Die Zwei-Faktor-Authentifizierung einrichten
mailbox.org bietet Ihnen die Option einer Zwei-Faktor-Authentifizierung ("2FA").
Dabei wird das bisherige (Account-) Passwort durch ein zweiteiliges Passwort ersetzt.
Letzteres besteht aus dem Passwortteil "Wissen" und dem Passwortteil "Besitz". "Wissen" wird über eine durch Sie festgelegte PIN abgebildet. "Besitz" über ein Gerät oder eine Software auf einem Gerät, wodurch ein Einmalkennwort generiert werden kann.
Hierfür gibt es verschiedene Methoden. Diese werden nachfolgend erklärt und voneinander abgegrenzt. Zudem erfahren Sie, wie diese Methoden einzurichten sind.
Auch wenn Sie 2FA von anderen Webseiten her kennen, sind bei uns einige Besonderheiten zu beachten. Lesen Sie bitte speziell den Punkt: Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort.
Schutzszenario unserer 2FA
Unsere Version der 2FA bietet Schutz vor folgendem Szenario:
Sie möchten sich an unsicheren Geräten einloggen. Unsichere Geräte sind solche, von denen Sie nicht wissen, ob sie durch Viren oder Trojaner kompromittiert sind.
Ob ein Gerät sicher ist, obliegt Ihrer Einschätzung. In der Regel würde man solche Geräte als unsicher erachten:
- öffentlich zugängliche Geräte wie die in Internetcafés
- in Hotels
- bei Bekannten
Durch die Verwendung einer neu zu definierenden PIN in Kombination mit dem Einmalkennwort wird Ihr bestehendes Accountpasswort geschützt.
Das Accountpasswort ist jenes, welches Sie beim Registrieren Ihres Accounts angegeben haben.
Übersicht über die möglichen Zwei-Faktor-Authentifizierungsmethoden bei mailbox.org
Diese Funktion wird auch unterstützt, wenn Sie mailbox.org mit Ihrer eigenen Domain nutzen.
Wir bieten Ihnen folgende Varianten der Zwei-Faktor-Authentifizierung ("2FA") für Ihren mailbox.org-Account an (vergleiche mit eingangs erwähntem Punkt "Besitz"):
Mit einem Hardware-Token
Ein Hardware-Token: bietet ein höheres Sicherheitsniveau als die sogenannte "weiche" Zwei-Faktor-Authentifizierung mit z.B. einer Smartphone App.
Diese Hardwaretoken werden unterstützt:
- YubiKey von mailbox.org:
Die sicherste Methode ist, einen YubiKey von mailbox.org zu verwenden. Diese YubiKeys werden gegen einen YubiKey-Server authentifiziert, den wir selbst betreiben. Dadurch werden keine Daten mit der YubiCloud synchronisiert.
Die Auswahl an YubiKeys finden Sie in diesem Artikel. - eigener YubiKey:
Sie können auch einen über andere Händler erworbenen YubiKey vom Hersteller Yubico verwenden. In diesem Fall wird die Authentifizierung mit der weltweiten YubiCloud durchgeführt. - HOTP- bzw. TOTP-kompatible Token wie Nitrokey Pro oder Nitrokey Storage.
Software Token
Mit einem Software-Token (auch "weiche" 2FA oder OTP Generator genannt) :
OATH-, TOTP-, HOTP- oder mOTP- kompatible Token. Diese werden auf einem Smartphone installiert, z.B. Apps wie FreeOTP+, Google Authenticator oder die OATH Token-App (iPhone).
Wir raten Ihnen, sich vorher über die sicherheitsrelevanten Nachteile von Software-Token zu informieren. Achten Sie darauf, dass der Software-Token Generator aus einer vertrauenswürdigen Quelle wie F-Droid stammt und dass er regelmäßig gewartet wird.
SMS-basierte 2FA bieten wir nicht an und werden sie auch zukünftig nicht anbieten, da diese Authentifizierungsmethode als nicht sicher gilt und somit von der Nutzung abgeraten wird.
Wichtig: Falls Sie die 2FA aktiviert haben und dann Ihren YubiKey bzw. Ihr Gerät mit dem Token verlieren, ist ein Rücksetzen Ihres Passwort nur möglich, wenn Sie Passwort-Reset-Methoden für Ihren Account hinterlegt haben.
Für YubiKeys, die Sie nicht bei uns gekauft haben können wir leider keinen Support anbieten.
Einrichten eines Yubikeys von mailbox.org
Im mailbox.org-Office können Sie unter "Einstellungen (Zahnradsymbol oben rechts) | mailbox.org | One Time-Passwörter" (Abbildung 2) die benötigten Einstellungen vornehmen:
a. Legen Sie die vierstellige PIN fest.
