Willkommen im User-Forum von mailbox.org
 

Zwei-Faktor-Authentifizierung

3347452 hat dies geteilt, 3 Jahren her
erledigt

Für alle die das Thema nicht kennen sollten zum Nachlesen: Zwei-Faktor-Authentifizierung


Zunächst einmal finde ich es super, dass es eine Zwei-Faktor-Authentifizierung über den YubiKey generell überhaupt erstmal bei mailbox.org gibt.


Leider aber nur über den YubiKey und nur, wenn der über mailbox.org bestellt wurde. Das verwirrt mich übrigens etwas, Sie wollen doch anonyme Benutzung erlauben, aber für den YubiKey muss man bestimmt seine Adresse angeben, damit die Bestellung funktioniert.


Ich habe aber schon einen YubiKey und würde den sehr gerne auch hier nutzen. Es wäre deshalb schön, wenn Sie diese Möglichkeit (endlich) bereit stellen würden. Ideal wäre es, wenn sie dabei U2F als Protokoll anbieten würden, so wie das viele große Anbieter wie Google, Dropbox oder GitHub schon tun.


Als Alternative wäre vielleicht das Protokoll TOTP interessant, so dass man den Zweiten Faktor auf dem Smartphone mit einer geeigneten App (Google Authenticator, FreeOTP etc.) berechnen kann, für alle Nutzer, die vielleicht kein Geld für den YubiKey ausgeben wollen.


Edit: Vielleicht noch als zusätzliche Motivation. Ein E-Mail-Account repräsentiert fast das gesamte Online-Leben einer Person. Bekommt man Zugriff auf einen E-Mail-Account, dann sieht man da die Bestätigungs-E-Mails von allen Diensten/Foren/Banken wo man irgendwie registriert ist. Die Benutzernamen stehen meistens auch drin und dann kann man sich über die „Passwort-Vergessen“-Funktionen sehr leicht Zugriff zu allen anderen Accounts des Nutzers beschaffen.

Deshalb ist mir die Passwortsicherheit meines primären Mail-Accounts extrem wichtig (und das sollte sie wohl auch allen anderen Nutzern sein). Da wünsche ich mir also wirklich etwas mehr, von mailbox.org die sich ja die Sicherheit so groß auf die Fahne schreiben. ;)

Beste Antwort
Foto

Wir arbeiten bereits an einer Erweiterung der Zweifaktor-Authentifizierung. TOTP, Yubi-Cloud ... usw. wollten wir eigentlich schon zum Ende letzten Jahres fertig gestellt haben. Wir haben es leider nicht geschafft, weil die Ressourcen für andere Projekte gebunden waren. Es wird aber in Kürze kommen.

U2F steht nach der Freischaltung der erweiterten OTP-Unterstützung auf unserer Roadmap.

Kommentare (34)

Foto
4

TOTP fände ich absolut super. Ist zwar vermutlich nicht so sicher, wie ein Yubikey, aber besser als ein Passwort allein. Die Konkurrenz posteo bietet es auch an...

Foto
1

Die Möglichkeit, bereits vorhandene Yubikeys zu nutzen, wäre sicher sehr sinnvoll. Um die erheblich größere Sicherheit der 2FA für die Masse der Nutzer zu ermöglichen, wäre eine alternative Bereitstellung der Authentifizierung per App (z.B. Google Authenticator) hilfreich. Ist nämlich erheblich besser als gar keine 2FA.

Foto
1

Ja, das ist das was ich mit TOTP meine. Der Google Authenticator spricht das als Protokoll im Hintergrund. ;)

Foto
Foto
2

Würde auch gerne meinen eigenen Yubikey nutzen können :)

Foto
3

Würden wir auch, aber hier unser Yubikey-Backend von externen Einflüssen und Manipulationen von außen abzusichern, ist schon eine wichtige Sache. Und darum müssen wir das sehr ordentlich machen, sobald es eine öffentlich erreichbare Einflußmöglichkeit auf unser Backend gibt. Dazu fehlte uns bislang die Zeit und wir hatten zuviele andere Ideen. HABEN WOLLEN tun wir das auch.

