Zwei-Faktor-Authentifizierung

Ja, das ist das was ich mit TOTP meine. Der Google Authenticator spricht das als Protokoll im Hintergrund. ;)

Würden wir auch, aber hier unser Yubikey-Backend von externen Einflüssen und Manipulationen von außen abzusichern, ist schon eine wichtige Sache. Und darum müssen wir das sehr ordentlich machen, sobald es eine öffentlich erreichbare Einflußmöglichkeit auf unser Backend gibt. Dazu fehlte uns bislang die Zeit und wir hatten zuviele andere Ideen. HABEN WOLLEN tun wir das auch.

"Google Authenticator" ist das, was ich oben als TOTP bezeichnet habe und was auch als FreeOTP bekannt ist. Das wird in Kürze kommen. Das Backend läuft schon, wir müssen das Frontend für die User noch hübsch machen, damit Sie Ihre OTP-Tokens selbst konfigurieren können.

Nein, den kann man ohne Weiteres auch bei anderen Diensten nutzen. Den YubiKeys sieht man nicht an wo diese gekauft wurden. Stark vereinfacht ist das nur eine zufällige Zeichenfolge (ein crypto Schlüssel) der muss halt in der Datenbank als berechtigter Schlüssel registriert werden. Wenn du über mailbox.org bestellst, dann macht mailbox.org das direkt für dich - nur wenn du den woanders gekauft hast bieten sie (noch) keine Möglichkeit den YubiKey zu registrieren. Aber das soll sich ja hoffentlich bald ändern.

Bei anderen Diensten kannst du einen YubiKey (egal wo gekauft) einfach selbst registrieren. Sofern sie die Technik unterstützen.

Meine Ausführungen hier sind stark vereinfacht was die Technik im Hintergrund betrifft.

ok, Danke. Dann kann mir meinen Yubikey ja bei mailbox.org bestellen.

Ich glaube nicht, dass man den Mailbox Yubikey problemlos bei anderen Diensten verwenden kann.

Wenn man einen Yibikey bei Yubico kauft, dann ist er für die Authentifizierung an der YubiCloud konfiguriert. Andere Dienste nutzen die YubiCloud.

Mailbox verwendet einen selbst gehosteten Server. Für diesen Server ist der Yubikey von Mailbox konfiguriert, den man deshalb bei MAilbos org kaufen muss.

Vielleicht kann jemand erklären, wie man den Yubikey von MAilbox bei anderen Services nutzt? Ich weiss es nicht. Danke!

Du kannst den Key problemlos woanders benutzen und das sagen wir ja auch öffentlich.

Ein Key muß an einer Authentifizierungs-Cloud "registriert" werden. Du kannst einen von uns erworbenen Key problemlos anders "registrieren".

Was NICHT geht ist, daß man andere Keys bei uns registrieren kann. Diese Funktion ist -- wenn man sie sicher machen will -- aufwändig zu programmieren und muß gut gesichert werden. Dazu hatten wir noch nicht die Kapazitäten und Prioritäten. Sobald wir das aber gemacht haben kann man auch andere Keys bei uns registrieren.

Keys, die von uns bezogen werden, sind ganz normale YubiKeys, die wir lediglich bei uns schon registriert haben (über ein von außen nicht erreichbares und damit sicheres internes System).

Aber es sind und bleiben ganz normale Keys.

mailbox.org hat hier halt das Problem, daß wir unseren eigenen Yubi-Server haben. Darum haben WIR das Problem und die Diskussion der Keyregistrierung, das andere Anbieter schlichtweg nicht haben weil sie diesen Sicherheitsschritt nicht gehen. Auch andere haben darum kein "Registrierungsinterface" weil sie den gar nicht brauchen.

> Vielleicht kann jemand erklären, wie man den Yubikey von MAilbox bei anderen Services nutzt? Ich weiss es nicht. Danke

Here you can generate a shared symmetric key for use with the Yubico Web Services

https://upgrade.yubico.com/getapikey/

schon probiert?

@Darkgatekeeper

Wir haben nun eine Anleitung online gestellt, wie man Yubikeys, die bei uns bestellt wurden, auch bei anderen Diensten nutzen kann:

https://support.mailbox.org/knowledge-base/article/yubikeys-bei-anderen-web-diensten-nutzen

Man kann ja wohl nicht behaupten, dass keine 2FA vorhanden ist. Mit Yubikey Hardware Tokens bietet mailbox.org eine qualitativ bessere OTP Varianta als als das Billig-OTP mit Smartphone.

Mir wären moderne, wirklich gute Verfahren wie U2F wesentlich wichtiger, als das Google Authenticator. Dieses OTP wird bei Yubico unter den Features für den Yubikey 4 inzwischen als "Legacy OTP" bezeichnet (heißt: "veraltet, funktioniert mit dem Key 4 auch, aber man kann Besseres machen").

Mich würden eher die "besseren" Verfahren interessieren statt Legacy OTPs. (eine Meinung, die dem Thread ja nicht widerspricht)

Solange der Bug besteht, dass die Yubikey Authentifizierung (ggf. auch

eine OTP Anmeldung) umgangen werden kann, ist leider weder das eine noch

das andere wirklich von Vorteil. Zudem vermisse ich - wie auch von

anderen bereits vorgeschlagen - anwendungsspezifische Passworte.

https://support.mailbox.org/topic/otp-yubikey-l%C3%A4sst-sich-umgehen

Wie jemand anderes in dem Thread schon geschrieben hat: OTP schützt VOR der Komprimitierungd es Passwortes und nicht DANACH.

