Willkommen im User-Forum von mailbox.org
 

Wie schützt mailbox.org vor Hijacking oder Hacking des email-Accounts?

6922299 hat dies geteilt, 2 Jahren her
beantwortet

Hallo,


wie kann man eigentlich sein Konto vor Hijacking oder Hacking schützen, also falls das Passwort einmal geklaut werden sollte? (Die Login- Methode mit OATH / Yubikey erscheint mir etwas umständlich).


Aktuell kann mit dem Passwort das gesamte Konto übernommen werden und man kann mit einem neuen Passwort ausgesperrt werden. Wie bekomme ich in so einem Fall mein Konto wieder zurück?


Wäre es nicht möglich, vor dem Ändern des Passwortes noch eine weitere Sicherheitsstufe einzubauen? Zum Beispiel: Sicherheitsfrage, PIN, SMS, OATH oder ähnliches?


Vielen Dank

Andreas

Kommentare (8)

Foto
1

Für den Fall dass jemand anderes das Passwort errät oder stiehlt und dann ändert, gilt das gleiche was für das Vergessen des Passworts gilt: https://userforum.mailbox.org/knowledge-base/article/passwort-vergessen . Allerdings muss ich zugeben, dass ich die Passwortwiederherstellung nicht getestet habe und hoffe dass die Anleitung noch aktuell ist.

Sofern es wirklich Gründe gibt, weswegen man ein Ausspionieren des Passworts befürchten muss (weil man sich z.B. regelmäßig von fremden Rechnern auf der Oberfläche einwählen muss), dann empfiehlt sich die Zweifaktor-authentifizierung einzurichten.

Foto
1

Hallo,


wie du dein Konto wiederhergestellt bekommen würdest kann ich dir auch nicht genau beantworten. Da laut Datenschutzerklärung die IPs und Metadaten einer Kontoänderung (wie zB. dem Passwort) einige Tage geloggt werden, würde ich mal davon ausgehen, dass man mehr oder weniger glaubhaft machen kann wirklich gehackt worden zu sein.


ABER: Natürlich ist es viel viel viel besser einfach vorher vorzusorgen, dass es garnicht soweit kommt. Schließlich kann der Hacker Mails in deinem Namen verschicken (geht zugegebenermaßen auch ohne Hack -> https://userforum.mailbox.org/topic/mailbox-org-smtp-server-stellt-mails-mit-gefakten-absender-zu), alle deine alten Mails lesen, etc..


Die einzige wirksame Methode heißt 2FA, ich persönlich finde den Login per yubikey sehr komfortabel, es ist nicht wirklich viel eingewöhnung nötig. Es gibt z.B. auch yubikeys die dafür entwickelt worden sind permanent im USB Port zu verbleiben -> https://www.yubico.com/product/yubikey-4-series/#yubikey-4-nano. Dazu noch einen am Schlüsselbund und du bist eigenlich für alles gewappnet (und hast ein Backup Key).


Alternativ darfst du dich halt einfach nicht auf fremden Computern einloggen und unterwegs nur das Handy/Tablet/Laptop für deine Mails nutzen. Damit wärst du vor Phishing oder Keyloggern auch gut geschützt.

Foto
1

Ein Liebes Hallo, aus dem Norden, Liebe Foren Gemeinde :-)

Ich bin mal so frei und nutze diesen Thread, da ich finde, das mein Thema hier herein passt.

Ich bin immer noch ganz geknickt ;) da mein E-Mail-Konto eines anderen Anbieters gehakt wurde, und derjenige mir großen Schaden angerichtet hat ( Verkäufe bei Ebay in meinem Namen, Windows Account übernommen, Portale gehackt usw. ) Fühlt sich wirklich schrecklich an... Naja, jetzt habe ich mich bei Mailbox angemeldet, da ich nur positives gelesen hab. Ich möchte mein Konto optimal schützen !

Der Support, hat mir schon eine Liebe E-Mail zugeschickt :-) Die Jungs hier sind echt schnell !

Jedoch empfinde ich es etwas schwierig das Passende für mich zu finden.

Die Sicherste Methode, soll ja der "Stick" sein ? Wie stelle ich das am besten ein ? habe ich einen für zu Hause und einen zum Mitnehmen ? Es ist mit Sicherheit leicht zu händeln, aber zz komme ich da einfach nicht mit :-(

Könnt ihr mir da etwas behilflich sein ?