Die PIN darf Groß- und Kleinbuchstaben sowie Ziffern enthalten, jedoch keine Sonderzeichen. Geben Sie mehr als vier Zeichen ein, so werden die überschüssigen abgeschnitten und ignoriert.
Merken Sie sich diese PIN, speichern Sie sie in einem Passwordsafe wie z.B. KeepassXC oder hinterlegen Sie sie an einem sicheren Ort.
Stellen Sie sicher, dass beide PIN Felder nun die PIN enthalten.
b. Legen Sie das gewünschte Sicherungslevel fest.
Wir bieten zwei unterschiedliche Sicherungslevel der Zwei-Faktor-Authentifizierung an:
-
Webinterface OTP, alles andere Passwort: Mit dieser Option richten Sie mailbox.org so ein, dass es wie die meisten anderen E-Mail-Provider mit Zwei-Faktor-Authentifizierung funktioniert. Sie können sich im Webinterface mit PIN und Einmalkennwort anmelden und alle anderen Dienste wie IMAP, POP3, SMTP, WebDAV, CalDAV, CardDAV oder ActiveSync weiterhin mit Ihrem (normalen) Passwort nutzen. Sie können somit weiterhin lokale E-Mail-Clients auf Ihrem PC oder Smartphone nutzen, Kalender weiterhin synchronisieren, etc.
-
OTP nur für Webinterface, alle anderen Dienste aus: Hierbei handelt es sich um eine besondere Funktion von mailbox.org. Wenn Sie diese Option wählen, können Sie sich nur im Webclient unter https://mailbox.org mit PIN und Einmalkennwort anmelden. Alle anderen Dienste werden für Ihren Account deaktiviert. Sie können dann keine lokalen E-Mail-Clients nutzen und auch keine Daten synchronisieren.
c. Wählen anschließend die OTP-Methode YubiKey von mailbox.org
d. Stecken Sie nun den Yubikey in einen USB Port an Ihrem Computer ein. Klicken Sie nun auf das leere Feld neben OTP Passwort Test. Drücken Sie nun auf den goldenen Knopf mit dem Y-Symbol auf dem Yubikey. Es wird nun automatisch ein Code generiert und in das Feld eingetragen.
e. Klicken Sie nun auf den grünen Button OTP Passwort Test durchführen.
f. War der Test erfolgreich, können Sie nun auf den Button Speichern klicken.
Beachten Sie die Erfolgsmeldung oberhalb:
Abbildung 1: Erfolgreiche Änderung der OTP Einstellungen
Loggen Sie sich nun aus.
Damit ist die Zwei-Faktor-Authentifizierung aktiviert und Sie können sich künftig mit Ihrer PIN zusammen mit dem One Time-Passwort des Yubikeys anmelden.
Falls der Test nicht erfolgreich war, richten Sie den Token bitte erneut ein.
Einrichten eines Softtokens
Im mailbox.org-Office können Sie unter "Einstellungen (Zahnradsymbol oben rechts) | mailbox.org | One Time-Passwörter" (Abbildung 2) die benötigten Einstellungen vornehmen:
a. Legen Sie die vierstellige PIN fest.
Die PIN darf Groß- und Kleinbuchstaben sowie Ziffern enthalten, jedoch keine Sonderzeichen. Geben Sie mehr als vier Zeichen ein, so werden die überschüssigen abgeschnitten und ignoriert.
Merken Sie sich diese PIN oder speichern Sie sie in einem Passwordsafe wie z.B. KeepassXC oder hinterlegen Sie sie an einem sicheren Ort.
b. Legen Sie das gewünschte Sicherungslevel fest.
Wir bieten zwei unterschiedliche Sicherungslevel der Zwei-Faktor-Authentifizierung an:
- Webinterface OTP, alles andere Passwort: Mit dieser Option richten Sie mailbox.org so ein, dass es wie die meisten anderen E-Mail-Provider mit Zwei-Faktor-Authentifizierung funktioniert. Sie können sich im Webinterface mit PIN und Einmalkennwort anmelden und alle anderen Dienste wie IMAP, POP3, SMTP, WebDAV, CalDAV, CardDAV oder ActiveSync weiterhin mit Ihrem (normalen) Passwort nutzen. Sie können somit weiterhin lokale E-Mail-Clients auf Ihrem PC oder Smartphone nutzen, Kalender weiterhin synchronisieren, etc.
