YubiKey - Beispielbild

mailbox.org bietet seinen Nutzern die Möglichkeit des sicheren Einloggens mittels sogenannter Einmalkennwörter („OTP“, one-time password). Mittels eines kleinen Geräts namens „YubiKey“, dass einem USB-Stick sehr ähnlich sieht, können beliebig viele jeweils nur einmal nutzbare Passwörter generiert werden. Somit können Sie auch von nicht vertrauenswürdigen Rechnern ihr E-Mail-Postfach öffnen und sich bei mailbox.org einloggen. Egal ob im Internet Café, im Hotel-WLAN im Urlaub oder als freier Mitarbeiter vor Ort bei einem Kunden: Selbst wenn das benutzte Passwort vom Besitzer des Rechners oder des Internetzugangs mitgeschnitten würde, wäre es wertlos, da mit diesem Passwort kein erneuter Login möglich ist.

Zur technischen Umsetzung nutzen wir den „YubiKeyals Einmalkennwort-Generator (Token). Dieses kleine Gerät, das sich auch bequem am Schlüsselbund oder als Ohrring tragen lässt, kann einfach über USB benutzt werden. An einen USB-Steckplatz angeschlossen verhält sich der YubiKey wie eine kleine Tastatur. Auf Knopfdruck fügt er ein langes, kompliziertes, einmal gültiges Passwort in das aktive Eingabefeld ein.
Durch diesen trivialen Mechanismus funktioniert YubiKey mit Linux, Mac und Windows gleichermaßen - Ihr Gerät muss nur über einen USB-Steckplatz verfügen. Für Smartphones stehen sogar spezielle YubiKeys mit „NFC“ (Nahfeldübertragung per Funk) zur Verfügung.

YubiKey - der YubiKey-Ohrring

Hinweis: Bei der Nutzung von Einmalkennwörtern ist das Passwort, welches Sie zum Einloggen benutzen, variabel. Genau dieses Passwort nutzt Open-Xchange allerdings, um die Passwörter externer Accounts (zu Ihrer Sicherheit) verschlüsselt zu hinterlegen. Daher ist es - aus technischen Gründen - leider nicht möglich, YubiKeys mit eingebundenen externen Accounts zu nutzen.

Zusätzliche Absicherung durch eine PIN

Weiterhin ist es allein mit YubiKey nicht möglich, sich bei mailbox.org einzuloggen. Neben dem generierten Einmalkennwort ist zusätzlich die Eingabe einer von Ihnen selbst festgelegten, vierstelligen Geheimzahl („PIN“, Persönliche Identifikationsnummer) notwendig. mailbox.org bietet somit durch Geheimzahl + Einmalkennwort eine echte Zwei-Faktor-Authentifizierung! Fachleute sprechen von der Kombination aus Wissen (Geheimzahl) und Besitz (Token). Ihr „normales“ Passwort wird beim Einsatz von Einmalkennwörtern nicht verwendet und ist aus diesem Grund besonders geschützt.

Um sich mit Einmalkennwörtern einzuloggen, benötigen Sie also:

  1. Ihren Benutzernamen (Ihre Haupt-E-Mail-Adresse)
  2. Ihre selbst festgelegte, vierstellige Geheimzahl (nicht Ihr „normales“ Passwort!)
  3. das vom YubiKey generierte, einmal gültige Passwort.

Übrigens: Falls Sie Ihren YubiKey verlieren, müsste der Finder Ihren Benutzernamen und Ihre Geheimzahl wissen, um sich in Ihrem mailbox.org-Account anmelden zu können. Natürlich können Sie bei Verlust des YubiKeys den Zugang über Einmalkennwort bei uns sperren lassen, bis Sie einen neuen YubiKey erhalten haben.

Immer Einmalkennwörter? Oder nur im Webclient?