Somit ist OTP auf jeden Fall weiterhin sinnvoll, weil es das Passwort schützt bevor es kompromittiert wird. Danach hat Du ein Problem und die Lösung für ein kompromitiertes Passwort ist NICHT OTP. (Das ist in dem verlinkten Thread aber alles schon mal erklärt.)

U2F wäre eine wirklich gute und die qualitativ beste Lösung mit Hardwaretoken. Wenn der Aufwand für "anwendungsspezifische Passworte" und U2F etwas gleich hoch wäre und nur begrenzte Kapazitäten zur Verfügung stehen, dann würde ich ausdrücklich für U2F voten und gegen Billig-Bastel-Spielereien. (Meine persönliche Meinung, kein Grund zum Flamewar.)

Passwort kompromittiert -> OTP Authentifizierung kann immer "umgangen" werden. Das sind keine Bugs sondern Features:

• via IMAP mit Passwort Zugriff alle Mails
• via CalDAV mit Passwort Zugriff auf alle Kalender
• via CardDAV mit Passwort Zugriff auf alle Adressen
• via WebDAV mit Passwort Zugriff auf alle Dateien

Ergänzug: Dieser Bug, auf dem ihr so rumreitet ist totales Pillepalle.

Wenn ich als Angreifer das Passwort habe, dann kann ich via IMAP eine Mail an den Support schreiben mit "Sorry - ich habe meinen Yubikey verloren und brauche gaaaanz dringend Zugriff auf die Einstellungen, um meinen Account hochzustufen...." Der freundliche Support von mailbox.org wird mir kurzfristig helfen und Du schaust in die Röhre.

OTP schützt vorher, bevor das Passwort komprimittiert wird und dieser Schutz ist bei mailbox.org gegeben. Es wäre fahrlässig, wenn man das nicht nutzt nur weil ein Angreifer diese Mail an den Support nicht schreiben muss, um als Letztes auch noch Zugriff auf die Einstellungen zu bekommen.

Wenn das Passwort kompromittiert wurde, dann schützt OTP nicht mehr. Das ist im Angriffmodell von OTP auch nicht vorgesehen. Wer das glaubt, hat OTP nicht verstanden.

Ist derzeit in der Umsetzung.

Lassen sich dann auch (endlich) externe Accounts so einbinden, dass man sich mit dem Yubikey mit OTP anmelden kann?

Nach dem heutigen Update scheinen externe Accounts ja noch nicht mit OTP zu funktionieren [1]. Ist denn da was geplant? Viele werden denke ich noch eventuelle "alte" eMail-Accounts bzw. die Uni-Adresse in mailbox.org eingebunden haben, und dadrauf im Urlaub auch gerne zugreifen wollen. Es ist schon klar, dass dafür die Passwörter im Klartext gespeichert werden müssen, aber ich denke das würden viele in Kauf nehmen, auch gerne mit "Warnung". Oder gibt es da vielleicht doch eine elegante kryptographische Lösung für? Die Passwörter für die externen Accounts vielleicht mit der OTP PIN als Schlüssel verschlüsseln, parallel zur Verschlüsselung mit dem "normalen" Passwort? Habt ihr die PIN eigentlich im Klartext (dann könnte man sich das natürlich auch wieder schenken) oder als Hash gespeichtert?

Was passiert eigentlich beim Versuch sich trotz externer Accounts mittels OTP einzuloggen? Werden die dann einfach nicht geladen, und beim nächsten Mal mit normalem Passwort gehts dann wieder?

Und noch eine Frage zum OTP-Sicherungslevel: Bedeutet "Webinterface OTP, alles andere Passwort", dass das normale Passwort auch noch funktioniert? Vielleicht könnte man zu den einzelnen Optionen innerhalb des Einstellungdialogs noch eine kurze Beschreibung hinzufügen, eventuell in Form einer Tabelle mit einer Übersicht, was geht, was nicht, und was deaktiviert ist.

Aber super, dass OTP prinzipiell jetzt mit eigenem Yubikey funktioniert. :)

Und Danke für das auch sonst tolle Update soweit!

[1] https://support.mailbox.org/knowledge-base/article/webmail-mit-one-time-passwords

warum habe ich das Gefühl, dass sich da nicht wirklich etwas tut?

Weil...

a) Du unterschätzt wieviel Aufwand das bedeutet dies für alle von uns angebotenen Dienste sauber zu realisieren

b) Du unterschätzt wieviele Abhängigkeiten, Vor- und Zuarbeiten notwendig sind um Sachen zu verändern und diese können auch nicht täglich, jederzeit und beliebig parallel stattfinden

c) Du nicht Mitglied in unserem Team bist und nicht siehst, was hinter den Kulissen alles passiert. jobs@heinlein-support.de :-)

Wir sind da dran. Aber wir reden hier nicht von Kleinigkeiten und viele andere Dinge sollen und müssen parallel auch stattfinden.

Ja - es wird in diesem Jahr noch vor Weihnachten fertig werden, wahrscheinlich noch deutlich vor dem Nikolaus.

Hurra!

Und das so kurz nach Ostern!!!