Login 2.0: neue 2FA offenbar nutzlos für Einwahl von unsicheren Geräten?
Mal eine Frage: Bisher habe ich 2FA im alten System aktiviert für die Weboberfläche. Bin seit vielen Jahren Kunde hier. Das bedeutet für mich, dass ich mich auf unsicheren Geräten einwählen kann (Hotel-PC, PC eines Bekannten, PC meines Arbeitgebers) ohne mein Hauptpasswort preisgeben zu müssen. Genau das war ja dieser Zahlencode, über den früher hier viele geschimpft haben, den ich aber toll fand. Werden meine Daten vom Hotel oder von meinem Arbeitgeber geloggt, dann haben diese Personen nur einen Zahlencode, der sich regelmäßig ändert, aber nicht mein Hauptpasswort. Das bedeutet alle Zugänge (imap, smtp, caldav, carddav, cloud, forum sowie die Weboberfläche) bleiben sicher. Klar ist das Hauptpasswort auf meinen Handy und Tablet hinterlegt, aber ich halte diese Geräte für sicher, ebenso wie meine eigenen PCs sicher sind. Mit Passwortmanager kann ich auch nicht auf Phishing reinfallen mit Fake-Zugangsseiten.
Wenn ich den neuen Login2.0 verstehe läuft das so: Ich habe ein Hauptpasswort, und kann zwar für die Weboberfläche 2FA aktivieren, muss dabei aber immer noch das Hauptpasswort eingeben. So wie es viele Anbieter mit 2FA machen. Mit diesem Hauptpasswort alleine kann ich auch bei aktivierter 2FA alle Zugänge (imap, smtp, caldav, carddav, cloud, forum) verwenden. Mit App-Passwörtern kann ich also den sehr unwahrscheinlichen Fall absichern, dass NSA, CIA oder FBI mein Handy übernommen haben. Weil nämlich für die Zugangswege imap, smtp, caldav, carddav und cloud kann ich separate App-Passwörter vergeben. Wenn ich diese App-passwörter dann in mein Handy oder mein Tablet eingebe, kann der entsprechende Geheimdienst nur auf die einzelne App zugreifen, nicht aber auf die Weboberfläche. Den regelmäßigen Fall aber, dass ich mich von einem wirklich unsicheren System (Hotel, Arbeitgeber, Bekannte) per Webbrowser einwähle, den kann ich mich mit dem neuen Login2.0 und der damit verbundenen neuen 2FA nicht absichern, weil ich auf diesem unsicheren PC das Hauptpasswort eingebe, und mit diesem Hauptpasswort sind alle Zugangswege (imap, smtp, caldav, carddav, cloud) offen, da die APP-Passwörter offenbar nur einen zusätzlichen Zugang darstellen. Zumindest bei meinem letzten Test über einen separaten Account bei dem ich den Beta-Test aktiviert hatte, war es so. App-Passwörter haben für den entsprechenden Zugang (z.B. imap) nur einen zusätzlichen Zugang geschaffen, das normale Hauptpasswort ging aber auch noch. Ich habe das als Fehler gemeldet, und nie eine Rückmeldung erhalten.
Wäre das wirklich der Fall, dass ich die neue 2FA mit Login 2.0 richtig verstanden habe, dann bin ich wirklich entsetzt. Mein Regelfall (Einwahl von einem unsicheren Gerät) kann dann nicht mehr abgesichert werden, der äußerst unwahrscheinlich Fall aber dass meine mobilen Endgeräte von finanziell extrem potenten Angreifern übernommen werden, kann ab sofort abgesichert werden. Für mich absolut nutzlos! Ich hoffe, ich kann bei der Umstellung auf Login2.0 dann 2FA deaktivieren. Ich bin mal gespannt. Übrigens hätte ich erwartet, dass ich frühzeitig von der Umstellung per Mailankündigung erfahre, und es nicht zufällig im Blog lesen muss. Offenbar könnte ich schon morgen eine Mail erhalten, dass ab sofort mein Account umgestellt ist.