Foto
Foto
9

Wir arbeiten bereits an einer Erweiterung der Zweifaktor-Authentifizierung. TOTP, Yubi-Cloud ... usw. wollten wir eigentlich schon zum Ende letzten Jahres fertig gestellt haben. Wir haben es leider nicht geschafft, weil die Ressourcen für andere Projekte gebunden waren. Es wird aber in Kürze kommen.

U2F steht nach der Freischaltung der erweiterten OTP-Unterstützung auf unserer Roadmap.

Foto
2

Ach ich wünsche mir eine Zwei-Faktor-Authentifizierung per Google Authenticator. Das ist aktuell das Einzige was mich nach abhält, komplett auf Mailbox umzusteigen und einen höheren Tarif zu buchen.

Foto
3

"Google Authenticator" ist das, was ich oben als TOTP bezeichnet habe und was auch als FreeOTP bekannt ist. Das wird in Kürze kommen. Das Backend läuft schon, wir müssen das Frontend für die User noch hübsch machen, damit Sie Ihre OTP-Tokens selbst konfigurieren können.

Foto
Foto
1

Kann ich eigentlich den über mailbox.org gekauften Yubikey für andere Webservices benutzen oder stellen die sich dann "quer"?

Foto
1

Nein, den kann man ohne Weiteres auch bei anderen Diensten nutzen. Den YubiKeys sieht man nicht an wo diese gekauft wurden. Stark vereinfacht ist das nur eine zufällige Zeichenfolge (ein crypto Schlüssel) der muss halt in der Datenbank als berechtigter Schlüssel registriert werden. Wenn du über mailbox.org bestellst, dann macht mailbox.org das direkt für dich - nur wenn du den woanders gekauft hast bieten sie (noch) keine Möglichkeit den YubiKey zu registrieren. Aber das soll sich ja hoffentlich bald ändern.

Bei anderen Diensten kannst du einen YubiKey (egal wo gekauft) einfach selbst registrieren. Sofern sie die Technik unterstützen.

Meine Ausführungen hier sind stark vereinfacht was die Technik im Hintergrund betrifft.

Foto
1

ok, Danke. Dann kann mir meinen Yubikey ja bei mailbox.org bestellen.

Foto
1

Ich glaube nicht, dass man den Mailbox Yubikey problemlos bei anderen Diensten verwenden kann.


Wenn man einen Yibikey bei Yubico kauft, dann ist er für die Authentifizierung an der YubiCloud konfiguriert. Andere Dienste nutzen die YubiCloud.


Mailbox verwendet einen selbst gehosteten Server. Für diesen Server ist der Yubikey von Mailbox konfiguriert, den man deshalb bei MAilbos org kaufen muss.


Vielleicht kann jemand erklären, wie man den Yubikey von MAilbox bei anderen Services nutzt? Ich weiss es nicht. Danke!

Foto
4

Du kannst den Key problemlos woanders benutzen und das sagen wir ja auch öffentlich.


Ein Key muß an einer Authentifizierungs-Cloud "registriert" werden. Du kannst einen von uns erworbenen Key problemlos anders "registrieren".

Was NICHT geht ist, daß man andere Keys bei uns registrieren kann. Diese Funktion ist -- wenn man sie sicher machen will -- aufwändig zu programmieren und muß gut gesichert werden. Dazu hatten wir noch nicht die Kapazitäten und Prioritäten. Sobald wir das aber gemacht haben kann man auch andere Keys bei uns registrieren.

Keys, die von uns bezogen werden, sind ganz normale YubiKeys, die wir lediglich bei uns schon registriert haben (über ein von außen nicht erreichbares und damit sicheres internes System).


Aber es sind und bleiben ganz normale Keys.


mailbox.org hat hier halt das Problem, daß wir unseren eigenen Yubi-Server haben. Darum haben WIR das Problem und die Diskussion der Keyregistrierung, das andere Anbieter schlichtweg nicht haben weil sie diesen Sicherheitsschritt nicht gehen. Auch andere haben darum kein "Registrierungsinterface" weil sie den gar nicht brauchen.

Foto
1

> Vielleicht kann jemand erklären, wie man den Yubikey von MAilbox bei anderen Services nutzt? Ich weiss es nicht. Danke

Here you can generate a shared symmetric key for use with the Yubico Web Services

https://upgrade.yubico.com/getapikey/


schon probiert?

