Willkommen im User-Forum von mailbox.org
 

Zwei-Faktor-Authentifizierung

9835215 hat dies geteilt, 3 Jahren her
veröffentlicht

Guten Morgen, ich habe die folgende Authentizierung eingerichtet:

"Als dritte Variante haben Sie die Möglichkeit, beliebige OATH-, TOTP-, HOTP- oder mOTP- kompatible Token wie z.B. Smartphone Apps wie FreeOTP"

Dies funktionier soweit auch ohne Probleme. Nach dem Login popt jedoch ein Fenster auf, dass mich auffordert, mein altes Passwort einzugeben, damit die Account-Passwörter wiederhergestellt werden können. Beim ersten mal klappte das auch, indem ich meine altes Passwort eingegeben habe. Bei allen weiteren Logins kommt jedoch dann, wenn ich genauso verfahre, die Fehlermeldeung, dass mein Passwort falsch ist. Wähle ich dann Abbrechen aus, passiert offensichtlich nichts....

Mit freundlichen Grüßen

Andreas Wagner

Kommentare (30)

Foto
1

Gibt es hier schon eine Lösung?


Ich hab leider genau den gleichen Effekt. Sowohl mit Yubikey als auch mit TOTP bekomme ich diese Meldung, mit genau dem gleichen Effekt - Passwort eingeben funktioniert genau 1 mal, dann immer die Meldung, dass es falsch ist. Aber es ist auch überhaupt nicht notwendig, das einzugeben, denn mit Abbrechen passiert genau das gleich: nix.


Es ist nur sehr nervig, jedesmal die Meldung wegzuklicken.

Foto
2

Ich hatte das gleiche Problem.


Ich vermute es hängt mit verknüpften Accounts zusammen.

Unter "Einstellungen" -> "Account hinzufügen" kann man diverse andere Accounts hinzufügen.

3d31e924721fc9b36f4c369dd1138023


Was es mir bringt, dort die Verknüpfung zu Google herzustellen, konnte ich nicht herausfinden. Ich hatte die Verknüpfung jedenfalls mal hergestellt und von da an hatte ich auch die von euch beschriebene Meldung.

Erst nach dem Entfernen der Verknüpfung zum Google Account war die komische Passworteingabemeldung weg.


Insgesamt erscheint mir vieles bei mailbox.org noch ziemlich verbuggt. Auch z. B. dass im "dunklen Design" die Schriftfarbe "Account hinzufügen" exakt die gleich ist, wie die Farbe des Buttons (man kann die Schrift also nur erkennen, wenn man mit der Maus darüber fährt)...

c0a9e5e657c345332eafe26c349702ae

Foto
1

Danke. Das war der Fehler.


Ich hatte dort Twitter aktiviert, um das Widget nutzen zu können. Kein Muss - aber wenn es schon solche Gimmiks wie die Widgets gibt, wäre es auch gut, wenn man diese auch nutzen kann. Mit den Fehler und Bugs macht das leider keinen Spaß. Hier muss anscheinend wirklich noch einiges an der Oberfläche verbessert werden.

Foto
4

Das ganze ist eher anders herum.


OX verschlüsselt Zugangsdaten für Twitter, POP3 und andere Widgets und externe Accounts mit dem Passwort des Nutzers.


Soweit, so löblich, denn so kommt der Provider nicht an diese Daten ran. Das ist ja auch ein Prinzip, das mailbox.org an vielen Stellen lebt und vorantreibt.


Nun ist es aber so, daß es bei OTP mit jedem Login neue Passwörter gibt. Das OTP hat hier mailbox.org mit viel Aufwand 'erfunden' und implementiert; unsere OX-Oberfläche hat keine Ahnung was OTP ist und kriegt davon auch nichts mit. Aber -- und das ist eben das Problem -- nach dem OTP-Login ist aus Sicht von OX das Passwort eben so neu/geändert, daß die alten Zugangsdaten nicht mehr gelsen/entschlüsselt werden können.


