Willkommen im User-Forum von mailbox.org
 

Zwei-Faktor-Authentifizierung

9835215 hat dies geteilt, 2 Jahren her
veröffentlicht

Guten Morgen, ich habe die folgende Authentizierung eingerichtet:

"Als dritte Variante haben Sie die Möglichkeit, beliebige OATH-, TOTP-, HOTP- oder mOTP- kompatible Token wie z.B. Smartphone Apps wie FreeOTP"

Dies funktionier soweit auch ohne Probleme. Nach dem Login popt jedoch ein Fenster auf, dass mich auffordert, mein altes Passwort einzugeben, damit die Account-Passwörter wiederhergestellt werden können. Beim ersten mal klappte das auch, indem ich meine altes Passwort eingegeben habe. Bei allen weiteren Logins kommt jedoch dann, wenn ich genauso verfahre, die Fehlermeldeung, dass mein Passwort falsch ist. Wähle ich dann Abbrechen aus, passiert offensichtlich nichts....

Mit freundlichen Grüßen

Andreas Wagner

Kommentare (14)

Foto
1

Gibt es hier schon eine Lösung?

Ich hab leider genau den gleichen Effekt. Sowohl mit Yubikey als auch mit TOTP bekomme ich diese Meldung, mit genau dem gleichen Effekt - Passwort eingeben funktioniert genau 1 mal, dann immer die Meldung, dass es falsch ist. Aber es ist auch überhaupt nicht notwendig, das einzugeben, denn mit Abbrechen passiert genau das gleich: nix.

Es ist nur sehr nervig, jedesmal die Meldung wegzuklicken.

Foto
2

Ich hatte das gleiche Problem.

Ich vermute es hängt mit verknüpften Accounts zusammen.

Unter "Einstellungen" -> "Account hinzufügen" kann man diverse andere Accounts hinzufügen.

3d31e924721fc9b36f4c369dd1138023

Was es mir bringt, dort die Verknüpfung zu Google herzustellen, konnte ich nicht herausfinden. Ich hatte die Verknüpfung jedenfalls mal hergestellt und von da an hatte ich auch die von euch beschriebene Meldung.

Erst nach dem Entfernen der Verknüpfung zum Google Account war die komische Passworteingabemeldung weg.

Insgesamt erscheint mir vieles bei mailbox.org noch ziemlich verbuggt. Auch z. B. dass im "dunklen Design" die Schriftfarbe "Account hinzufügen" exakt die gleich ist, wie die Farbe des Buttons (man kann die Schrift also nur erkennen, wenn man mit der Maus darüber fährt)...

c0a9e5e657c345332eafe26c349702ae

Foto
1

Danke. Das war der Fehler.

Ich hatte dort Twitter aktiviert, um das Widget nutzen zu können. Kein Muss - aber wenn es schon solche Gimmiks wie die Widgets gibt, wäre es auch gut, wenn man diese auch nutzen kann. Mit den Fehler und Bugs macht das leider keinen Spaß. Hier muss anscheinend wirklich noch einiges an der Oberfläche verbessert werden.

Foto
4

Das ganze ist eher anders herum.

OX verschlüsselt Zugangsdaten für Twitter, POP3 und andere Widgets und externe Accounts mit dem Passwort des Nutzers.

Soweit, so löblich, denn so kommt der Provider nicht an diese Daten ran. Das ist ja auch ein Prinzip, das mailbox.org an vielen Stellen lebt und vorantreibt.

Nun ist es aber so, daß es bei OTP mit jedem Login neue Passwörter gibt. Das OTP hat hier mailbox.org mit viel Aufwand 'erfunden' und implementiert; unsere OX-Oberfläche hat keine Ahnung was OTP ist und kriegt davon auch nichts mit. Aber -- und das ist eben das Problem -- nach dem OTP-Login ist aus Sicht von OX das Passwort eben so neu/geändert, daß die alten Zugangsdaten nicht mehr gelsen/entschlüsselt werden können.

OX an sich und die Widgets funktionieren wunderbar. Es liegt am "Voodoo-Magic" von mailbox.org, daß die Daten dann eben nicht mehr lesbar sind. OTP und diese externen Widgets schließen sich aus.

Deswegen macht es aber auch keinen Sinn diese generell nicht anzubieten. Ein Großteil unserer Nutzer interessiert sich nicht für abgefahrene Dinge wie OTP & Co und für den Großteil unserer Nutzer funktioniert das alles sauber und einwandfrei.

Wir haben auf unserer Agenda hier eine Änderung anzustreben, damit diese Zugangsdaten im Einzelfall bei OTP-Usern nicht mehr verschlüsselt gespeichert werden; das würde das Problem dann nachhaltig lösen.

Bis dahin gilt: Wen das stört, der kann halt sowas innovatives wie OTP nicht nutzen.