Foto
1

@Darkgatekeeper


Wir haben nun eine Anleitung online gestellt, wie man Yubikeys, die bei uns bestellt wurden, auch bei anderen Diensten nutzen kann:

https://support.mailbox.org/knowledge-base/article/yubikeys-bei-anderen-web-diensten-nutzen

Foto
Foto
6

Ich kann mich dem TO nur voll und ganz anschließen. Ich nutze Mailbox.org als reines Backup-Konto, da keine 2FA vorhanden ist.

Foto
1

Man kann ja wohl nicht behaupten, dass keine 2FA vorhanden ist. Mit Yubikey Hardware Tokens bietet mailbox.org eine qualitativ bessere OTP Varianta als als das Billig-OTP mit Smartphone.

Foto
Foto
1

Kann mich ebenso anschließen, Unterstützung von mehr Zwei-Faktor-Optionen wäre mir sehr wichtig. Gibt es denn einen Termin, wann Google Authenticator ausgerollt wird?

Foto
1

Mir wären moderne, wirklich gute Verfahren wie U2F wesentlich wichtiger, als das Google Authenticator. Dieses OTP wird bei Yubico unter den Features für den Yubikey 4 inzwischen als "Legacy OTP" bezeichnet (heißt: "veraltet, funktioniert mit dem Key 4 auch, aber man kann Besseres machen").


Mich würden eher die "besseren" Verfahren interessieren statt Legacy OTPs. (eine Meinung, die dem Thread ja nicht widerspricht)

Foto
1

Solange der Bug besteht, dass die Yubikey Authentifizierung (ggf. auch

eine OTP Anmeldung) umgangen werden kann, ist leider weder das eine noch

das andere wirklich von Vorteil. Zudem vermisse ich - wie auch von

anderen bereits vorgeschlagen - anwendungsspezifische Passworte.


https://support.mailbox.org/topic/otp-yubikey-l%C3%A4sst-sich-umgehen

Foto
1

Wie jemand anderes in dem Thread schon geschrieben hat: OTP schützt VOR der Komprimitierungd es Passwortes und nicht DANACH.


Somit ist OTP auf jeden Fall weiterhin sinnvoll, weil es das Passwort schützt bevor es kompromittiert wird. Danach hat Du ein Problem und die Lösung für ein kompromitiertes Passwort ist NICHT OTP. (Das ist in dem verlinkten Thread aber alles schon mal erklärt.)


U2F wäre eine wirklich gute und die qualitativ beste Lösung mit Hardwaretoken. Wenn der Aufwand für "anwendungsspezifische Passworte" und U2F etwas gleich hoch wäre und nur begrenzte Kapazitäten zur Verfügung stehen, dann würde ich ausdrücklich für U2F voten und gegen Billig-Bastel-Spielereien. (Meine persönliche Meinung, kein Grund zum Flamewar.)


Passwort kompromittiert -> OTP Authentifizierung kann immer "umgangen" werden. Das sind keine Bugs sondern Features:

  • via IMAP mit Passwort Zugriff alle Mails
  • via CalDAV mit Passwort Zugriff auf alle Kalender
  • via CardDAV mit Passwort Zugriff auf alle Adressen
  • via WebDAV mit Passwort Zugriff auf alle Dateien

Foto
2

Ergänzug: Dieser Bug, auf dem ihr so rumreitet ist totales Pillepalle.


Wenn ich als Angreifer das Passwort habe, dann kann ich via IMAP eine Mail an den Support schreiben mit "Sorry - ich habe meinen Yubikey verloren und brauche gaaaanz dringend Zugriff auf die Einstellungen, um meinen Account hochzustufen...." Der freundliche Support von mailbox.org wird mir kurzfristig helfen und Du schaust in die Röhre.


OTP schützt vorher, bevor das Passwort komprimittiert wird und dieser Schutz ist bei mailbox.org gegeben. Es wäre fahrlässig, wenn man das nicht nutzt nur weil ein Angreifer diese Mail an den Support nicht schreiben muss, um als Letztes auch noch Zugriff auf die Einstellungen zu bekommen.