OX an sich und die Widgets funktionieren wunderbar. Es liegt am "Voodoo-Magic" von mailbox.org, daß die Daten dann eben nicht mehr lesbar sind. OTP und diese externen Widgets schließen sich aus.


Deswegen macht es aber auch keinen Sinn diese generell nicht anzubieten. Ein Großteil unserer Nutzer interessiert sich nicht für abgefahrene Dinge wie OTP & Co und für den Großteil unserer Nutzer funktioniert das alles sauber und einwandfrei.


Wir haben auf unserer Agenda hier eine Änderung anzustreben, damit diese Zugangsdaten im Einzelfall bei OTP-Usern nicht mehr verschlüsselt gespeichert werden; das würde das Problem dann nachhaltig lösen.


Bis dahin gilt: Wen das stört, der kann halt sowas innovatives wie OTP nicht nutzen.

Foto
2

Danke für die logische Erklärung.


Aber wie bei anderen Dingen auch: Warum weist ihr bei der Aktivierung nicht darauf hin, dass es sich ausschließt?


Das würde viele Nerven weniger strapazieren. Ein kleingedruckter Hilfetext würde doch genügen...

Foto
2

Es sind einfach zu viele Kleinigkeiten, man kommt nicht hinterher. "Alles" dauert nur 30 Minuten.


Aber, ja: Ich habe das vorhin schon auf die Liste gesetzt, daß das besser rausgestellt werden muß.

Foto
2

@Chako: Wenn Sie Zwei-Faktor-Auth einrichten wollen, dann werden Sie deutlich darauf hingewiesen, bitte zuerst den zugehörigen FAQ-Artikel zu lesen. Dort werden diese und weitere Fragen erklärt.


Somit weisen wir beider Aktivierung schon darauf hin, dass man sich informieren sollte. Leider scheint die Hälfte der Nutzen diesen Hinweis zu ignorieren. Wir haben im Support immer wieder Fragen wie hier dieskutiert und weitere Fragen, die dort in dem Artikel beantwortet werden.

Foto
2

Ok. Danke für die Erklärung.


Sie haben natürlich recht, dass dies dort drin mit vermerkt ist, und natürlich hab ich mir dies zuvor alles durchgelesen. Und ich weiß, wie nervig das sein kann, wenn man ständig Nachfragen zu Dingen bekommt, die eigentlich schon erklärt wurden. Nur sind das so viele Informationen, mit denen man sich bei dem Thema beschäftigen muss, dass dies erstmal als kleine "Randnotiz" erscheint, die man schnell wieder vergisst. - Und wie Chako schon angemerkt hat, ist die Formulierung dort nicht richtig. Ein Einbinden ist nämlich trotzdem möglich, und wird nicht durch die Software unterbunden. Das müsste vielleicht eher lauten "Bei aktiviertem OTP kann es zu Fehlermeldungen durch eingebundene Accounts kommen.".


Könnte man dort nicht eine kleine Abfrage einbauen? Zb. wenn man OTP aktiviert, und es ist ein externer Account eingebunden, kommt eine Popup Meldung mit einem Hinweis. Oder wenn OTP bereits aktiv, und man beginnt einen externen Account hinzuzufügen, dass dort ebenfalls ein Warnhinweis kommt, oder das Einbinden gleich komplett deaktiviert wird, bzw die Widgets für externe Accounts nicht mehr mit aufgeführt werden.


(OTP ist mir natürlich wichtiger, als irgendwelche Twitter News etc... - das sehe ich halt mehr als Gimmik, auf was man durchaus verzichten kann.)

Foto
2

Die Farbe des Buttons sind gefixt. Das nur der Vollständigkeit halber.

Foto
Foto
2

"Sie können im Weboffice von mailbox.org keine externen Accounts wie Google Drive, XING oder andere E-Mail Konten einbinden. Die Passwörter für diese Accounts werden normalerweise mit Ihrem Login Passwort verschlüsselt und beim Login entschlüsselt. Das ist nicht möglich, wenn ständig wechselnde Einmal-Passwörter für den Login verwendet werden."

Ganz ehrlich: Doch, man kann sie einbinden.