Nachtrag: Bei Zugängen mit nur einer Zugangsart (z.B. Facebook, Domain-registrar, Musikstreaming, etc.) ist diese Art von 2FA ja sinnvoll. Es gibt nur einen Zugang, dieser ist mit 2FA zusätzlich abgesichert. Bei einem Webmailer, bei dem ich aber auch neben dem Web-Zugang auch andere Zugangswege habe welche ich systembedingt nicht mit 2FA absichern kann (imap, smtp, caldav, carddav, webdav), und mit diesen anderen Zugangswegen letztlich alle Daten abfragen und manipulieren kann (und sogar das Passwort zurücksetzen kann), halte ich die neue 2FA für sinnlos.
Ich habe die gleiche Frage 
Ich habe es so verstanden, dass nach der Aktivierung des neuen MFA alle Protokolle ein spezielles App-Passwort benötigen und der Login über das Hauptpasswort außerhalb des Webmailers dann nicht mehr möglich ist. Ist dem nicht so?
Ich habe es so verstanden, dass nach der Aktivierung des neuen MFA alle Protokolle ein spezielles App-Passwort benötigen und der Login über das Hauptpasswort außerhalb des Webmailers dann nicht mehr möglich ist. Ist dem nicht so?
Hallo einuser,
ich glaube, hier sind ein paar Dinge durcheinandergeraten. Ich versuche daher, etwas Klarheit in die Sache zu bringen:
Bisher wurde beim Login ins Web-Interface bei aktivierter Zwei-Faktor-Authentifizierung (2FA) eine Kombination aus PIN und OTP-Token abgefragt. Der Zugriff über andere Protokolle (z. B. IMAP, SMTP) erfolgte hingegen über das reguläre Nutzerpasswort – es gab also zwei verschiedene Zugangsdaten. Später haben wir dies erweitert, sodass App-Passwörter verwendet werden konnten.
Mit der Einführung von Login 2.0 ändert sich dieses Vorgehen:
Das bedeutet: Auf Endgeräten muss das Hauptpasswort nicht mehr gespeichert werden, um auf mailbox.org-Dienste zuzugreifen. Außerdem entfällt die Notwendigkeit, Passwörter zwischen Geräten oder Anwendungen zu teilen.
Beim Login ins Web-Interface wird zwar weiterhin das Hauptpasswort verwendet, jedoch ist dieser Zugang nun durch den zweiten Faktor zusätzlich abgesichert.
Somit bietet der Login 2.0 im Vergleich zur bisherigen 2FA-Lösung ein höheres Maß an Kontrolle und Sicherheit.
Hallo einuser,
ich glaube, hier sind ein paar Dinge durcheinandergeraten. Ich versuche daher, etwas Klarheit in die Sache zu bringen:
Bisher wurde beim Login ins Web-Interface bei aktivierter Zwei-Faktor-Authentifizierung (2FA) eine Kombination aus PIN und OTP-Token abgefragt. Der Zugriff über andere Protokolle (z. B. IMAP, SMTP) erfolgte hingegen über das reguläre Nutzerpasswort – es gab also zwei verschiedene Zugangsdaten. Später haben wir dies erweitert, sodass App-Passwörter verwendet werden konnten.
Mit der Einführung von Login 2.0 ändert sich dieses Vorgehen:
Das bedeutet: Auf Endgeräten muss das Hauptpasswort nicht mehr gespeichert werden, um auf mailbox.org-Dienste zuzugreifen. Außerdem entfällt die Notwendigkeit, Passwörter zwischen Geräten oder Anwendungen zu teilen.
Beim Login ins Web-Interface wird zwar weiterhin das Hauptpasswort verwendet, jedoch ist dieser Zugang nun durch den zweiten Faktor zusätzlich abgesichert.
Somit bietet der Login 2.0 im Vergleich zur bisherigen 2FA-Lösung ein höheres Maß an Kontrolle und Sicherheit.
