Aktuell können nur die Teilnehmer des Beta-Programms beim Berliner E-Mail-Anbieter mailbox.org die einfache 2FA-Nutzung in Anspruch nehmen. Warum ist das Ganze so schrecklich kompliziert?
Jemand schrieb in unserer öffentlichen Gruppe bei Telegram:
Witzig, dass du gerade jetzt, eins-zwei Tage nachdem ich mit meinem privaten Mails zu Mailbox.org umgezogen bin, einen Artikel zu deren 2FA bringst, Lars.
Ich habe das 2FA dort auch eingeschaltet, und finde die Umsetzung auch… abenteuerlich.
Ich nutze „Ente Auth“ als 2FA App und dafür die Option einen TOTP Token von Mailbox zu erzeugen. Das funktioniert auch ganz wunderbar. Das einzige, was hier etwas anders ist, als bei anderen Anbieter ist, ist dass man sich einen 4 stelligen PIN ausdenken muss und der dazugehörige TOTP Token dann der Rest des Einmal-Passworts ist. Das war mir bisher auch neu.
Heißt : Man hat einen PIN (z.B 1234) und gibt danach den generierten 2FA Code seiner installierten App ein, als Passwort.
Interessante Lösung die ich bisher so auch noch nicht kannte.
Abgesehen von dieser abenteuerlichen 2FA finde ich den Anbieter Mailbox.org allerdings sehr empfehlenswert. Und 1€ pro Monat für ein rundum sicheres Postfach ist absolut gerechtfertigt.
Das ist ja genau das Ding, der „Rest“ von mailbox.org hat mich bisher auch echt vollends überzeugt!
Was mich immer wieder wundert das sich keiner an 2FA mit TOTP stört und man mal drüber nachdenkt ob das überhaupt muss. Es ist einfach nervig. Zudem kann man dem verlustig gehen, was mir schon passiert ist. Da war guter Rat teuer, wenns dann kein Reset System gibt, wie meistens nicht.
Nur mal zum Vergleich. Bei einer Sache wo es wirklich um Geld geht , die EC Karte, reicht ein 4stelliger Pin. Wieso weil nach 3 Versuchen die Karte gesperrt wird.
Wusste ich nicht. Ausprobieren tu ichs aber nicht.
Darum gings mir aber auch nicht, sondern das TOTP für den Normal Gebrauch zu aufwendig ist und nicht sein muss.
vielen Dank für Ihre Rückmeldung. Leider können wir noch keinen offiziellen Termin oder einen Zeitraum nennen, in dem wir den Login 2.0 releasen. Daher können wir auch keine zitierfähige Aussage dazu machen, wann das Feature für alle unsere Kunden ausgerollt wird. Es tut mir leid, dass ich Ihnen keine näheren Informationen dazu geben kann.
Falls Sie weitere Fragen zu unserem Service haben, schreiben Sie mir gerne.
Es wäre auch gut, wenn die mal Ihre DNSSEC Signatur weg von SHA1 migrieren würden.
RSASHA1-NSEC3-SHA1 is depreciated
Siehe: https://dnssec-debugger.verisignlabs.com/mailbox.org
und z.B.: https://datatracker.ietf.org/doc/draft-ietf-dnsop-must-not-sha1/