritik am Umgang mit Konferenzsystemen in der

> Bundeswehr. Zwar sei die Truppe "Opfer, nicht Täter", so Kiesewetter, dennoch gestand er ein: "Auch die hohe

> Generalität muss begreifen, dass solche Kommunikation nicht über WebEx, Zoom, oder andere offene Kanäle

> laufen kann. Dazu gibt es gehärtete Verfahren. Warum das nicht eingesetzt wurde, muss geklärt werden."

> Kiesewetter sieht hinsichtlich der Kommunikationsmittel der Bundeswehr auch das BSI in der Pflicht, es müsse sich "Gedanken machen, wie man niedrigschwellig generell geschützte Kommunikation ermöglicht".

> Solche Systeme gebe es zwar, es sei jedoch "die Schwelle, sicherheitsbedeutsame Videokonferenzanlagen zu nutzen, relativ hoch."

Das ist nicht das selbe Thema wie komplizierte 2FA bei Mailbox.org, zeigt aber, was passieren kann, wenn Sicherheitsmechanismen zu kompliziert und umständlich sind. Dann wird einfach über ungesicherte Mittel kommuniziert, die aber einfach zu verwenden sind.

Daher: Sicherungsmittel müssen hinreichend einfach verwendbar sein. Sonst werden diese Sicherheitsmittel in der Praxis zu oft umgangen und verbleiben ungenutzt. Man muss es nicht übertreiben mit der Einfachheit, so dass das Sicherungsmittel zu unsicher wird, man darf es aber auch nicht mit der Sicherheit übertreiben, so dass die Anwender nicht mehr mitmachen.

Verstehst du es jetzt endlich?

Und zum Thema

> Daumen hoch f. Mailbox

Ich vergebe ebenfalls Daumen hoch f. Mailbox.org, will aber gleichzeitig, dass die 2FA hier endlich besser benutzbar wird. Seit 6 Jahren haben wir hier immer noch keine einfach bedienbare, sichere und zugängliche 2FA. Das ist hier kein Schlechtreden, sondern konstruktive Kritik und Bitte an den Anbieter, die OIDC-Implementierung mit neuer verbesserter 2FA schneller voran zu treiben. Ein weiter so auf dem Stand von vor 6 Jahren bringt Mailbox.org nicht voran.

@Schokoriegel

"Ich habe längst verstanden."

Nein hast Du nicht, weil Du etwas für falsch hältst, was Du eben nicht verstanden hast.

Noch einmal, weil Du ja von Vergleichen nichts hältst;

Deine Variante - so Du Dir das 2FA wünscht - ist im höchsten Maße angreifbar;

weil ohne das da jemand einen Login mangels des 2ten Faktor schafft, dennoch

die Kenntnis von deinen - ach so tollen hochsicheren, weil ja im dummen Passwortsafe - Passwort haben kann,

ohne dass Du die Kenntnis davon hast ..., es nicht einmal bemerkst;

korrekter Ablaufdiagramm eines 2FAs nach deiner Vorstellung, wie Du es gerne hättest

Dialog 1: UserID plus Passwort

Dialog 2: 2ter Faktor kommt IMMER, egal, welches Passwort eingegeben wurde

erst jetzt kommt die Prüfung, und der Fehler darf keinen Hinweis darauf geben,

ob die UserID, das Passwort od. der 2te Faktor falsch war.

fehlerhafter Ablauf - so hat ihn die Masse aber implementiert

Dialog 1: UserID und Passwort

Prüfung ob UserID und Passwort korrekt

Dialog 2: 2ter Faktor

Prüfung ob 2ter Faktor korrekt

merkst was?

@ Walter H.

> Deine Variante - so Du Dir das 2FA wünscht - ist im höchsten Maße angreifbar;

Das ist nicht "meine" Variante. Das ist der gängige Standard, den du zum Beispiel bei den weltgrößten IT-Unternehmen überhaupt finden kannst. Ich habe das weder erfunden, noch für gut befunden.

> die Kenntnis von deinen - ach so tollen hochsicheren, weil ja im dummen Passwortsafe - Passwort haben kann,

Falsch. Ein vernünftiger Loginmechanismus sperrt nach einer niedrigen Anzahl fehlgeschlagener Loginversuche weitere Loginversuche oder verlangsamt den Login immer weiter, so dass es in der Praxis so gut wie unmöglich wird, den ersten Faktor durch ausprobieren zu knacken. Um Benutzerkonten zum Beispiel gegen entwendete Passwörter zu schützen - dazu ist der zweite Faktor da.

