Willkommen im User-Forum von mailbox.org
 

Zwei-Faktor-Authentifizierung

7450199 hat dies geteilt, 20 Monaten her
unbeantwortet

Wann führt ihr Zwei-Faktor-Authentifizierung für alle Zugangswege ein? Nur übers Webportal und nicht über IMAP bietet doch keine echte Sicherheit. Bislang ist das für mich der Grund nicht richtig umzusteigen...

LG Lutz

Kommentare (15)

Foto
1

Finde ich auch befremdlich: SMS sei nicht sicher (Ginge ja auch mit App und Kennwort), dann aber IMAP und POP3 sperrangelweit auflassen. Für mich auch ein Grund, das nicht zu nutzen. Sinnfrei!

Foto
1

Tja, sinnfrei -- oder eben absolut sinngebend.


IMAP und POP3 per OTP ist halt alles andere als praxistauglich. Ein Mobiltelefon loggt sich unzählige male am Tag ein und aus -- und Nutzer von heute erwarten nunmal "always on" und "Push". Das Verträgt sich nicht mit OTP. Kein Nutzer will 20 mal am Tag das OTP-Token eingeben.


Gleiches für den Mailversand: Man müßte *JEDE* einzelne abgeschickte E-Mail per OTP-Token freischalten, da *jede* abgeschickte E-Mail einen SMTP-Login erfordert.


Sorry, das ist nicht benutzbar.

Foto
3

nicht ganz richtig..


bei Google, Fastmail, Outlook geht es ja auch.

Über den Webclient geht es ja bei Mailbox.org auch, das ich per SMTP sende und 2FA habe.


Ergo es geht schon , nur halt hier nicht.

Foto
1

Wenn ich das bisher richtig verstanden habe dann nützen auch die genannten Anbieter im Endeffekt ein Passwort für den Zugriff für Apps bei gleichzeitig aktivierter 2FA. Es wird nur anders generiert, also entweder im Webmailer als Ausnahmepasswort oder im Hintergrund durch einmalige Eingabe des Webmailpassworts + OTP wenn die App das OAuth2 Verfahren unterstützt.

Was halt etwas verwirrend ist ist dass das System hier etwas anders benannt ist. Bei Google & Co bleibt das Passwort das Webmailpasswort das dann mit OTP zusätzlich abgesichert wird und Apps bekommen "Ausnahmepasswörter", während hier das ehemalige Webmailpasswort zum "Ausnahmepasswort" umgewandelt wird, da der Webmaillogin nun durch ein neue Passwort (Pin) + OTP realisiert wird.

Zum Webmailer: Wenn ich mich im Webmailer angemeldet habe (über 2FA) kann ich natürlich Emails senden, ich bin angemeldet. Apps wiederum sind nicht konstant mit mailbox.org verbunden sondern bauen diese Verbindung bei Bedarf immer wieder neu auf. Deswegen müsste man sich bei jeder Aktion wieder neu anmelden und ein OTP angeben, was in der Tat unpraktisch wäre.

Foto
1

und welche Methode ist jetzt die sichere . kann es vielleicht sogar sein , das die von MBO sogar die bessere ist ?

Foto
1

Ich weiß nicht ob man die Frage so einfach beantworten kann bzw. zumindest ich kann das nicht, da mir dafür das tiefergehende fachliche Wissen fehlt. Nur mal zwei Gedanken die hier im Forum schon mal angesprochen wurden:


Google könnte theoretisch etwas sicherer sein da Google alle Geräte trackt und damit Sachen wie "nur App 1 auf Gerät A kann sich mit Passwort X anmelden" machen könnte, während mailbox.org jedes Gerät mit Passwort X akzeptieren würde. Also ein klassischer Datenschutz-Sicherheit-Tradeoff. Ob das ein Problem ist wenn das mailbox.org Passwort aber sowieso nie in Umlauf kommt ist die andere Frage. Wie das bei Fastmail und Outlook gehandhabt wird weiß ich nicht.


Fastmail kann m.W.n noch verschiedene Passwörter für verschiedene Dienste (IMAP, SMTP, CalDav, CardDav, ...). Das kann interessant sein wenn man z.B. aus welchem Grund auch immer einer weniger vertrauenswürdigen App seine Kontakte aber nicht den Zugriff auf alles anvertrauen möchte. Wenn man aber z.B. auf dem iPhone nur die Standardapps nutzt dann ist man sowieso von Apple abhängig und es macht kein Unterschied ob der Kalender ein anderes Passwort als die Email App hat.

Foto
1

2FA für IMAP funktioniert doch nur, wen die Verbindung anschließend durchgehend offen gehalten oder eine mehrstündige Ausnahme für das Gerät X aktiviert wird. Wenn es bei z.B. Google Mail möglich ist mit 2FA über eine Mailapp am Smartphone Mails abzurufen, wird bei Google garantiert eine Außnahmeregel für dein Smartphone aktiv, dass es für eine Zeit X kein 2FA mehr benötigt für den Login.


So kenne ich das bei Lastpass (Passwortmanager). Ich kann einstellen wie lange Firefox geschlossen/im Leerlauf sein muss, damit ein neuer Login nötig ist. Und ich könnte einstellen, dass mein PC für 30 Tage kein 2FA mehr braucht, nachdem ich mich einmal eingeloggt habe.


Ich erwarte von einem Mailprogramm, dass es neue Mails sofort anzeigt. Willst du auf Verdacht alle 5 Minuten am PC oder Smartphone ein Token eingeben? Außerdem ist man am Smartphone ja noch durch den Sperrbildschirm abgesichert.