Und wenn ich OTP aktiviert habe und einige Wochen später auf die Option stoße, Google Drive, etc. einzubinden, bringe ich das nicht mehr mit OTP in Verbindung. Die Fehlermeldung, die dann jeweils beim Login erscheint, hilft einem dann auch so gar nicht weiter..

Foto
1

Guten Abend,

ich habe überhaupt keine Accounts dort eingebunden (außer den eigenen MBO Email Account) und bekomme trotzdem die o. g. Meldung? Gibt es dafür eine Idee / Lösungsvorschlag?

Foto
1

Ich war davon ausgegangen, dass die externen Accounts beim Einrichten von OTP gelöscht werden. Nun komme ich nicht mehr in das Webinterface. "Passwort falsch" (was natürlich nicht stimmt). Was kann ich tun?

Foto
1

Sorry, ich verstehe die Anfrage nicht. Das ergibt keinen Sinn.


a) Warum sollte man externe Accounts löschen?

b) Was haben externe Accounts damit zu tun, ob Du in das Webinterface kommst?

c) Wenn das Passwort falsch ist, dann wird das wohl stimmen.


In Deinem Fall also wohl: Kann es sein, daß Du Dich nicht richtig mit OTP einloggst und darum halt "ganz normal" nicht in das webinterface reinkommst?

Foto
1

Okay, Problem gefunden. Ich hatte übersehen, dass beide Passwörter (PIN und OTP) in dasselbe Passwortfeld geschrieben werden sollen. Per POP3-Zugang ließ sich der Reset-Link öffnen.

Foto
1

Wobei ich die Möglichkeit des Rest-Links vorher nicht kannte und damit aus meiner Sicht 2FA keinen Sinn ergibt. Wenn ein Angreifer das Passwort hat (und ich ihn per 2FA trotzdem am Zugang hindern möchte), reicht es ja, wenn derjenige (so wie ich es gerade getan habe) per POP3 den Reset-Link abruft - schon ist derjenige drin.

Foto
1

... und zwar eben nicht nur in den Mails, sondern im gesamten Account (dass die Mails per 2FA nicht abzusichern sind, solange POP3 nicht deaktiviert ist, ist schon klar).

Foto
2

Das hatten wir gerade erst. Nein, 2FA hier ist sicher. Ein Angreifer kann sich den Link nur zuschicken lassen, wenn er Zugriff auf eines deiner Geräte hat, auf dem du einen Mailclient eingerichtet hast. Sonst geht da nichts. Also: neben 2FA muss man sich um die Sicherheit der Geräte kümmern, die man nutzt, also auch dort sichere Passwörter, und die Geräte am besten so verschlüsseln, dass ein Dieb oder Finder damit nichts anfangen kann.


Die 2FA-Implementierung hier ist also sogar sehr sicher.

Foto
1

@3931079:

Eine längere Diskussion zum Thema 2FA und Passwort-Reset findet sich hier:

https://userforum.mailbox.org/topic/2fa-durch-passwort-reset-deaktivieren-2fa-sinnlos

Foto
1

Habe mir die Diskussion angesehen und entschieden, mich nicht auf eine falsche Sicherheit durch 2FA zu verlassen. Das Angriffsszenario ist: Passwort ist dem Angreifer z.B. durch Keylogging bekannt, er richtet sich auf seinem eigenen Gerät IMAP mit den erbeuteten Daten ein und schickt sich selbst den Link. Sesam öffne dich.


So viel zum Thema "Die 2FA-Implementierung hier ist also sogar sehr sicher".

Foto
1

Aber ich verstehe immerhin jetzt, warum alle immer auf der "Gerätesicherheit" herumreiten. Nur 2FA ist doch gerade auch für Szenarien gedacht, in denen ich mich "dank" fremder Geräte kaum absichern kann (z.B. auf Arbeit). Dann kann ich durch 2FA dafür sorgen, das Risiko wenigstens einzudämmen. So wie es hier implementiert ist, nutzt 2FA für dieses Angriffsszenario allerdings nichts.