2FA funktioniert, wenn 2FA besonders einfach in der Einrichtung und Handhabung und gleichzeitig sicher genug implementiert ist, so dass der gesamte Anmelde- und Authentifizierungsmechanismus insgesamt in der Praxis für die Anwender möglichst sicher ist. 2FA funktioniert nicht, wenn das Verfahren weit von üblichen 2FA-Verfahren abweicht und umständlich-verwirrend einzurichten ist, zudem nur optional und im Default deaktiviert ist. Mehrfach erklärt.

Mailbox.org ist nicht die große globale Mehrheit und setzt keine Standards, wie 2FA allgemein akzeptiert angewendet wird. Was allgemeiner Standard bei den Anwendern ist definieren andere.

@Schokoriegel

"Ein vernünftiger Loginmechanismus sperrt nach einer niedrigen Anzahl fehlgeschlagener Loginversuche weitere Loginversuche oder verlangsamt den Login immer weiter, so dass es in der Praxis so gut wie unmöglich wird, den ersten Faktor durch ausprobieren zu knacken."

Falsch. ein vernünftiger Loginmechanismus setzt einen Harvard Abschluß voraus;

@Walter H.

> Falsch. ein vernünftiger Loginmechanismus setzt einen Harvard Abschluß voraus;

Nicht ganz, der Einrichtungsprozess und die 2FA-Anleitung sind jedoch so umständlich und verwirrend, dass die Mehrheit einfacher Anwender ohne MINT-Studium oder vergleichbare Qualifikation die Einrichtung abbrechen wird.

Also, ich habe nicht mal ad-hoc ´ne Ahnung, was das MINT Studium ist. Und trotzdem habe ich die 2FA-Einrichtung bei Mailbox gemeistert. Nur das Fehlen von app-spezifischen Passwörtern für die Nutzung von Thunderbird&co ist seit vielen Jahren ein echtes Ärgernis.

App-spezifische Passwörter: unter "Einstellungen > Sicherheit > Applikationspasswörter" gibt es inzwischen die Optionen für Kalender, Adressbuch, WebDAV und Drive Sync.

Ja, jedoch fehlt die Option eben für POP/IMAP.

Ich vermute, wir sind hier wirklich auf der Zielgeraden und das es nach vielen Jahren wohl dieses Jahr soweit ist und wir hier ein "Update" bekommen werden. Der letzte Blog-Post ging ja doch sehr in die Richtung, das es bald soweit ist.

POP/IMAP und nicht zu vergessen SMTP fehlt noch - das stimmt. Denke, dass das auch die komplexeste Sache ist wo auch nichts schiefgehen sollte/darf.

@6135672

ist ein Trugschluß, wenn Du hier POP/IMAP nicht auswählen kannst, liegt es evtl. daran, dass das eben das Passwort ist, welches Du verwenden würdest, wenn kein 2FA in Verwendung ist;

@Walther H.

Trugschluß? Ich verstehe Deine Antwort nicht.

Es fehlt die Möglichkeit ein app-spezifisches Passwort für POP/IMAP zu nutzen. So muß ich das Password, welches Zugang zum Inhalt meines e-mail Accounts per POP/IMAP bietet, auch im Forum und für XMPP nutzen.

Die einzige Lösung ist aktuell den POP/IMAP Zugang zu deaktivieren. Aber dann reicht immer noch das Passwort aus, um ggf. XMPP mitlesen zu können - abhängig von den Einstellungen im Client (und da gibt es eine Menge von Clients, die Klartext als Default nutzen - also ganz schlecht für Nutzer.innen, die denken, dass XMPP eine Alternative zu WhatsApp & co sein könnte..).

Oder habe ich was übersehen?

Aber wie Den schon bemerkt hat: es scheint ja an einer Lösung gearbeitet zu werden.

Bitte um Klarstellung! Wenn das stimmt, wäre das ein schlechter Scherz. Das kann ich mir aber irgendwie nicht vorstellen! Fastmail schafft es doch auch.