Foto
2

Da muss ich Herrn Heinlein absolut recht geben,

wenn man bei jedem IMAP/SMTP Login den OTP-Token eingeben muss ist das sinnfrei, da niemand es benutzen würde. Klar für Nutzer die "always on" und Mails per "Push“haben wollen gibt es keine sinnvolle 2FA Lösung.

Für Nutzer die an hoher Sicherheit interessiert sind, kann ich mir aber Lösungen vorstellen wo man auch für IMAP/SMTP Logins Zwei-Faktor-Authentifizierung benutzen könnte, ohne das man ständig den 2 Faktor eingeben muss und trotzdem die Sicherheit erheblich gesteigert würde.

Dazu hatte ich im Rahmen meiner Anfrage für die U2F Unterstützung https://userforum.mailbox.org/topic/unterst%C3%BCtzung-von-u2f-universal-second-factor-ger%C3%A4ten

auch ein Vorschlag unterbreitet wie ich mir Zwei-Faktor-Authentifizierung für IMAP und SMTP vorstellen könnte (Punkt 3 und 4).

Leider hat es meine Anfrage nicht geschafft in den Status „in Prüfung“ zu kommen und das obwohl ich extra 250 Kilometer nach Chemnitz gefahren bin um dort auf den Chemnitzer Linux-Tage persönlich bei Herrn Heinlein für den Vorschlag geworben habe.

Deshalb hier nochmal meine Bitte um Prüfung meines Vorschlages von vor 9 Monaten.

Danke.

Foto
Foto
1

Ein ganz deutlicher Sicherheitsgewinn besteht, wenn ich imap und pop3 deaktiviere, was hier bei mailbox.org meines Wissens auch geht.

Ansonsten fällt mir gerade kein Provider ein, und auch kein normaler Client, der 2fa auch über imap und pop3 anbietet. Aber mir fallen im Gegensatz zu Mailbox.org schlecht implementierte 2fa's ein, die bei imap/pop3 ohne 2fa und beim Portal mit 2fa das gleiche Passwort abfragen. Das ist tatsächlich Unsinn bzw. das ist höchst gefährlich, weil dem Nutzer falsche Sicherheit vorgegaukelt wird!

2fa bei Mailbox.org ist besser gelöst, da hier die Passwörter für 2fa am Portal und imap/pop3 gerade nicht identisch sind. 2fa wie es Mailbox.org anbietet biete daher den genialen Vorteil, dass ich mich auch im Internetcafe oder anderen mehr oder weniger dubiosen Fremd-Rechnern am Portal anmelden kann, ohne dass mein Passwort mit z.B. einem Keylogger abgegriffen werden kann, und ohne dass mit diesem Passwort dann per imap mit meinem Postfach Unsinn gemacht wird.

Für jemanden wie mich, der keine fremden Rechner verwendet, macht 2fa allerdings tatsächlich keinen Sinn, daher verwende ich es auch nicht :-)

Foto
1

  1. die bei imap/pop3 ohne 2fa und beim Portal mit 2fa das gleiche Passwort abfragen. (...) 2fa bei Mailbox.org ist besser gelöst, da hier die Passwörter für 2fa am Portal und imap/pop3 gerade nicht identisch sind.


Das ist mir neu. Arbeite mich da mal ein bisschen ein. Sorry... Dann geht's ja echt ganz gut so. Wenn das so ist!? :)

Foto
1

2FA schützt nicht nur gegen Keylogger auf fremden Rechnern sondern auch gegen Phishing Angriffe. Deshalb ist es manchmal sinnvoll, 2FA auch dann zu nutzen, wenn man nur den eigenen Rechner nutzt. Ich habe inzwischen 2FA auf fast allen Accounts im Web aktiviert, wo es möglich ist. Man kann sich dran gewöhnen. ;-)


(Ok - private E-Mail Accounts sind selten Ziel von Phishing Angriffen weil es kaum Geld zu holen gibt, aber hey, irgendwann passiert es viellicht einmal.)

Foto
1

Bei der Aussage mit dem Phishing wäre ich vorsichtig. Die gilt nur, wenn die Accountdaten gespeichert werden um diese dann später zu verwenden, wenn es sich um einen man-in-the-middle Angriff handelt, dann bringt dir 2FA (zumindest die von mailbox.org unterstützen Methoden) nichts.

Foto
Foto
3

Sorry to but in in English but I have to concur.

It is not about OTP on IMAP/SMTP but about being able to generate separate application passwords.

Password for Home IMAP access. Password for Mobile IMAP access. To follow IMO great FastMail model, read-only IMAP password. CalDAV access only. etc.

Really wish Mailbox.org stepped up its security. Nowadays it is one compromised device that can yield total access to account.

Features like:


  • fine grained application passwords,
  • tamper proof email copy

Could easily warrant higher prices and maybe even business tier pricing.

Foto
1

You're right.


As far as I understood it is not that easy to adapt that kind of technology (app passwords for example for: IMAP/SMTP/DAV,...) to their infrastructure/database structure.


I admit this would be a decent feature as it brings high security for accounts.


For "tamper proof email copy" I'm not shure. I believe this already exists... But correct me if I'm wrong.

Foto
1

> For "tamper proof email copy" I'm not shure. I believe this already exists... But correct me if I'm wrong.


If I am correct Mailbox.org only holds backup for up to 7 days. So the tamper proof solution would require:

- ability to recovery backup of email after 7 days; today if someone hijacks your account, deletes your email and you don't notice (holidays for instance) and you try to recover account on the 8th day, you will out of luck;

- and offline encrypted backup; I am happy to wait few hours for backup recovery if it brings additional ability to have backups in encrypted cold store; for practical reasons cold store does not have to be always fresh, but say not older than X days

Foto