Foto
2

Danke für die logische Erklärung.

Aber wie bei anderen Dingen auch: Warum weist ihr bei der Aktivierung nicht darauf hin, dass es sich ausschließt?

Das würde viele Nerven weniger strapazieren. Ein kleingedruckter Hilfetext würde doch genügen...

Foto
2

Es sind einfach zu viele Kleinigkeiten, man kommt nicht hinterher. "Alles" dauert nur 30 Minuten.

Aber, ja: Ich habe das vorhin schon auf die Liste gesetzt, daß das besser rausgestellt werden muß.

Foto
2

@Chako: Wenn Sie Zwei-Faktor-Auth einrichten wollen, dann werden Sie deutlich darauf hingewiesen, bitte zuerst den zugehörigen FAQ-Artikel zu lesen. Dort werden diese und weitere Fragen erklärt.

Somit weisen wir beider Aktivierung schon darauf hin, dass man sich informieren sollte. Leider scheint die Hälfte der Nutzen diesen Hinweis zu ignorieren. Wir haben im Support immer wieder Fragen wie hier dieskutiert und weitere Fragen, die dort in dem Artikel beantwortet werden.

Foto
2

Ok. Danke für die Erklärung.

Sie haben natürlich recht, dass dies dort drin mit vermerkt ist, und natürlich hab ich mir dies zuvor alles durchgelesen. Und ich weiß, wie nervig das sein kann, wenn man ständig Nachfragen zu Dingen bekommt, die eigentlich schon erklärt wurden. Nur sind das so viele Informationen, mit denen man sich bei dem Thema beschäftigen muss, dass dies erstmal als kleine "Randnotiz" erscheint, die man schnell wieder vergisst. - Und wie Chako schon angemerkt hat, ist die Formulierung dort nicht richtig. Ein Einbinden ist nämlich trotzdem möglich, und wird nicht durch die Software unterbunden. Das müsste vielleicht eher lauten "Bei aktiviertem OTP kann es zu Fehlermeldungen durch eingebundene Accounts kommen.".

Könnte man dort nicht eine kleine Abfrage einbauen? Zb. wenn man OTP aktiviert, und es ist ein externer Account eingebunden, kommt eine Popup Meldung mit einem Hinweis. Oder wenn OTP bereits aktiv, und man beginnt einen externen Account hinzuzufügen, dass dort ebenfalls ein Warnhinweis kommt, oder das Einbinden gleich komplett deaktiviert wird, bzw die Widgets für externe Accounts nicht mehr mit aufgeführt werden.

(OTP ist mir natürlich wichtiger, als irgendwelche Twitter News etc... - das sehe ich halt mehr als Gimmik, auf was man durchaus verzichten kann.)

Foto
2

Die Farbe des Buttons sind gefixt. Das nur der Vollständigkeit halber.

Foto
Foto
2

"Sie können im Weboffice von mailbox.org keine externen Accounts wie Google Drive, XING oder andere E-Mail Konten einbinden. Die Passwörter für diese Accounts werden normalerweise mit Ihrem Login Passwort verschlüsselt und beim Login entschlüsselt. Das ist nicht möglich, wenn ständig wechselnde Einmal-Passwörter für den Login verwendet werden."


Ganz ehrlich: Doch, man kann sie einbinden.
Und wenn ich OTP aktiviert habe und einige Wochen später auf die Option stoße, Google Drive, etc. einzubinden, bringe ich das nicht mehr mit OTP in Verbindung. Die Fehlermeldung, die dann jeweils beim Login erscheint, hilft einem dann auch so gar nicht weiter..

Foto
1

Guten Abend,

ich habe überhaupt keine Accounts dort eingebunden (außer den eigenen MBO Email Account) und bekomme trotzdem die o. g. Meldung? Gibt es dafür eine Idee / Lösungsvorschlag?

Foto
1

Ich war davon ausgegangen, dass die externen Accounts beim Einrichten von OTP gelöscht werden. Nun komme ich nicht mehr in das Webinterface. "Passwort falsch" (was natürlich nicht stimmt). Was kann ich tun?

Foto
1

Sorry, ich verstehe die Anfrage nicht. Das ergibt keinen Sinn.

a) Warum sollte man externe Accounts löschen?

b) Was haben externe Accounts damit zu tun, ob Du in das Webinterface kommst?

c) Wenn das Passwort falsch ist, dann wird das wohl stimmen.

In Deinem Fall also wohl: Kann es sein, daß Du Dich nicht richtig mit OTP einloggst und darum halt "ganz normal" nicht in das webinterface reinkommst?

Foto
Foto
1

Browsercache schon mal geleert?

Ansonsten: Das einfachste wäre, in der Anmeldung auf den Link "Passwort vergessen" zu klicken. Voraussetzung dazu ist, dass du im Backend eine Kontakt-Mailadresse hinterlegt hast.