Ich würde erst einmal abwarten, was genau am Ende der Beta-Phase passieren wird. Sofern die gesamte Verwaltung durch einen zweiten Faktor abgesichert ist, wäre schon einmal viel gewonnen. Schlecht wäre aber, wenn man durch Zugriff auf IMAP den 2FA-Schutz durch Zurücksetzen deaktivieren könnte.

Das Problem entsteht ja vor allem, wenn man auf einem mittelmäßig vertrauenswürdigen Gerät aka Mobiltelefon E-Mail oder XMPP via Client nutzen möchte. Da hilft die Verwaltung des Logins durch 2FA leider nichts und spezifische App-Passwörter sind leider der einzige Weg.

Ich stimme dir vollkommen zu, dass wir erst einmal das Ende der Beta-Phase abwarten sollten.

Nein, Mailbox.org möge sich doch bitte umgehend äußern, was jetzt genau geplant/umgesetzt wird. MIttlerweile sollte es ja einen Plan geben. Der Thread ist mittlerweile sechs Jahre alt, da kann man sich schon etwas Konkreteres erwarten. Wenn es keine App-Passwörter für andere Dienste (IMAP, SMTP, XMPP, etc.) geben wird, brauche ich nicht länger warten/zahlen. So sieht das übrigens bei Fastmail aus:

(Und OAUTH2 gibt es dort auch noch.)

Danke für die Klärung.

@zapata Welche Klärung?

Sorry, das war sarkastisch gemeint.

Das das hier kein Support-Forum ist, kann man auch nicht immer eine Antwort erwarten vom Support oder CEO.

Hin und wieder äußern sie sich hier - aber das eher sporadisch und je nach Zeit/Fall/Laune....

Bei solchen direkten Fragen, sollte man sich eher an help.mailbox.org bzw. support.mailbox.org wenden.

Ja, fragen wir jetzt alle einzeln beim Support nach, ob und wann Feature X kommt. Wieso kann man nach so langer Wartezeit nicht endlich einen konkreten Plan veröffentlichten? Wie lange soll die Beta-Phase eigentlich dauern? Bis 2030?

Irre ich mich, oder ist die aktuelle 2FA (Beta) so wie bei Posteo, was man ja jahrelang bemängelt hat?

Der Thread is 6 Jahre alte.

Also nochmal: der Thread ist 6 Jahre alt.

Es geht hier um Selbstverständlichkeiten im Jahr 11 nach Snowden. Natürlich kann man da mal eine konsistente Antwort zum Thema hier für alle erwarten. Atomisierte Support-Anfragen zu diesem Thema sind nicht mehr die Lösung, offenbar.

In der Zwischenzeit ist ja auch einiges passiert. Es gibt inzwischen App-Passwörter, es wird an neuen Umsetzungen gearbeitet.

Ich finde es gut, wenn mailbox.org die Implementierung der ganzen Technik auf eigenen Servern vornimmt. Ich hab mir mal angeschaut, was Keycloak so alles kann - ich bin da ganz beruhigt, dass da noch einiges nachkommt.

Macht ihr alle bei der Beta mit? Wenn nein: warum nicht? Und wer da nicht mitmacht, sollte sich überlegen, warum er sich hier permanent beschwert, aber nichts konstruktives unternimmt, um das hier voran zu bringen.

Weil ich dann den Yubikey nicht mehr nutzen kann. Ist doch echt ein Argument, oder?

Und was heißt hier, dass sich einige permanent beschweren? Das ist unzutreffend. Die Beiträge belegen in ihrer mehrheit, dass es keine Beschwerden sind, sondern Dikussionsbeiträge zum Thema. Und 6 jahre sind einfach zu viel. Auch dass eine Integration auf den MBO System vorgenommen wird, ist kein Argument dafür, dass es 6 Jahre lang nicht voran kommt und man am Ende private Support-Tickets führen soll. Wozu ist denn dieses Forum dann da? Also bitte: ich möchte nicht als Nörgler bezeichnet werden, nur, weil ich in diesem Forum zum Thema schreibe.

> Macht ihr alle bei der Beta mit? Wenn nein: warum nicht? Und wer da nicht mitmacht, sollte sich überlegen, warum er sich hier permanent beschwert, aber nichts konstruktives unternimmt, um das hier voran zu bringen.

