Aktuell können nur die Teilnehmer des Beta-Programms beim Berliner E-Mail-Anbieter mailbox.org die einfache 2FA-Nutzung in Anspruch nehmen. Warum ist das Ganze so schrecklich kompliziert?
Jemand schrieb in unserer öffentlichen Gruppe bei Telegram:
Witzig, dass du gerade jetzt, eins-zwei Tage nachdem ich mit meinem privaten Mails zu Mailbox.org umgezogen bin, einen Artikel zu deren 2FA bringst, Lars.
Ich habe das 2FA dort auch eingeschaltet, und finde die Umsetzung auch… abenteuerlich.
Ich nutze „Ente Auth“ als 2FA App und dafür die Option einen TOTP Token von Mailbox zu erzeugen. Das funktioniert auch ganz wunderbar. Das einzige, was hier etwas anders ist, als bei anderen Anbieter ist, ist dass man sich einen 4 stelligen PIN ausdenken muss und der dazugehörige TOTP Token dann der Rest des Einmal-Passworts ist. Das war mir bisher auch neu.
Heißt : Man hat einen PIN (z.B 1234) und gibt danach den generierten 2FA Code seiner installierten App ein, als Passwort.
Interessante Lösung die ich bisher so auch noch nicht kannte.
Abgesehen von dieser abenteuerlichen 2FA finde ich den Anbieter Mailbox.org allerdings sehr empfehlenswert. Und 1€ pro Monat für ein rundum sicheres Postfach ist absolut gerechtfertigt.
Das ist ja genau das Ding, der „Rest“ von mailbox.org hat mich bisher auch echt vollends überzeugt!
Was mich immer wieder wundert das sich keiner an 2FA mit TOTP stört und man mal drüber nachdenkt ob das überhaupt muss. Es ist einfach nervig. Zudem kann man dem verlustig gehen, was mir schon passiert ist. Da war guter Rat teuer, wenns dann kein Reset System gibt, wie meistens nicht.
Nur mal zum Vergleich. Bei einer Sache wo es wirklich um Geld geht 
, die EC Karte, reicht ein 4stelliger Pin. Wieso weil nach 3 Versuchen die Karte gesperrt wird.
Schon, du kannst aber auch nach dem 2. falschen Versuch abbrechen und es dann nochmals 2x probieren und nochmals etc. etc.
Wusste ich nicht. Ausprobieren tu ichs aber nicht. 
Darum gings mir aber auch nicht, sondern das TOTP für den Normal Gebrauch zu aufwendig ist und nicht sein muss.
Ja, das ist korrekt.
Als Antwort erhielt ich dann am Freitag:
Hallo Herr Sobiraj,
vielen Dank für Ihre Rückmeldung. Leider können wir noch keinen offiziellen Termin oder einen Zeitraum nennen, in dem wir den Login 2.0 releasen. Daher können wir auch keine zitierfähige Aussage dazu machen, wann das Feature für alle unsere Kunden ausgerollt wird. Es tut mir leid, dass ich Ihnen keine näheren Informationen dazu geben kann.
Falls Sie weitere Fragen zu unserem Service haben, schreiben Sie mir gerne.
–
Mit freundlichen Grüßen - with kind regards
Felix K.
Teamlead
mailbox.org Support
Es wäre auch gut, wenn die mal Ihre DNSSEC Signatur weg von SHA1 migrieren würden.
RSASHA1-NSEC3-SHA1 is depreciated
Siehe: https://dnssec-debugger.verisignlabs.com/mailbox.org
und z.B.: https://datatracker.ietf.org/doc/draft-ietf-dnsop-must-not-sha1/
Jap…ist mir auch die Nacht aufgefallen!
SHA-256
SHA-384
RSASHA256
RSASHA512
ECDSAP256
SHA256
ECDSAP384
SHA384
ED25519
ED448
Arbeitsgruppe:
Arbeitsgruppe Netzwerkarbeit
Internet-Entwurf:
Entwurf dnsop-must-not-sha1-03
Updates:
4034, 5155 (falls genehmigt)
Veröffentlicht:
18. Februar 2025
Int. Status:
Standards Track
Abläuft:
22 August 2025
Autoren:
W. Hardaker
USC/ISI
W. Kumari
Google