- OTP nur für Webinterface, alle anderen Dienste aus: Hierbei handelt es sich um eine besondere Funktion von mailbox.org. Wenn Sie diese Option wählen, können Sie sich nur im Webclient, im mailbox.org-Office mit PIN und Einmalkennwort anmelden. Alle anderen Dienste werden für Ihren Account deaktiviert. Sie können dann keine lokalen E-Mail-Clients nutzen und auch keine Daten synchronisieren.
c. Wählen anschließend die Methode OTP-Generatoren und andere Yubikeys
Abbildung 2: Vorgehen beim Einrichten eines Softtokens. Erklärungen zu den Ziffern im Bildschirmabzug im Text.
d. Erstellen Sie nun den für Ihr Gerät geeigneten Token. Dazu können Sie die Standardeinstellungen in der Regel nutzen.
Android: FreeOTP, Google Authenticator. Dieser kann auch von iPhone Nutzern mit der iOS OTP App genutzt werden.
An dieser Stelle muss die entsprechende Software auf Ihrem Gerät installiert sein. Öffnen Sie diese und erteilen Sie - falls nötig - die Berechtigung zum Zugriff auf die Kamera.
Klicken Sie nun auf den entsprechenden Menüpunkt zum Scannen des QR-Codes.
Bei FreeOTP+ erfolgt dies oben rechts über die drei Punkte.
Wenn Sie auf Ihrem Gerät die Scanfunktion aktiviert haben, klicken Sie im mailbox.org-Office auf den Button erstellen sie ihren Token.
Scannen Sie den nun angezeigten QR-Code mit ihrem Gerät über den Tokengenerator.
Abbildung 3: In der Weboberfläche von mailbox.org generierter QR-Code zum Scan mit dem Smartphone über die OTP App.
Hat alles funktioniert, so wird der Token nun auf Ihrem Gerät (hier Android 9 mit FreeOTP+) im Tokengenerator angezeigt:
Abbildung 4: Der Token wurde erfolgreich über die FreeOTP+ App eingescannt und steht nun zur Verfügung
Weitere Infos zur Verwaltung und Handhabung der Tokens
Standardmäßig werden von uns generierte Tokens LinOTP genannt. Durch Klick auf die drei Punkte neben dem Token können Sie diesen umbenennen. Dies ist insbesondere sinnvoll, wenn mehrere Tokens verwendet werden.
In der Zeile unter dem Namen des Tokens steht die ID des Tokens. Diese können Sie auch im mailbox.org-Office sehen und dort - falls nötig - abgleichen.
Wie im Bildschirmabzug mit dem QR Code oberhalb zu sehen, bieten die Softtoken die Wahl zwischen zeit- (TOTP) und ereignisbasierten (HOTP) Verfahren.
Bei ersterem läuft der Token einfach nach einer Zeitspanne ab, meist wird das durch einen Timer, Sanduhr o.ä. symbolisiert und generiert dann einen neuen Token.
Ereignisbasiert heisst, durch Benutzeraktion (meist antippen) wird ein neuer Token erstellt, auch der hat eine Mindestzeitlänge, wird aber eben nicht automatisch, nach einem Zeitfenster sondern durch den User ausgelöst.
Nun passiert es hin und wieder, daß bestimmte Token Apps mit dem einen oder dem anderen Verfahren nicht funktionieren. Wechseln Sie in dem Fall beim Erstellen das Verfahren.
e. Drücken Sie nun auf Ihrem Gerät im Tokengenerator auf den soeben erstellen Token. Es wird ein neues Einmalkennwort erstellt und der Ablaufcountdown startet. Tippen Sie dieses Einmalkennwort nun ins Feld OTP Passwort Test ein.
f. Klicken Sie nun auf den Button OTP Passwort Test durchführen, bevor der Countdown im Tokengenerator abgelaufen ist. Waren Sie nicht schnell genug, können Sie jederzeit einen neuen Token erstellen und diesen erneut eingeben → Schritt e.
g. War der Test erfolgreich, können Sie nun auf den Button Speichern klicken. Er ist nicht mehr ausgegraut.
Beachten Sie die Erfolgsmeldung oberhalb:
Abbildung 5: Erfolgreiche Änderung der OTP Einstellungen
Loggen Sie sich nun aus.
Damit ist die Zwei-Faktor-Authentifizierung aktiviert und Sie können sich künftig mit Ihrer PIN zusammen mit dem One Time-Passwort anmelden.
Falls der Test nicht erfolgreich war, richten Sie den Token bitte erneut ein.
Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort
Beachten Sie bitte, dass PIN und OTP Token hintereinander ins Passwortfeld eingegeben werden müssen.