Berechtigte Forderung. Voraussetzungen für die Teilnahme an der Keycloak SSO-Teilnahme:

> Teilnahme am mailbox.org Beta-Programm

> Um an der mailbox.org-Beta teilnehmen zu können, müssen Sie Privatkunde im Tarif PREMIUM, STANDARD oder LIGHT sein und mindestens einmal eingezahlt haben.

Wenn du mir ein vorübergehendes Premium, Standard oder Light Testkonto bezahlst nehme ich gerne am Betatest teil. Mit Freude. An meinem produktiven Konto hängt zu viel, damit kann ich keine Betatests insbesondere an der sicherheitskritischen Authentifizierung durchführen. Für Betatests verwendet man sinnvollerweise separate Testinstanzen oder hat besser noch von Produktivdaten getrennte Testbenutzer.

Wenn Mailbox.org kostenfreie temporäre Testkonten zur Verfügung stellt nehme ich ebenso gerne darüber am Betatest teil.

Du kannst zwar den Yubikey nicht mehr nutzen, bekommst dafür aber eine andere 2FA-Methode an die Hand.

Was du sagst, ist für mich daher kein Argument, an dem beta-Test nicht teilzunehmen.

Und wenn du dir die Beiträge der Leute durchliest in diesem Thread ist da (nicht von dir) viel Nörgelei dabei.

Wie gesagt: einfach mal Keycloak anschauen. Und klarbekommen, dass das hier der anfang des beta-Testes ist.

Ob ich den Yubikey lieber nutze, kannst Du getrost mir überlassen. Natürlich ist das ein Argument, nicht am beta-Test teilzunehmen. Wird von mailbox sogar explizit so empfohlen.

Mit ein bißchen Nörgelei musst Du leben, in einem Forum. Ich würde es ehr als Unzufriedenheit bezeichnen, die da durchscheint. Der Großteil sind sachbezogene Beiträge. Und nur weil Nörgelei dabei ist, kann man nicht einfach die Diskussion abwürgen wollen.

Nein. Verbreite hier bitte keine falschen Behauptungen. Das steht so weder im Blog-Artikel, noch in der Anleitung im beta-System.

Mailbox empfiehlt nicht, wegen der bisherigen Nutzung des Yubikeys die Teilnahme am beta-Test nicht durchzuführen.

Derzeit ist die direkte Nutzung eines Yubikey in Keycloak noch nicht möglich, aber das heißt eben nicht, dass die Teilnahme an der beta nicht empfohlen wird.

Kleiner Tip: Ich nutze den Yubikey zusammen mit der neuen Anmeldung 2.0 mit SSO, man muss eben nur wissen wie.

Aber damit möchte ich dich jetzt wirklich nicht belästigen. Ach ja. Mit Usern, die genau lesen, und überlegen, wie das funktionieren kann, musst du in einem Forum leben.

Tschö.

Hallo,

und zunächst vielen Dank an alle Diskussionsteilnehmer. Wir freuen uns, dass Sie alle so kritisch diskutieren, möchten aber daran erinnern bitte freundlich zu bleiben. Aus unserer Sicht kann es in einem Forum durchaus auch Kontroversen geben, aber der Ton sollte dabei stimmen.

Wir planen App-Passwörter auch für IMAP/SMTP und XMPP. Dies ist mit unserer derzeitigen Architektur aber nicht so einfach umsetzbar. Aus diesem Grund können wir auch keinen Zeithorizont für die Einführung nennen.

Mit herzlichen Grüßen

Ihr mailbox.org Team

Vielen Dank, das freut mich!

Danke an den Mailbox Support. Ich denke, der polemische Beitrag von 7586310 sollte hier gelöscht werden.

@7586310 : Weder vebreite ich falsche Behauptungen, noch ist es Dein Business, ob ich an der Beta teilnehme. Mailbox empfiehlt Abstand von der Beta zu nehmen, wenn bestimmte Kriterien zutreffen. Ich zitiere hier für Dich mal Mailbox: "Melden Sie sich daher nicht als Beta-Tester an, wenn Sie mailbox.org für geschäftskritische Prozesse verwenden oder Sie aus sonstigen Gründen auf die fehlerfreie Funktion und ununterbrochene Verfügbarkeit von mailbox.org angewiesen sind." Außerdem wird gesagt, dass der Yubikey nicht funktioniert. Wenn Du es dennoch hingekriegt hast, ist das schön für Dich. Wenn Du jetzt noch mitteilen würdest, wie Du es hingekriegt hast und ob es praktikabel und stabil läuft, wäre das ein wirklich substantieller Forenbeitrag.