Vielen Lieben dank und ein erholsames Wochenende Marcel

Foto
1

Am sichersten wäre es POP und IMAP abzuschalten und/ oder sich nicht im Forum anzumelden. Hier musst du ja auch das PW deines Accounts verwenden

Foto
Foto
1

Das mit dem "Stick" (YubiKey) wird hier näher erläutert: https://kb.mailbox.org/display/MBOKB/YubiKey%3A+Webmail+mit+Einmalkennwoertern Im Normalfall hat meinen einen "Stick", der ist der "Schlüssel" (2. Faktor) für den Zugang zum Account. Klar ist, dass man den nicht verlieren sollte. ;-)

Foto
1

Hi.

Danke ihr zwei :-)

@ Jan. Ja ^^ da hast du natürlich recht.

POP & IMAP habe ich bisslang nicht aktiviert. Ich habe zwar Outlook, aber ich denke ich halte den Weg der E-Mail so gering wie möglich.


@thgeiges Danke für den Link. Lese ich gleich mal durch. Ich denke ich investiere die 70 € und hole mir den Stick hier.

Stelle mir das wie beim Elster-Formular vor ? eine Datei zum Download die auf den Stick kommt ?

Foto
2

Nimm aber eine Stick der auch U2F kann. Den kannst du dann auch bei vielen anderen Diensten nutzen. Ich brauche den noch bei Google , Microsoft, 1Passwort, Fastmail, Dropbox etc.

Foto
1

Guten Morgen @ Jan. Super lieb, das ihr mir hier so toll helft danke dafür !

Wenn ich mir den Stick bei Mailbox.org bestelle, habe ich den da eine Wahl ? wäre natürlich toll, wenn ich auf einem Stick auch andere Zertifikate installieren kann :-)

Zum Festhalten: Mein Schritt jetzt, die Bestellung für 70 € bei Mailbox.org für den Stick

Foto
2

Hier gibt es eine Übersicht über die Funktionen des Yubikey, der angeboten wird:

https://kb.mailbox.org/display/MBOKB/Was+kosten+YubiKeys+bei+mailbox.org

Foto
2

Du könntest dir auch einen Yubi Key sonstwo kaufen. Da sparst du noch ca. 15 Euro. Oder falls Mailbox.org auch irgendwann Fido U2F Unterstützt könntest du dir auch z.B. einen Nitrokey besorgen. Der ist noch um einiges günstiger

Foto
1

:-) Super

Ich habe mir den Googles Titan Security Key ausgesucht.

heißt also, ich kann mir die Benötigte Datei von Mailbox.org selber herunter laden und auf den Key ablegen, wenn ich es richtig verstanden habe ?

und noch andere Dienste darauf setzen, Facebook, Microsoft usw... ?

Das ist super

Foto
2

Nee der geht nicht. Den unterstützt Mailbox.org nicht. Die sind da nicht so mit offenen Standards. Es muss schon einYubikey sein. Wenn der dann noch zusätzlich U2F kann wäre das super

Foto
2

U2F kann der Key, den mailbox.org anbietet (siehe meinen Link oben).

Foto
1

Ok danke ihr 2.

Schade, das der Google Key nicht passt. Der hat mir wirklich gut gefallen ;-)

Aber dann wird es der YubiKey 5 NFC werden ( müssen ) Bei Ama... kostet er knapp 49 € er hat aber einige Negative Bewertungen erhalten. und was etwas "schade" ist, ist die Tatsache das nur 2 Protokolle darauf gespeichert werden können. Aber das scheint so üblich zu sein.

Also 1 x Mailbox.org und google oder Microsoft... mal schauen.

Angenommen ich kaufe des YubiKey im Netz, dann kann ich das Protokoll selbstständig von Mailbox.org raufladen ? Da werde ich gleich mal den Anleitungslink den ich von @thgeiges bekommen durchlesen. Oder ich Zahle drauf, und erwerbe diesen hier, und bekomme den fertig geliefert. Ach ja es ist ja alle snicht so leicht :-D

Foto
1

Viellecht macht es auch Sinn, noch ein bisschen zu warten.

Ich finde den Thread jetzt gerade nicht mehr, aber mailbox.org ist laut Peer Heinlein gerade dabei, die neueste OpenXchange Version zu integrieren und dort soll sich seinen Aussagen zufolge auch einiges an der 2FA ändern.

Unter anderem wird dann anscheinend OpenID im Hintergrund verwendet.


Nichtsdestotrotz bin ich ziemlich überzeugt, dass die aktuell unterstützten Methoden auch alle weiterhin unterstützt werden.