Foto
1

2FA ist sehr wohl sicher. Wenn dem Angreifer dein Passwort bekannt ist, kannst du eh nichts machen.


Und überleg mal:Wenn du 2FA auf einem sicheren Rechner einrichtest und danach NIE dein Passwort benutzt- wie soll ein Angreifer denn bitteschön dein Passwort sniffen?


Alle reden immer über Sicherheit, und dann werden die total unwahrscheinlischten Szenarien aufgemacht, um zu sagen, dass man die sicheren Methoden wie 2FA nicht benutzen kann und will.


Leute, geht alle zu Google. Da kriegt die die Unsicherheit im großen Paket, aber in ungeahnter Fülle. Und speichert alle eure Passwörter im Browser.

Foto
1

Hey, ganz entspannt, bitte.


Ich möchte gern auf meinem Rechner im Büro Browser-Zugriff auf meinen Kalender haben. Das ist jetzt kein Ausnahme-Szenario und es ist doch gut, wenn ich es dort nutze.


Da ich mit der IT-Sicherheit dort nichts zu tun habe und ehrlich gesagt nicht das allerhöchste Vertrauen habe, wäre es doch sinnvoll, mit 2FA zumindest zu verhindern, dass jemand der z. B. per Keylogger mein Passwort abgreift, auch gleich den Account übernehmen und mich aussperren kann.


Es ist also nicht so, wie hier gebetsmühlenartig immer wiederholt wird, dass man "eh nichts machen kann", wenn jemand das Passwort hat. Es gibt dort durchaus Abstufungen und Grauzonen. Es geht ja gerade darum, zu verhindern, dass ein Passwort-Leak gleich die Maximal-Katastrophe bedeutet. Es geht darum, auch in solch einem natürlich sehr ärgerlichen Fall Handlungsfähigkeit zu bewahren, sprich: das Passwort ändern und den faulen Admin mit der Tatsache des Leaks konfrontieren.


Ärgerlicher und damit innerhalb der Grauzone deutlich "schwärzer" wäre es, die Handlungsfähigkeit zu verlieren, nämlich aus dem eigenen Account ausgesperrt zu werden.

Foto
1

Sehe ich genauso wie du 3931079. Mir ist schleierhaft, wieso unsere Diskussionserkenntnisse im Forum von einigen wenigen nicht anerkannt werden wollen, obwohl die vorgebrachten Argumente nachweisbar und stichhaltig sind.

Ich hatte hier einen Lösungsvorschlag aufgezeigt, welcher natürlich wieder schlecht geredet wurde:

https://userforum.mailbox.org/topic/2-faktor-authentifizierung-2fa-ist-das-sicher#comment-17446

Persönlich könnte ich mit diesem Lösungsvorschlag gut leben, da ich als alternative Mailadresse einen Account von Tutanota verwende. Den kann ich gar nicht via IMAP abrufen und das Mantra zur Gerätesicherheit greift in diesem Szenario nicht. Ich verwende den alternativen Account auch nur als Backup für die Passwort-Rücksetzen-Funktion.

Der Anbieter Tutanota hat übrigens auf die Passwort-Leaks durch Collection #1-x einen netten Blogbeitrag veröffentlicht, welcher unter Punkt 3 die hier beschriebenen und erarbeiteten Szenarios erkennt und sich selbst natürlich als Lösung beschreibt...

https://tutanota.com/blog/posts/email-security-guide-online

... und nein, ich will hier nicht für einen anderen Anbieter werben, dies soll nur ein Beispiel sein, ich bin ein Fan von mailbox.org und schätze hier insbesondere das unvergleichliche Preis-Leistungs-Verhältnis (da kann Tutanota auch nicht mithalten).

Foto
1

Nochmal:


Zitat: "Ich möchte gern auf meinem Rechner im Büro Browser-Zugriff auf meinen Kalender haben. Das ist jetzt kein Ausnahme-Szenario und es ist doch gut, wenn ich es dort nutze. Da ich mit der IT-Sicherheit dort nichts zu tun habe und ehrlich gesagt nicht das allerhöchste Vertrauen habe, wäre es doch sinnvoll, mit 2FA zumindest zu verhindern, dass jemand der z. B. per Keylogger mein Passwort abgreift, auch gleich den Account übernehmen und mich aussperren kann."