Liebes mailbox.org-Support Team,
hier wäre eine Klarstellung und auch eine Ergebnismitteilung hilfreich. Offenbar scheint beim neuen Login2.0 mit aktivierter 2FA das Hauptpasswort zumindest bei einzelnen Kunden für WebDAV und CalDAV/CardDAV weiterhin als Zugangsweg zu funktionieren. In den FAQ, bei den Einstellungen im Webmailer sowie hier im Forum wurde aber klargestellt, dass allein bei Aktivierung von 2FA das Hauptpasswort für ALLE Zugangswege außer Webmailer, Forum und Support deaktiviert wird, und zwar unabhängig davon, ob App-Passwörter gesetzt werden, oder nicht. Und das Problem scheint nicht (nur) in der Beta zu bestehen, sondern offenbar auch beim regulären Login2.0, was ja bereits bei Neuanmeldung (Neukunden) aktiv ist. Eine Klarstellung, wie jetzt das Login2.0 genau funktioniert, also ob es wirklich so ist, dass man keine App-Passwörter setzen muss, sondern das Hauptpasswort bei Aktivierung von 2FA automatisch für die so oft genannten Zugangswege (imap, pop3, smtp, caldav, carddav, webdav, OX-Cloud-App) deaktiviert ist. Die Supportfrage von oben "haben Sie bereits ein App-Passwort generiert?" suggeriert nämlich dass man App-Passwörter generieren muss. Die Beschreibung und Hendrik oben (ebenso support) sagen aber was anderes.
Die Info von Zapata ist hier im Forum bereits der zweite Bericht dieses Fehlers. Offenbar ist erst ein Teil der Kunden migriert auf das neue Login2.0, davon verwendet nur ein Teil 2FA, und davon wiederum testet vermutlich nur ein sehr kleiner Bruchteil, ob das Haupt- Passwort weiter funktioniert. Wenn also zwei Fehler im Forum beschrieben sind, macht das kein gutes Gefühl und man könnte vermuten, dass der Fehler bei deutlich mehr Kunden auftritt / auftreten wird. Wenn ich mich als Kunde aber nicht darauf verlassen kann, dass der Login-Prozess wirklich sauber programmiert und getestet ist, muss ich Angst haben, dass der neue Login-Prozess auch anders kompromittiert werden könnte (Brute-Force, Session-Hijacking, Cross-Site-Scripting, etc.). Hier wäre ein Info beruhigend, warum der Fehler nicht im Beta-Test entdeckt wurde .... und ob er aktuell immer auftritt (das wäre eigentlich eine Rundmail an alle Kunden wert dass die neue 2FA nicht wie beschrieben funktioniert und damit unsicher ist) oder ob er nur in ganz seltenen Ausnahmefällen bei ganz spezifischen Einstellungen oder Kunden auftritt.
Nochmal: Wenn bei aktivierter 2FA das Hauptpasswort weiter für Zugänge wie imap, smtp, caldav, carddav oder Cloud verwendet werden kann, dann würde ich sagen ist 2FA völlig nutzlos. Wähnt sich der Kunde aufgrund der ganz klar anders lautenden Beschreibung in Sicherheit, dann wäre es meines Erachtens auch korrekt, die neue 2FA als kompromittiert zu bezeichnen. Sorry für die harten Worte, aber der Login-Prozess sollte kein Anlass zur Sorge geben. Gleichzeitig chapeau für das Forum und die Möglichkeit sowas im Forum zu thematisieren. Solche Probleme gibts vermutlich auch bei anderen Anbietern, dort bekommt das in der Regel nur niemand mit.