Im Bildschirmabzug wird dargestellt, dass zuerst die 4-stellige PIN und ohne Leerzeichen direkt dahinter das (von Ihrem YubiKey oder Token) generierte Einmalkennwort eingegeben werden muss. (PIN+Token im Feld "Passwort")
_Abbildung 6: Vorgehen bei der Eingabe von PIN und OTP Token bei der Anmeldung bei mailbox.org
_
Token verloren - was nun?
Wenn Sie Ihr Token verloren haben, können Sie weiterhin von der Funktion Gebrauch machen, Ihr Passwort zurücksetzen zu lassen. In dem Moment, in dem Sie Ihr Passwort z.B. durch eine E-Mail oder einen Resetcode per SMS zurücksetzen, können Sie ein neues Passwort erstellen.
Dadurch wird auch die Zwei-Faktor-Authentifizierung deaktiviert. Mit diesem neuen, regulären Accountpasswort können Sie sich wieder einloggen - und haben wieder wie gewohnt Zugriff auf alle Funktionen Ihres mailbox.org-Office.Sie können Ihr Passwort nur zurücksetzen lassen, wenn Sie entsprechende Informationen in Ihrem Account hinterlegt haben.
Falls Sie z.B. aus Gründen der Anonymität weder eine E-Mail-Adresse noch eine Handynummer für einen Passwort-Reset angegeben haben und der Zugriff auf Ihren mailbox.org-E-Mail-Account via IMAP deaktiviert ist, dann haben wir keine Möglichkeit, Ihre Identität als Inhaber des Accounts zu verifizieren.
In diesem Fall ist ein Passwort-Reset nicht mehr möglich!
Hinweise zur Nutzung von 2FA - Fehlersuche
-
Sie können Ihre Hauptadresse nicht ändern, solange Sie unter "Einstellungen (Zahnradsymbol oben rechts) | mailbox.org | One Time-Passwörter | OTP-Sicherungslevel" eine der beiden OTP-Optionen gewählt haben.
Wenn Sie die Hauptadresse ändern wollen, dann müssen Sie die Option "OTP-Sicherungslevel" auf "Aus, nur normale Passwörter verwenden" stellen. Dann können Sie die Hauptadresse ändern und sich mit dieser wieder einloggen. Stellen Sie abschließend das OTP-Sicherungslevel wieder wie gewünscht ein. -
Sie können sich nicht mit mehreren Browsern oder Geräten gleichzeitig per Webclient im mailbox.org-Office anmelden.
Durch die Verwendung der Zwei-Faktor-Authentifizierung ist jeweils nur eine einzelne laufende Anmeldung möglich. -
Bitte geben Sie den OTP Token so schnell wie möglich nach Erstellung ein. Im Hintergrund sind bei der Anmeldung verschiedene Übergabepunkte definiert, was Zeit benötigt. Es ist möglich, dass der Token trotz rechtzeitiger Eingabe beim Abschicken im weiteren Verlauf ungültig wird. Dies speziell bei Logins, die von Standorten in Übersee vorgenommen werden, da die Verbindung nach Berlin latzenbehaftet ist.
-
Sie müssen sich abmelden, bevor Sie den Browser schließen. (Dies empfehlen wir auch wenn Sie kein OTP verwenden.)
Tun Sie dies nicht, erhalten Sie beim nächsten Einloggen eine entsprechende Fehlermeldung.
_Abbildung 7: Fehlermeldung bei der Authentifizierung
_
Wenn Sie diese Fehlermeldung nach einem erfolgreichen Login erhalten, melden Sie sich bitte ab.
Ein korrektes Abmelden funktioniert über einen Klick auf den Abmeldebutton oben rechts.Die komplette Fehlermeldung lautet:"Fehler - Bei der Authentifizierung trat ein Fehler auf. Möglicherweise liegt dies an einer kürzlichen Passwortänderung. Bitte melden Sie sich nun ab und melden Sie sich dann wieder mit Ihrem aktuellen Passwort an."
Hinweis für Benutzer von Screenreadern
Um einen Token bearbeiten (aktivieren, deaktivieren, löschen) zu können, muss dieser zunächst ausgewählt werden.
Mit Hilfe der Tastatur lässt sich dieses jedoch nicht bewerkstelligen.
Für Screenreader-Nutzer ist momentan folgender Workaround notwendig:
Deaktivieren Sie im Browser CSS. Für Firefox geht dies wie folgt:
drücken Sie "alt", so dass die Menüleiste oben erscheint "Ansicht | Webseiten-Stil | kein Stil". Suchen Sie nun den entsprechenden Token und wählen Sie ihn mit "Enter" aus. Nun können Sie CSS wieder aktivieren und der Token erscheint korrekt.