Wie bitte? Du hast geschrieben, dass Mailbox Yubikey-Usern von der Beta abrät.

Deine Aussage ist falsch, was man auch daran sieht, dass du hier jetzt auf einmal andere Argumente bringst, um dich um deine erste Aussage herumzureden.

Und dann forderst du, dass Posts die auf deine falsche Aussage hinweisen, gelöscht werden sollen.

Das nenne ich Polemik. Von dir. Wie peinlich.

Und nein, ich entscheide, wem ich hier helfe. Dir mit Sicherheit nicht.

Zunächst mal positiv, dass App-Passwörter auch für andere Dienste (IMAP, SMTP, etc.) kommen soll. Der Rest der Aussage ("Dies ist mit unserer derzeitigen Architektur aber nicht so einfach umsetzbar. Aus diesem Grund können wir auch keinen Zeithorizont für die Einführung nennen.") ist einfach nur lächerlich/peinlich und mailbox.org typisch. Ist damit noch 2024 zu rechnen? 2025? 2030? 2035? 2040? Könnt ihr endlich mal einem ungefähren Plan veröffentlichen?

Das einzige, was hier peinlich ist, sind deine hetzerischen Kommentare. Du hast Einblick in alle technischen Belange von Mailbox?

Wer bist du eigentlich, der allen hier sagen kann, wie sie sich zu verhalten haben, ohne auch nur die Bohne zu wissen?

Wenn Mailbox klar sagt, dass das nicht einfach umzusetzen ist, weißt ausgerechnet DU, was richtig ist?

Lächerlich, wie dein ganzes permanentes rumgemecker.

Fanboy/-girl, ich weiß nicht seit wann du mailbox.org Kunde bist, aber mit diesem Schmäh kommen sie permanent. Hast du eine Ahnung wie alt dieses Thema ist? Und eine Beta-Phase sieht für mich anders aus! Wir sind jetzt auf einem Stand von Posteo, der jahrelang bemängelt wurde und damit die "alte" Implementierung verteidigt wurde. Andere Betreiber haben solche Dinge schon vor Jahren umgesetzt. Für die Versäumnisse von mailbox.org kann ich nichts.

@ 7586310: Yubikeyeinsatz = praktisch und notwendig hier, da auf stabile Verfügbarkeit von mailbox angewiesen.

Wie alt bist Du eigentlich? Deine Sprache und Deine Aggressivität gehen mir wirklich auf die Nerven.

@Mailbox Support: Bitte diesen User sperren oder seine polemischen und unsachlichen Beiträge.

@ 7586310: Yubikeyeinsatz = praktisch und notwendig hier, da auf stabile Verfügbarkeit von mailbox angewiesen.

Wie alt bist Du eigentlich? Deine Sprache und Deine Aggressivität gehen mir wirklich auf die Nerven.

@Mailbox Support: Bitte diesen User sperren oder seine polemischen und unsachlichen Beiträge.

Nein, ein Einsatz von YubiKeys ist nicht notwendig. Gerade im Bereich der Sicherheit brauchen wir nicht noch mehr proprietäre Lösungen.

Auch Passkeys sind aus meiner Sicht nicht erste Wahl, da die häufig intransparent in irgendeine Herstellercloud synchronisiert werden und ich damit den Schlüssel aus der Hand gebe.

Was aus meiner Sicht jetzt noch fehlt sind applikationsspezifische Passwörter und eine Unterstützung für FIDO2-Keys.

Notwendig, im Sinne der von mir genutzten Routinen. Und im Hinblick auf die Teilnahme an der Beta. Nicht generell.

Alles klar, danke für die Klarstellung.

Dann mal eine Bitte in die Runde: Können wir die Metadiskussionen bitte sein lassen? Vorwürfe über unangemessenen Tonfall, unsachliche Beiträge oder gar die Sperrung von Nutzern haben einfach nichts mit dem Thema zu tun.

In diesem Thread haben in den letzten Jahren viele Leute kommentiert, die bei jeder Antwort eine E-Mail erhalten. Es wäre toll, wenn sich der Inhalt mit dem eigentlichen Thema befassen würde.

