Willkommen im User-Forum von mailbox.org
 

Zwei-Faktor-Authentifizierung

4378781 hat dies geteilt, 9 Monaten her
vorgeschlagen

Hallo,


ich bin ein großer Freund der Zwei-Faktor-Authentifizierung, vor allem um mich an "fremden" Computern bei mailbox anzumelden, z.B. bei der Arbeit.

Allerdings finde ich es hinderlich, dass hierzu ausschließlich ein Smartphone oder Yubikey verwendet werden kann. Wie kann ich mich anmelden, wenn mein Smartphone defekt oder verloren ist?


Ich fände Alternativen gut, z.B. über SMS (also noch mit einem normalen Handy; ich weiß, dass gilt als nicht sicher, aber sicherlich sicherer als ein Standardlogin) oder über eine generierte, ausgedruckte Liste mit z.B. 10 Codes (so hatte ich es früher bei fastmail.fm gemacht; beiden Alternativen werden von GMail angeboten).


Grüße Jens

Kommentare (13)

Foto
1

SMS kosten halt Geld und werden dementsprechend wohl sicher nicht (kostenlos) angeboten werden. Dazu kommt die von dir völlig zu Recht angesprochenen Unsicherheiten. Wobei man dann auch die Frage stellen kann, warum SMS zum Zurücksetzen des Passworts benutzt werden können, der damit angerichtete Schaden ist ja nochmal höher und es wird nichtmal der 4-stellige PIN gebraucht.


Aber irgendeine Papiervariante als OTP wäre sicherlich sinnvoll. Bei Lastpass kann man sich ein Grid mit zufälligen Buchstaben und Zahlen ausdrucken und bei jedem Login werden dann die Zeichen in einigen zufällige Koordinaten abgefragt. Sowas wäre sicherlich nicht allzu schwer zu implementieren, da muss das Rad bestimmt auch nicht neu erfunden werden und es gibt schon funktionierende OpenSource Lösungen (behaupte ich jetzt einfach mal).


Ich glaube der Login soll aber (irgendwann mal) sowieso komplett neu gestaltet werden, vielleicht kann dieser Punkt ja dann mit auf die Liste gesetzt werden.

Foto
1

Ich verstehe sowieso nicht, weshalb der Login über OTP oder auch "Soft OTP" sicherer sein soll als ein "dickes" Passwort...


Hier meine Betrachtungsweise:


In der "Soft OTP-Variante" unterhalten wir uns über gesamt 10 Zeichen (4 PIN + 6 OTP Token) im Verhältnis sind doch 10 Zeichen einfacher zu knacken als Passwort mit z.B. 30 oder mehr stellen.

Die Zeichenanzahl die der Yubikey generiert ist für mich nicht eindeutig einsehbar.


Also ist es doch eigentlich so: Anmeldung auf fremden Rechnern -) lieber OTP; Anmeldung auf eignen Rechnen lieber sicheres Passwort mit min. 20 oder mehr Stellen.


Meine These sehe ich als Frage. Also wenn meine Einschätzung nicht ganz richtig ist, wäre ich über eine Korrektur sehr dankbar. Die Frage stelle ich mir nämlich schon länger.


Grüße

Foto
1

Alle Mögiichkeiten durchzuprobieren wird eh nicht gehen, da wird mailbox.org Beschränkungen für haben.


Es geht darum vor Keyloggern oder neugierigen Kollegen die einem über die Schulter schauen geschützt zu sein. Wer nur die PIN kennt kann damit alleien nichts anfangen.

Foto
1

Da bin ich ja dabei. Aber, gibt es offizielle Infos über die Beschränkungen?

Foto
1

Der Vergleich mit "10 Zeichen weniger als 30 Zeichen" ist nicht ganz zutreffend, da sich der OTP-Code ja alle paar Sekunden ändert. Das Passwort ist hingegen immer gleich.


Mir wäre es aber deutlich lieber, wenn ich nicht nur eine vierstellige PIN nutzen könnte, sondern mein komplexes Login-Passwort plus OTP-Token.

Foto
Foto
1

Ich schreibe jetzt mal als Technik-Laie, also klärt mich bitte auf, falls ich irgendwas forder, das technisch gar nicht umzusetzen ist:

Gehen wir mal davon aus, dass der mailbox.org-Login nicht geknackt werden kann, sofern das Passwort nicht bekannt ist. Zumindest dürfte der 0815-Wannabe-Hacker nicht in der Lage sein, dies zu schaffen (und falls doch, erübrigt sich eh alles weitere).