Wenn du 2FA nutzt, kann niemand das Passwort abgreifen. Genau darum geht es doch.


Du wirst ja auf deinem Bürorechner keinen Mailclient installieren, um die Mails abzurufen. Und wenn du von einem externen Rechner aus per 2FA zugreifst, gibt es kein Passwort, das man abgreifen kann.


Ich verstehe deinen Kommentar nicht wirklich, kannst du das bitte nochmal erläutern?

Foto
1

Hm, es stimmt natürlich, dass durch die PIN, die in Kombination mit dem 2FA-Code für das Webinterface genutzt wird, ich mein Passwort tatsächlich nur noch für den Login per IMAP/POP und für CalDAV/CardDAV/ActiveSync nutze. Für Login im Webinterface spielt das Passwort keine Rolle mehr.

Ist denn garantiert, dass das Passwort dafür dann auch nicht über das Firmen-WLAN abgreifbar ist, wenn mein Smartphone den Kalender synchronisiert?

Foto
1

Da zwischen dem Mailclient (Endgerät wie Smartphone, etc.) und dem mailbox.org-IMAP-Server ein TLS-Tunnel aufgebaut wird, ist das Passwort sicher und kann nicht abgegriffen werden. Dieser Tunnel müsste erstmal aufgebrochen werden, um an das Passwort zu gelangen. Dies würde jedoch i.d.R. durch den Nutzer erkannt werden können. Es gibt im Übrigen berechtigte Szenarien, wo dieses Aufbrechen gewollt ist, z.B. bei Einsatz einer Sicherheitssoftware, welche die Inhalte innerhalb des Tunnels auf Schadsoftware überprüft. Guck mal nach "TLS Middlebox". In den Treffern wird die Vorgehensweise und allgemeine Problematik gut beschrieben.

Foto
1

@7842928: Besser keine Werbung für Tutanota machen, denn der ach so sichere Dienst Tutanota wurde dann mal ganz einfach gehackt.


https://www.heise.de/security/meldung/Amnesty-Hacker-hebeln-automatisiert-2-Faktor-Authentifizierung-aus-4257453.html

Foto
1

@7586310: Werbung? Bitte nochmal lesen was ich geschrieben habe und in welchem Kontext.


Zum beschriebenen Angriff: Gut gemachtes Phishing, der Abgriff der Zugangsdaten inkl. Softtoken wie TOTP, der Einsatz (Missbrauch) der abgegriffenen Daten im Hintergrund und in Echtzeit, würde natürlich bei keinem anderen Mailanbietern funktionieren, auch nicht hier ... oder doch? Hierzu helfen nur Hardware-Token wie Yubikey. Aber zum Glück kann man diese ja hier beziehen und einsetzen...

Foto
1

Ja, stimmt, da war ich mißverstädnlich, du wolltest ja gerade keine Werbung gemacht haben.


Ich gebe dir recht: 2FA sollte man nur mit Hardware-Token machen. An der Stelle hat Tutanota eindeutig seine Schwachstelle. Trotzdem halte ich jede 2FA-Technik für sicherer als herkömmliches Vorgehen mit Benutzername und Passwort.


Ich würde mir letztlich einen Mailclient wünschen, der verschlüsselt speichert, und an den ich mich nur per 2FA anmelden kann. Manchmal ist es nämlich leider gut, die Mails und Anhänge alle offline ahben zu können.


Also muss ich hingehen, meinen Rechner neu aufsetzen, und ihn verschlüsseln. Windows 10 soll ja ab Version 1809 eine Anmeldung mit 2FA ermöglichen. Das wäre es dann.

Foto
Foto
1

Browsercache schon mal geleert?


Ansonsten: Das einfachste wäre, in der Anmeldung auf den Link "Passwort vergessen" zu klicken. Voraussetzung dazu ist, dass du im Backend eine Kontakt-Mailadresse hinterlegt hast.