@Stephan: applikationsspezifische Passwörter gibt es ja bereits einige (auch unabhängig von der Beta) und weitere wie IMAP/SMTP, auf die wir warten, sind angekündigt.

Sorry, da habe ich mit nicht exakt genug ausgedrückt. Die applikationsspezifischen Passwörter nutze ich bereits, aber sie fehlen noch für IMAP bzw. SMTP.

Hattest du die App-Passwörter schon vor der Beta an?

Bei mir ließen sich gestern die App-Passwörter, die ich erst in der Beta aktiviert habe, nicht nutzen.

Hat noch jemand so ein Problem?

Ein App-Passwort (WebDAV) hatte ich schon vor ein paar Wochen eingerichtet. Dann habe ich mich zum Betatest angemeldet und noch vor Aktivierung von 2FA auch App-Passwörter für CalDAV und CardDAV eingerichtet und auf mehren Geräten/Programmen getestet bzw. nutze sie seither. Erst danach habe ich 2FA aktiviert, das auch problemlos funktioniert. Mir ist allerdings aufgefallen (wenn mir mein Gedächtnis keinen Streich spielt ;-) ), dass CardDAV und CalDAV, als ich es einrichtete, noch als getrennte Auswahl-Elemente angeboten wurden. Jetzt ist es es gemeinsames Auswahl-Element.

Keycloak hat seit Ende 2023 Support für Passkeys. Ich würde jedoch zuerst den Fokus auf die User Experience von Einrichtung und Verwendung der 2FA legen, damit dieser seit 6 Jahren kritisierte Punkt endlich erledigt ist. Nichts gegen Passkeys, aber das sehe ich in 2024 noch als optional an.

Ich gehe davon aus, dass aus der Sicherheitsphilosophie von Mailbox heraus Verfahren, die unkontrollierbare Server von dritten einbeziehen, nicht genommen werden.

Soweit ich das gesehen habe, kann Open Keycloak eine ganze Menge, und Mailbox hat weiter oben ja auch geschrieben, dass App-PW für IMAP und SMTP geplant sind.

Derzeit kann ich dir - du hast es oben angefragt - leider keinen Testzugang hier querfinanzieren.

Zur Geschwindigkeit der Umsetzung: Mailbox entwickelt aus meiner Sicht wie immer eine Lösung, die zwar nicht als erste auf den Markt kommt, aber im Ergebnis dann eine der sichersten wenn nicht die sicherste im Markt ist.

Peer Heinlein und der Support hatten dazu auch schon Stellung genommen. Er hat auch mehrfach klar gemacht, das Mailbox eine ganz bestimmte Philosophie verfolgt, und daran auch festhalten wird. Im Verlauf kamen App-PW dazu, und jetzt kommt die Beta. Es war vorher alles schon sehr sicher, und jetzt wird es nutzbarer und noch sicherer. Sehr gut.

All diese Erklärungen und Entwicklungen führen aber wie wir sehen nicht dazu, dass bestimmte Leute Mailbox nicht immer noch und/oder wieder für angebliche Fehler und Verfehlungen anpampen. Ich hoffe nur, dass diese unschönen Dinge weiter an Mailbox abprallen.

Die neue 2FA funktioniert, lässt sich super einfach einrichten, und mit dem SSO hat man sofort einen echten Mehrwert.

Auf meinen Mobilgeräten mit ausreichend großen Bildschirmen fliegen jetzt die lokal installierten Mail- und Cloudapps runter. Das geht da zukünftig nur noch via Web Zugriff. Da diverse meiner Postfächer in Mailbox eingebunden sind, reduziert sich alles auf eine super abgesicherte Webapp, die das gesamte Mailing und die Clouddaten managed. Super. Danke, Mailbox.org!

Wenn dann irgendwann in oder nach der Beta noch App-PW für alle anderen Services dazukommen, und ich den primären Zugang ins Webinterface via bei Mailbox gehosteten Yubikey-Server - sehr gerne mit Fido2 - habe, bin ich sehr zufrieden.

Nur als allgemeinen Tipp: man kann mobile Devices wie ein Smartphone so mit Produkten u.a. von Yubikey absichern, dass man die Sicherheit aller dort genutzten Apps massiv verbessert. Klar hat man dann etwas mehr Bedienschritte als vorher, aber das ist der Preis der Sicherheit.