Einmalkennwörter sind also besonders für das Einloggen in den Webclient interessant, da man so jederzeit und von überall Zugriff auf seine Daten hat. Auf „festen“ Geräten, wie etwa dem heimischen Rechner, können Nutzer aus praktischen Erwägungen beim klassischen Einloggen mit ihrem Standard-Passwort bleiben wollen, das sie vielleicht in ihrem Passwortmanager verschlüsselt gespeichert haben. Auch für den Zugriff auf ihre E-Mails von älteren Mobiltelefonen aus, die weder über USB noch über NFC verfügen, können Nutzer ein „normales“, dauerhaftes Passwörter bevorzugen.
Daher ermöglichen wir Ihnen, zwischen folgenden, individuellen Einstellungen zu wählen:

  • Einloggen mit dem „normalen“ Passwort (die Grundeinstellung).
  • Einloggen im Webclient mit OTP, aber „normales“ Einloggen mit Passwort für den lokalen Mailclient, WebDav, CalDav & Co.
  • Einloggen ausschließlich über OTP im Webclient - dann wird das „normale“ Passwort für IMAP, SMTP, WebDAV, ActiveSync, etc. gesperrt.

YubiKey - Einstellungen für OTP

Warum sind YubiKeys sicher?

YubiKeys besitzen einen individuellen, geheimen kryptographischen Schlüssel, auf dessen Basis das jeweilige Einmalkennwort erzeugt wird. Unserem Server ist die Information hinterlegt, welcher Schlüssel auf welchen Account registriert ist und kann somit die übersendeten Daten entschlüsseln und dann überprüfen. Gleichzeitig ist es nicht möglich, sich mit einem beliebigen YubiKey einzuloggen, da der individuelle YubiKey mit dem Account bei uns verknüpft sein muss und jeder YubiKey unterschiedliche Einmalkennwörter generiert.
Ihr Account kann somit nur durch den hinterlegten, einzelnen YubiKey authentifiziert werden.

Auch Yubico, der Hersteller der YubiKeys, kann sein Wissen bzw. seine Schlüssel nicht für das Einloggen in Ihren Account benutzen: Die individuelle, geheime Zeichenfolge, aus der jeder YubiKey seine Einmalkennwörter generiert, wird erst von uns bei mailbox.org erzeugt und ist auch nur in unserem selbst betrieben Authentifizierungsserver gespeichert. Mangels Wissen um dieses individuelle Geheimnis eines jeden Schlüssels kann auch der Hersteller nicht einen bestimmten Schlüssel reproduzieren.


YubiKeys bestellen

YubiKeys können direkt im mailbox.org-Office käuflich erworben werden. Loggen Sie sich wie gewohnt in Ihren Account ein und gehen auf „Einstellungen -> mailbox.org -> YubiKey bestellen“.
Yubikeys sind in verschiedenen Varianten erhältlich, beginnend bei 35,- Euro. Im Fall einer Bestellung wird der entsprechende Betrag von Ihrem Prepaid-Guthaben abgebucht. Unter Umständen müssen Sie dieses also vorher aufladen. Der Versand findet auf dem Postweg statt. Da zum Einloggen sowohl die Geheimzahl als auch der Einmalschlüssel notwendig sind, wäre ein Verlust des Schlüssels auf dem Postweg unproblematisch.

Prinzipiell kann ein erworbener YubiKey bei allen Anbietern verwendet werden, die YubiKeys unterstützen. Ebenso ist es auch mit den YubiKeys, die Sie von uns erwerben können. Damit geht Ihre Investition in mehr Sicherheit im online-Bereich auch dann nicht verloren, falls Sie Ihren Account bei mailbox.org einmal kündigen sollten.
YubiKey - YubiKey bestellen bei mailbox.org

Verwandte Artikel

Verwandte Artikel erscheinen hier basierend auf den Stichwörtern, die Sie auswählen. Klicken Sie, um das Makro zu bearbeiten und Stichwörter hinzuzufügen oder zu ändern.


Verwandte Vorgänge