Willkommen im User-Forum von mailbox.org
 

WebAuthn Unterstützung

3493808 hat dies geteilt, 5 Monaten her
vorgeschlagen

Ich habe gerade eben meinen Yubikey eingerichtet und finde es schade, dass Mailbox.org nicht FIDO2 via Webauthn unterstützt. Es wäre cool, wenn das Protokoll integriert werden würde.

Kommentare (10)

Foto
1

Das Thema webauthn beziehungsweise früher U2F gab es hier im Forum schon an einigen Stellen. z.B.:

Unterstützung von U2F (Universal Second Factor) Geräten

UTF2 - Nitrokey FIDO U2F -- wird mailbox.org UTF2 unterstützen?

Foto
2

WebAuthn mit fido2 wäre echt super.

Im Gegensatz zu u2f kann fido2 ohne 2ten Faktor, also ohne Passwort, verwendet werden.

Das würde die Sicherheit, im Vergleich zum Passwort, deutlich erhöhen und ist inzwischen in fast jedem Android und Win10 eingebaut.

Es wird KEINE zusätzliche Hardware (z.B. SecureStick, ...) benötigt.

Siehe z.B. Demoseite https://webAuthn.io

Eine Funktion die das Einloggen sicherer und einfacher macht würde echt gut zu mailbox.org passen.

Foto
4

Ich hatte mich vor zweieinhalb Jahren für den Vorläufer U2F (siehe Link im ersten Kommentar) stark gemacht, bedauerlicherweise ohne Erfolg. Deshalb möchte ich jetzt hier für Webauthn/FIDO2 trommeln.


Die c't hat zu Webauthn/FIDO2 im aktuellen Heft 18/2019 eine umfangreiche vierteilige Artikelserie gebracht,

sowie ein c't uplink Folge: FIDO2 – Das Ende des Passworts | c't uplink 28.9.

https://www.heise.de/ct/artikel/FIDO2-Das-Ende-des-Passworts-c-t-uplink-28-9-4504164.html

die sich ausschließlich diesem Thema widmet.

Wem die 40 Minuten zu viel sind, der erste Artikel zu dem Thema kann auch Online ohne Gebühren gelesen werden.

https://www.heise.de/select/ct/2019/18/1566917336782380


Ich zitiere aus dem Artikel:

„FIDO2 vereint drei überaus wünschenswerte Eigenschaften einer Anmeldung.

Erstens: Es ist sehr komfortabel.“...

„Zweitens: Es ist sehr sicher.“ ...

„Drittens: Anders als beim Konzept eines Online Indentity Providers wie Google oder Facebook bleibt der Anwender sein eigener Herr.“


Folgende Aspekt wären mir bei einer Implementierung besonders wichtig:

1. Die Registrierung von mehr als ein Security Key sollte möglich sein, so dass man andere (unsichere) Account Rücksetzmethoden abwählen kann.


2. Die Verwendung von FIDO2 für Mail Clients ermöglichen, die den IMAP und SMTP Service nutzen. Wie so was möglich ist beschreibt ein Yubico Blog, der sich im wesentlichen auf ein Dokument der US-amerikanischen Organisation „The National Institute of Standards and Technology (NIST)“ stützt.

https://www.yubico.com/2018/05/new-nist-authentication-guidelines-for-public-safety-and-first-responders/


3. Unterstützung von anwendungsspezifischen Passwörtern mit eingeschränkten Rechten.

- nur zum Versenden von Mails, z.B. für das automatisierte Versenden von Mails von Geräten.

- nur zur Prüfung auf neue Mails, aber nicht das Recht die Mail abzurufen.


Der Wunsch nach anwendungsspezifischen Passwörtern ist über dreieinhalb Jahre alt und trotz großer Unterstützung im Forum bedauerlicherweise bis heute nicht geplant.

https://userforum.mailbox.org/topic/mehrere-passw%C3%B6rter-f%C3%BCr-unterschiedliche-ger%C3%A4te-app-passw%C3%B6rter-unterst%C3%BCtzen


Ich zitiere nochmal aus dem Artikel:

„Es bleibt nur zur hoffen, dass möglichst bald alle Internet-Dienste zumindest optional auch eine FIDO2-Anmeldung ermöglichen.“

In diesem Sinne hoffe ich mal.

Bekanntlich stirbt die Hoffnung zuletzt.

Foto
1

Alles richtig, wird aber denke ich eher nicht kommen

Foto
1

Fido2 und WebAuthn müssen Fahrt aufnehmen. Es bringt mehr Sicherheit im Netz und für den User im Betrieb Vereinfachung beim Anmelden. Deshalb hoffe ich stark, daß diese Tools kommen.

Foto
Foto
1

Das Besondere ist dabei, dass der Nutzer normalerweise KEINE zusätzliche Hardware benötigt und sofort mit seinen vorhandenen Geräten loslegen kann.

Einen USB-Token ist zwar nützlich, falls ich mal ein anderes Gerät verwende.

Meistens verwende ich aber mein Smartphone oder meinen Rechner. Und da ist die notwendige Hardware für den Schlüsselspeicher schon eingebaut.

Unabhängig was Heise/CT anpreist, bin ich selbst mehr als begeistert von der sehr einfachen und guten Umsetzung der Anmeldetechnik.

Das wird sehr sicher ein erfolgreiches Konzept weil es schon in kleinen Projekten sehr leicht umsetzbar ist.

Und wenn die ersten Plugins für WordPress, Drupal und Co. erscheinen und die Nutzer das ausprobieren können, dann wird das ein must have.

Foto
2

Anmelden ohne Passwort, kein schlechtes Gewissen beim Passwort speichern, keine blöde Diskussion um sichere Passwörter. Das wäre echt cool. Ich bin sofort dabei. Wann kann ich das verwenden?


Bitte liebes Mailbox-Team, macht das.

Foto
1

Gibt's hierzu von OX Aussagen, ob bzw. wann es implementiert wird?

VG

Foto
2

Bei OX scheint sich was zu tun: https://documentation.open-xchange.com/7.10.2/middleware/security_and_encryption/multifactor_authentication.html

U2F scheint implementiert zu sein, von FIDO2/Webauthn allerdings keine Rede.

Ich wäre schon glücklich, wenn mailbox.org u2f freischaltet.

Foto
1

Ich glaube dass wird nicht so einfach. Mailbox.org hat ja schon vorher sein eigenes System integriert . Ich weiß nicht, ob man das so beliebig tauschen kann/ will