YubiKey - Webmail mit Einmalkennwoertern
mailbox YubiKeys
Bezug von YubiKeys
Bis April 2022 war es möglich, einen YubiKey über mailbox zu beziehen. Aus organisatorischen Gründen bieten wir diese Option nicht mehr an.
Sicherer Login mit Einmalkennwörtern (OTP)
mailbox bietet die Möglichkeit, sich sicher per Einmalkennwort (engl. One-Time Password, OTP) anzumelden. Dabei kommt ein kleines Gerät namens YubiKey zum Einsatz, das einem USB-Stick ähnelt. Dieses generiert beliebig viele Passwörter, die jeweils nur einmal verwendet werden können.
So ist der Zugriff auf das eigene Postfach auch von nicht vertrauenswürdigen Geräten aus möglich – beispielsweise im Internetcafé, im Hotel-WLAN im Urlaub oder als externe Mitarbeitende beim Kunden vor Ort. Selbst wenn das verwendete Passwort dabei abgefangen würde, hätte dies keine Relevanz: Ein erneuter Login mit demselben Passwort ist nicht möglich.
Technische Umsetzung mit dem YubiKey
Für die technische Umsetzung nutzen wir den YubiKey als Einmalkennwort-Generator (Token). Dieses kompakte Gerät, das sich bequem am Schlüsselbund oder sogar als Accessoire tragen lässt, wird einfach per USB verwendet.
Sobald der YubiKey an einen USB-Anschluss angeschlossen ist, verhält er sich wie eine Tastatur: Auf Knopfdruck fügt er ein langes, komplexes und nur einmal gültiges Passwort in das aktive Eingabefeld ein.
Dank dieses einfachen Prinzips ist der YubiKey mit allen gängigen Betriebssystemen kompatibel – ganz gleich ob Linux, macOS oder Windows. Voraussetzung ist lediglich ein USB-Anschluss.
Für Smartphones sind spezielle YubiKey-Modelle mit NFC (Nahfeldkommunikation) erhältlich, die eine drahtlose Authentifizierung ermöglichen.
Hinweis: Bei der Nutzung von Einmalkennwörtern ist das Passwort, welches Sie zum Einloggen benutzen, variabel. Genau dieses Passwort nutzt Open-Xchange allerdings, um die Passwörter externer Accounts (zu Ihrer Sicherheit) verschlüsselt zu hinterlegen. Daher ist es – aus technischen Gründen – leider nicht möglich, YubiKeys mit eingebundenen externen Accounts zu nutzen.
Zusätzliche Absicherung durch eine PIN
Der Login bei mailbox ist mit dem YubiKey allein nicht möglich. Neben dem generierten Einmalkennwort ist zusätzlich die Eingabe einer vierstelligen, von Ihnen selbst gewählten Geheimzahl (PIN) erforderlich.
Durch diese Kombination aus Geheimzahl und Einmalkennwort bietet mailbox eine echte Zwei-Faktor-Authentifizierung. Fachlich gesprochen handelt es sich um die Kombination von Wissen (PIN) und Besitz (Token). Ihr reguläres Passwort kommt bei der Anmeldung mit Einmalkennwörtern nicht zum Einsatz – und ist daher besonders gut geschützt.
Für den Login mit Einmalkennwörtern benötigen Sie
- Ihren Benutzernamen (Ihre primäre Mail-Adresse)
- Ihre vierstellige Geheimzahl (PIN)
- das vom YubiKey generierte, einmal gültige Passwort
Übrigens: Falls Sie Ihren YubiKey verlieren sollten, wäre ein Zugriff auf Ihren mailbox-Account dennoch nicht ohne Ihre PIN und Ihren Benutzernamen möglich. Selbstverständlich können Sie den Zugang über Einmalkennwörter im Fall eines Verlusts durch uns sperren lassen – bis ein neuer YubiKey eingerichtet ist.
Immer Einmalkennwörter? Oder nur im Webmailer?
Einmalkennwörter eignen sich besonders für den Login im Webmailer, da Sie damit jederzeit und ortsunabhängig sicher auf Ihre Daten zugreifen können.
Auf fest eingerichteten Geräten – wie dem privaten Rechner zu Hause – kann es aus praktischen Gründen sinnvoll sein, weiterhin das klassische Login mit dem bekannten Passwort zu nutzen. Viele Nutzende speichern dieses dauerhaft verschlüsselt in einem Passwortmanager.
Auch für den Zugriff auf Mail über ältere Mobiltelefone ohne USB- oder NFC-Funktionalität kann das herkömmliche Passwort weiterhin bevorzugt werden.
Aus diesem Grund bietet mailbox flexible Einstellungen, mit denen Sie selbst bestimmen können, wie Sie sich anmelden möchten:
- Standardmäßig ist der Login mit dem klassischen Passwort möglich.
- Alternativ können Sie den Webmailer per OTP schützen.
- Wenn Sie möchten, können Sie auch festlegen, dass der Login im Webmailer ausschließlich über OTP erfolgt. In diesem Fall wird das klassische Passwort für alle anderen Dienste deaktiviert.
So haben Sie volle Kontrolle über Ihre Sicherheit – abgestimmt auf Ihre individuelle Nutzung.
Warum sind YubiKeys sicher?
YubiKeys besitzen einen individuellen, geheimen kryptographischen Schlüssel, auf dessen Basis das jeweilige Einmalkennwort erzeugt wird. Unserem Server ist die Information hinterlegt, welcher Schlüssel auf welchen Account registriert ist, und kann somit die übersendeten Daten entschlüsseln und dann überprüfen.
Gleichzeitig ist es nicht möglich, sich mit einem beliebigen YubiKey einzuloggen, da der individuelle YubiKey mit dem Account bei uns verknüpft sein muss und jeder YubiKey unterschiedliche Einmalkennwörter generiert.
Ihr Account kann somit nur durch den hinterlegten, einzelnen YubiKey authentifiziert werden.