Foto
1

Nabend @ Lufer :-)

Vielen Dank für deine Antwort.

Warten möchte ich nicht ;-) das was mir da passiert ist, hat mich geprägt... glaub mir.

Ich werde den Yubi einfach hier bestellen, dann habe ich wenigstens Support, falls etwas damit sein sollte.

Mir ist noch aufgefallen, das ich ja für meinen USB 3 Anschluss noch einen Adapter oder ein NFC Gerät benötige ! Kennt von euch jemand zufällig diesen Adapter und weiß, das er mit dem Yubi funktioniert ?

Habt einen schönen Abend

Foto
2

Das könnte Sinn machen, vielleicht mal den Support zu dem Thema fragen ? Dann würde ja auch ein normaler U2F Stick reichen und du hättest 40 Euro gespart

Foto
1

Guten Abend ihr lieben.

@ Jan habe den Support angeschrieben :)

Gestern war der Support so mega schnell und heute noch keine Antwort ^^

Mich würde noch mal interessieren, ob ihr wenn ihr von unterwegs auf eure Mails zugreift, direkt über den Browser hineingeht und ggf den Stick über NFC ans HAndy haltet ?

Lg Marcel

Foto
2

Hallo Marcel,


wenn Du Antwort vom Support hast, würde mich das Ergebnis auch interessieren.

Auf dem Smartphone nutze ich die normale Apple Mail App, ohne 2 Faktor Anmeldung. Die Lösung über den Browser egal ob mit Stick oder TOTP ist mir zu mühselig.

Foto
1

Guten Morgen, @ Jan

Das mache ich :-)

Jedoch warte ich seit 2 Tagen auf eine Antwort... Der Support wird wohl viel um die Ohren haben.

Sobald ich die Infos bekommen habe, sage ich bescheit

lg Marcel

Foto
1

Mahlzeit.

Der Support hat sich gemeldet :-)

der Yubikey 5 NFC passt in die Standard-USB-Anschlüsse, also auch USB 3.0. Einen Adapter oder ein Lesegerät benötige ich daher nicht.

Der Yubikey hat 2 Slots, Slot 1 benutzt mailbox.org für sich, und mir steht Slot 2 zu Verfügung. NFC funktionert hierbei nicht, von daher muss ich mit einem Adapter den Yubi mit dem Handy verbinden... Ist aber irgendwie nur in längerer Abwesenheit interessant :-D Ist mir dann doch zu umständlich.

Ich bestelle mir dann jetzt den Yubi und sage Herzlichen Dank für eure Hilfe !

lg Marcel

Foto
Foto
1

Zur letzten Frage: nein. Der Yubikey wird von mailbox.org so vorbereitet ist, dass er eingesetzt werden kann.

Foto
1

Hallo, Allerseits.

Kurze Rückmeldung.

Ich habe heute meinen YubiKey von Mailbox.org erhalten.

Eine Anleitung war auch dabei :-) Funktioniert Top und Passt auch in den USB 3.0 Port

am Samsung S10 + Habe ich den Adapter eingesteckt, Yubi.. rein und funktioniert auch tadellos. Also für den Urlaun Top.

Lg Marcel


P.S. Unter "One Time Passwörter" habe ich OTP-Sicherheitslevel = Webinterface OTP,alles andere Passwort gewählt. Wisst ihr, ob dies eine Gute Methode ist ? Es gibt ja noch die Option OTP nur für Webinterface , alle anderen Dienste aus


Danke

Foto
1

Hi,

zu deiner letzten Frage: das kommt darauf an, was du haben möchtest und ist ein Tradeoff zwischen Usebility und Security.

Bei Webinterface OTP, alle anderen Dienste aus funktioniert auch der Login hier im Forum, IMAP und SMTP und der Helpdesk nicht mehr. (Da dies alles mit dem normalen Passwort funktioniert).


P.S. Ich hab das in meinem letzten Post erwähnte Statement bzgl. 2FA wiedergefunden. siehe hier. Sehr interessant. Ich hoffe auch, dass die 2FA sich in Zukunft verbessert. Es gibt da aktuell Punkte, die m.M.n. nicht schön gelöst sind. (z.B. kann man mit dem Passwort die 2FA deaktivieren)


Viele Grüße

Foto
1

Guten Morgen.

Danke für deine Antwort, und deinen Link :-) schau mir das heute an.

Ich habe mit dem Yubbikey zz nur Probleme beim einloggen.... das nervt mich doch ziemlich.

Lg Marcel

Foto