Skip to main content

YubiKey - Webmail mit Einmalkennwoertern

mailbox.org Yubikeys

Bis April 2022 war es möglich, einen Yubikey über mailbox.org zu beziehen. Aus organisatorischen Gründen bieten wir diese Option nicht mehr an.

mailbox.org bietet seinen Nutzern die Möglichkeit des sicheren Einloggens mittels sogenannter Einmalkennwörter („OTP“, one-time password). Mittels eines kleinen Geräts namens „YubiKey“, das einem USB-Stick sehr ähnlich sieht, können beliebig viele jeweils nur einmal nutzbare Passwörter generiert werden. Somit können Sie auch von nicht vertrauenswürdigen Rechnern Ihr E-Mail-Postfach öffnen und sich bei mailbox.org einloggen. Egal ob im Internet Café, im Hotel-WLAN im Urlaub oder als freier Mitarbeiter vor Ort bei einem Kunden: Selbst wenn das benutzte Passwort vom Besitzer des Rechners oder des Internetzugangs mitgeschnitten würde, wäre es wertlos, da mit diesem Passwort kein erneuter Login möglich ist.

Zur technischen Umsetzung nutzen wir den „YubiKeyals Einmalkennwort-Generator (Token). Dieses kleine Gerät, das sich auch bequem am Schlüsselbund oder als Ohrring tragen lässt, kann einfach über USB benutzt werden. An einen USB-Steckplatz angeschlossen verhält sich der YubiKey wie eine kleine Tastatur. Auf Knopfdruck fügt er ein langes, kompliziertes, einmal gültiges Passwort in das aktive Eingabefeld ein.
Durch diesen trivialen Mechanismus funktioniert YubiKey mit Linux, Mac und Windows gleichermaßen - Ihr Gerät muss nur über einen USB-Steckplatz verfügen. Für Smartphones stehen sogar spezielle YubiKeys mit „NFC“ (Nahfeldübertragung per Funk) zur Verfügung.

Hinweis: Bei der Nutzung von Einmalkennwörtern ist das Passwort, welches Sie zum Einloggen benutzen, variabel. Genau dieses Passwort nutzt Open-Xchange allerdings, um die Passwörter externer Accounts (zu Ihrer Sicherheit) verschlüsselt zu hinterlegen. Daher ist es - aus technischen Gründen - leider nicht möglich, YubiKeys mit eingebundenen externen Accounts zu nutzen.

Zusätzliche Absicherung durch eine PIN

Weiterhin ist es allein mit YubiKey nicht möglich, sich bei mailbox.org einzuloggen. Neben dem generierten Einmalkennwort ist zusätzlich die Eingabe einer von Ihnen selbst festgelegten, vierstelligen Geheimzahl („PIN“, Persönliche Identifikationsnummer) notwendig. mailbox.org bietet somit durch Geheimzahl + Einmalkennwort eine echte Zwei-Faktor-Authentifizierung! Fachleute sprechen von der Kombination aus Wissen (Geheimzahl) und Besitz (Token). Ihr „normales“ Passwort wird beim Einsatz von Einmalkennwörtern nicht verwendet und ist aus diesem Grund besonders geschützt.

Um sich mit Einmalkennwörtern einzuloggen, benötigen Sie also:

  1. Ihren Benutzernamen (Ihre Haupt-E-Mail-Adresse)
  2. Ihre selbst festgelegte, vierstellige Geheimzahl (nicht Ihr „normales“ Passwort!)
  3. das vom YubiKey generierte, einmal gültige Passwort.

Übrigens: Falls Sie Ihren YubiKey verlieren, müsste der Finder Ihren Benutzernamen und Ihre Geheimzahl wissen, um sich in Ihrem mailbox.org-Account anmelden zu können. Natürlich können Sie bei Verlust des YubiKeys den Zugang über Einmalkennwort bei uns sperren lassen, bis Sie einen neuen YubiKey erhalten haben.

Immer Einmalkennwörter? Oder nur im Webclient?

Einmalkennwörter sind also besonders für das Einloggen in den Webclient interessant, da man so jederzeit und von überall Zugriff auf seine Daten hat. Auf „festen“ Geräten, wie etwa dem heimischen Rechner, können Nutzer aus praktischen Erwägungen beim klassischen Einloggen mit ihrem Standard-Passwort bleiben wollen, das sie vielleicht in ihrem Passwortmanager verschlüsselt gespeichert haben. Auch für den Zugriff auf ihre E-Mails von älteren Mobiltelefonen aus, die weder über USB noch über NFC verfügen, können Nutzer ein „normales“, dauerhaftes Passwörter bevorzugen.
Daher ermöglichen wir Ihnen, zwischen folgenden, individuellen Einstellungen zu wählen:

  • Einloggen mit dem „normalen“ Passwort (die Grundeinstellung).
  • Einloggen im Webclient mit OTP, aber „normales“ Einloggen mit Passwort für den lokalen Mailclient, WebDAV, CalDav & Co.
  • Einloggen ausschließlich über OTP im Webclient - dann wird das „normale“ Passwort für IMAP, SMTP, WebDAV, ActiveSync, etc. gesperrt.

Warum sind YubiKeys sicher?

YubiKeys besitzen einen individuellen, geheimen kryptographischen Schlüssel, auf dessen Basis das jeweilige Einmalkennwort erzeugt wird. Unserem Server ist die Information hinterlegt, welcher Schlüssel auf welchen Account registriert ist und kann somit die übersendeten Daten entschlüsseln und dann überprüfen. Gleichzeitig ist es nicht möglich, sich mit einem beliebigen YubiKey einzuloggen, da der individuelle YubiKey mit dem Account bei uns verknüpft sein muss und jeder YubiKey unterschiedliche Einmalkennwörter generiert.
Ihr Account kann somit nur durch den hinterlegten, einzelnen YubiKey authentifiziert werden.