Wenn das Passwort kompromittiert wurde, dann schützt OTP nicht mehr. Das ist im Angriffmodell von OTP auch nicht vorgesehen. Wer das glaubt, hat OTP nicht verstanden.

Foto
Foto
3

Warte sehnsuechtigst darauf.

Bin recht zufrieden mit mailbox.org, aber der Sicherheitsruekschritt im Vergleich zu Google Apps ist schon ungut.

Bitte wirklich jetzt zuegig anbieten!

Foto
2

Ist derzeit in der Umsetzung.

Foto
2

Lassen sich dann auch (endlich) externe Accounts so einbinden, dass man sich mit dem Yubikey mit OTP anmelden kann?

Foto
1

Nach dem heutigen Update scheinen externe Accounts ja noch nicht mit OTP zu funktionieren [1]. Ist denn da was geplant? Viele werden denke ich noch eventuelle "alte" eMail-Accounts bzw. die Uni-Adresse in mailbox.org eingebunden haben, und dadrauf im Urlaub auch gerne zugreifen wollen. Es ist schon klar, dass dafür die Passwörter im Klartext gespeichert werden müssen, aber ich denke das würden viele in Kauf nehmen, auch gerne mit "Warnung". Oder gibt es da vielleicht doch eine elegante kryptographische Lösung für? Die Passwörter für die externen Accounts vielleicht mit der OTP PIN als Schlüssel verschlüsseln, parallel zur Verschlüsselung mit dem "normalen" Passwort? Habt ihr die PIN eigentlich im Klartext (dann könnte man sich das natürlich auch wieder schenken) oder als Hash gespeichtert?

Was passiert eigentlich beim Versuch sich trotz externer Accounts mittels OTP einzuloggen? Werden die dann einfach nicht geladen, und beim nächsten Mal mit normalem Passwort gehts dann wieder?

Und noch eine Frage zum OTP-Sicherungslevel: Bedeutet "Webinterface OTP, alles andere Passwort", dass das normale Passwort auch noch funktioniert? Vielleicht könnte man zu den einzelnen Optionen innerhalb des Einstellungdialogs noch eine kurze Beschreibung hinzufügen, eventuell in Form einer Tabelle mit einer Übersicht, was geht, was nicht, und was deaktiviert ist.


Aber super, dass OTP prinzipiell jetzt mit eigenem Yubikey funktioniert. :)

Und Danke für das auch sonst tolle Update soweit!

[1] https://support.mailbox.org/knowledge-base/article/webmail-mit-one-time-passwords

Foto
Foto
1

Hallo,


warum habe ich das Gefühl, dass sich da nicht wirklich etwas tut?

Wann wird es denn nun möglich sein, sich via Zwei-Faktor-Authentifizierung im Webmailer anzumelden?

Foto
2

warum habe ich das Gefühl, dass sich da nicht wirklich etwas tut?

Weil...

a) Du unterschätzt wieviel Aufwand das bedeutet dies für alle von uns angebotenen Dienste sauber zu realisieren

b) Du unterschätzt wieviele Abhängigkeiten, Vor- und Zuarbeiten notwendig sind um Sachen zu verändern und diese können auch nicht täglich, jederzeit und beliebig parallel stattfinden

c) Du nicht Mitglied in unserem Team bist und nicht siehst, was hinter den Kulissen alles passiert. jobs@heinlein-support.de :-)

Wir sind da dran. Aber wir reden hier nicht von Kleinigkeiten und viele andere Dinge sollen und müssen parallel auch stattfinden.

Foto
Foto
1

Glaube ich dir alles, da ihr ja nun das Pferd von hinten aufzäumen müsst :-)

Wird das in diesem Jahr noch was?

Foto
2

Ja - es wird in diesem Jahr noch vor Weihnachten fertig werden, wahrscheinlich noch deutlich vor dem Nikolaus.

Foto
1

Hurra!


Und das so kurz nach Ostern!!!

Foto
Foto
1

Wie pflegte Oma immer zu sagen: "Keine Antwort ist auch 'ne Antwort".

Foto
1

Geht doch! :D

Foto
1

Wir haben TOTP und weitere Varianten aktuell freigeschaltet:

https://support.mailbox.org/knowledge-base/article/zwei-faktor-authentifzierung