Eine gelungene 2-Faktor-Authentifizierung sieht für mich so aus:

1) JEDER Login bedarf einer 2FA (inklusive SMS). Wenn jemand, wie auch immer, heimlich an mein Passwort kommt, dann habe ich nichts davon, wenn derjenige sich nicht gescheit über das Weblogin einloggen kann, aber mittels ActiveSync, CalDav, CardDav, POP3 oder IMAP trotzdem an alle fast Daten und E-Mails rankommt.

2) Da man bei ActiveSync, IMAP oder den anderen automatisierten Verfahren nicht ständig ein neues Passwort eingeben kann, müssen über das Weblogin Einmalpasswörter vergeben werden. Jedes Einmalpasswort wird an ein Gerät gekoppelt und funktioniert nur mit diesem Gerät. Zumindest bei ActiveSync geht das meines Wissens (jedenfalls sehe ich eine entsprechende Liste bei Office 365). Diese Einmalpasswörter werden automatisch generiert und sind meinetwegen 30 Zeichen lang.

3) Im Weblogin kann man alle "verbundenen" Geräte einsehen und einzeln deaktivieren (zum Beispiel falls ein Gerät verloren gegangen ist oder man davon ausgehen muss, dass jemand darauf physischen Zugriff hat).

Mir gefällt mailbox.org sehr, aber die fehlende 2FA-Unterstützung stört mich. Yubikey & Co sind keine Alternative für mich. Insbesondere dann nicht, wenn der Login über die anderen Protokolle auch ohne funktioniert.

Foto
1

Ich stimme dir im vollem Umfang zu. Aber:


  1. Mir gefällt mailbox.org sehr, aber die fehlende 2FA-Unterstützung stört mich. Yubikey & Co sind keine Alternative für mich. Insbesondere dann nicht, wenn der Login über die anderen Protokolle auch ohne funktioniert.


Gerade der zweite Halbsatz stimmt ja so eben bei der aktuellen Implementierung bei mailbox.org nicht. Die 2FA funktioniert ja nur mit einem selbst gewählten PIN der ohne OTP völlig wertlos ist und auch kein Loging via IMAP, etc.. erlaubt.

Foto
1

"Mir gefällt mailbox.org sehr, aber die fehlende 2FA-Unterstützung stört mich. Yubikey & Co sind keine Alternative für mich. Insbesondere dann nicht, wenn der Login über die anderen Protokolle auch ohne funktioniert."


Das stimmt schlicht und ergreifend BEIDES nicht, denn 1. bietet Mailbox.org ausgerechnet eine sehr sichere 2FA-Implementierung, und 2. kannst du genau das fett markierte abschalten, so dass der Yubikey nur alleine und nur im Webmailer funktioniert. Es liegt an dir alleine, wie du das machen willst.


Mailbox.org KANN 2FA UND KANN das sehr sicher.

Foto
1

“2-Faktor-Authentifizierung ist nur für den Login im Webinterface aktivierbar. Alle anderen Dienste (IMAP, POP3 und SMTP mit einem einem E-Mail Client oder WebDAV, CalDAV und CardDAV mit unterschiedlichen Clients) unterstützen bei uns keine 2-Faktor-Authentifizierung.”


So steht es aber in der Hilfe. Ich will den Zugriff per IMAP etc ja nicht komplett abschalten. Ein reines Webmail ist mir zu mühsam, Datenschutz hin oder her.

Foto
1

Richtig, Aber die Aussage, dass der LogIn über die anderen Protokolle auch ohne funktioniert, stimmt nur für die Einstellung, bei der man das anlässt. Es geht eben auch anders.

Foto
1

Es kann aber nicht Sinn der Sache sein, die wohl am meisten verwendeten Protokolle abzuschalten, nur damit der Account sicher ist.

Foto
1

Ich stelle mir die 2-Faktor-Authentifizierung für IMAP aber durchaus lustig vor, wenn Du alle, sagen wir mal 15min, das Passwort eingeben musst. Ich wüsste noch nicht mal, dass es die "Großen" unterstützen. Bei meiner AppleID ist auch eine 2-Faktor-Authentifizierung aktiviert und bei einem Abruf von IMAP kann ich es auch nicht aktivieren, weil es schlicht einfach nicht möglich ist und keine Sinn macht.


Hier wäre ein Schritt in Richtung separater Applikationspasswörter zu überlegen, bei welchem ich für jeden Abruf ein eigenes Kennwort habe, d.h. für Cloud und Mail extra.

Foto
2

@3683665 (Bitte mal einen Namen vergeben):


Bei der Umsetzung der 2FA stimme ich Dir vollkommen zu. Einloggen über Passwort und Token, andere Clients jeweils mit einem eigenen Applikationspasswort. Idealerweise sogar Passwörter, die nur Zugriff auf Mails oder Kalender oder Kontakte erlauben. Nur SMS muss nicht sein, zu unsicher.

Foto