Liebes mailbox.org-Support Team,
hier wäre eine Klarstellung und auch eine Ergebnismitteilung hilfreich. Offenbar scheint beim neuen Login2.0 mit aktivierter 2FA das Hauptpasswort zumindest bei einzelnen Kunden für WebDAV und CalDAV/CardDAV weiterhin als Zugangsweg zu funktionieren. In den FAQ, bei den Einstellungen im Webmailer sowie hier im Forum wurde aber klargestellt, dass allein bei Aktivierung von 2FA das Hauptpasswort für ALLE Zugangswege außer Webmailer, Forum und Support deaktiviert wird, und zwar unabhängig davon, ob App-Passwörter gesetzt werden, oder nicht. Und das Problem scheint nicht (nur) in der Beta zu bestehen, sondern offenbar auch beim regulären Login2.0, was ja bereits bei Neuanmeldung (Neukunden) aktiv ist. Eine Klarstellung, wie jetzt das Login2.0 genau funktioniert, also ob es wirklich so ist, dass man keine App-Passwörter setzen muss, sondern das Hauptpasswort bei Aktivierung von 2FA automatisch für die so oft genannten Zugangswege (imap, pop3, smtp, caldav, carddav, webdav, OX-Cloud-App) deaktiviert ist. Die Supportfrage von oben "haben Sie bereits ein App-Passwort generiert?" suggeriert nämlich dass man App-Passwörter generieren muss. Die Beschreibung und Hendrik oben (ebenso support) sagen aber was anderes.
Die Info von Zapata ist hier im Forum bereits der zweite Bericht dieses Fehlers. Offenbar ist erst ein Teil der Kunden migriert auf das neue Login2.0, davon verwendet nur ein Teil 2FA, und davon wiederum testet vermutlich nur ein sehr kleiner Bruchteil, ob das Haupt- Passwort weiter funktioniert. Wenn also zwei Fehler im Forum beschrieben sind, macht das kein gutes Gefühl und man könnte vermuten, dass der Fehler bei deutlich mehr Kunden auftritt / auftreten wird. Wenn ich mich als Kunde aber nicht darauf verlassen kann, dass der Login-Prozess wirklich sauber programmiert und getestet ist, muss ich Angst haben, dass der neue Login-Prozess auch anders kompromittiert werden könnte (Brute-Force, Session-Hijacking, Cross-Site-Scripting, etc.). Hier wäre ein Info beruhigend, warum der Fehler nicht im Beta-Test entdeckt wurde .... und ob er aktuell immer auftritt (das wäre eigentlich eine Rundmail an alle Kunden wert dass die neue 2FA nicht wie beschrieben funktioniert und damit unsicher ist) oder ob er nur in ganz seltenen Ausnahmefällen bei ganz spezifischen Einstellungen oder Kunden auftritt.
Nochmal: Wenn bei aktivierter 2FA das Hauptpasswort weiter für Zugänge wie imap, smtp, caldav, carddav oder Cloud verwendet werden kann, dann würde ich sagen ist 2FA völlig nutzlos. Wähnt sich der Kunde aufgrund der ganz klar anders lautenden Beschreibung in Sicherheit, dann wäre es meines Erachtens auch korrekt, die neue 2FA als kompromittiert zu bezeichnen. Sorry für die harten Worte, aber der Login-Prozess sollte kein Anlass zur Sorge geben. Gleichzeitig chapeau für das Forum und die Möglichkeit sowas im Forum zu thematisieren. Solche Probleme gibts vermutlich auch bei anderen Anbietern, dort bekommt das in der Regel nur niemand mit.
Hallo,
nach Migration auf Login 2.0 habe ich ebenfalls feststellen müssen, dass der IMAP-Abruf (hier: KDE-Kontact) trotz aktivierter 2FA mit dem Hauptpasswort möglich ist, ohne 2. Faktor.
Das kann ich sicher mit dem extra Mail-App-Kennwort umgehen, aber erstmal einen unsicheren Standard zu setzten ist gelinden gesagt großer Mist.
Hallo,
nach Migration auf Login 2.0 habe ich ebenfalls feststellen müssen, dass der IMAP-Abruf (hier: KDE-Kontact) trotz aktivierter 2FA mit dem Hauptpasswort möglich ist, ohne 2. Faktor.
Das kann ich sicher mit dem extra Mail-App-Kennwort umgehen, aber erstmal einen unsicheren Standard zu setzten ist gelinden gesagt großer Mist.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.