Sicherheit von Applikationspasswörtern

[Vog3lm4nn]

Guten Abend,

Zurzeit nutze ich Tuta Mail, da ich versuche auf europäische Alternativen für viele Dienste umzusteigen. Allerdings bin ich trotz zahlreicher Verbesserungen noch nicht zufrieden mit dem Mailer.

Jetzt wollte ich vielleicht zu Mailbox.org umsteigen, sodass ich freie Wahl beim Mailer habe.
Die Anmeldung geht da bei Drittanbieter Software mit eingeschaltetem 2FA nur noch mit Applikationspasswort.

Meine Frage dazu: Untergräbt ein Applikationspasswort, dass ja ohne 2FA eine Anmeldung ermöglicht, nicht die Sicherheit des Accounts?

Ich habe im Netz da nichts Gutes zu finden können.

Danke euch!

 

[Tornhoof]

Das Applikationspasswort, auch Apikey usw genannt, wird (wenn es richtig implementiert wird) mit entsprechender Entropie erzeugt, zb 160bit und gehasht gespeichert, damit kann man es nur einmal anzeigen und wenn du es nicht gerade offen rumliegen lässt, ist es sicher genug für die meisten Anwendungsfälle.

Der einfache Test ist immer, wird das Passwort vom System erzeugt? Kann es nur einmal angezeigt werden und kann man es leicht widerrufen?
Wenn das jeweils 'ja' ist, dann ist es sicher genug. Wenn man dann noch entsprechende Rechte/Rollen oder IP Binding vergeben kann umso besser.
Noch besser ist dann via pubkey/private Key und entsprechendem openid connect Client credential flow, was aber mit den meisten Protokollen wie SMTP nur schwer geht.

 

[Nilson]

1. Applikationspasswörter erlauben den Zugriff meist nur auf eine Anwendung (IMAP, CalDav) etc. Ein Angreifer kann z.B. sich damit nicht im Webportal anmelden und dein Passwort ändern und dich aussperren.
2. mailbox.org erstellt für IMAP ein 40-stelliges Passwort für dich und zeigt es dir nur einmalig an. Das ist für die allermeisten Fälle ausreichend.
3. Protokolle wie IMAP gehen leider nicht ohne.

 

[madmax2010]

(wenn es richtig implementiert wird)

Und das ist der wichtigste teil.
Seine Logins sauber zu haben (2fa, jedes Passwort nur 1x nutzen, ggf. jede email adresse nur 1x nutzen (geht bei tutanota dank catch-all auch), ist schon wichtig, wenn man nicht wegen einer einzelnen geknackten Seite alle Passwörter ändern, oder auf ewig spam auf der Adresse bekommen will

Wenn jedoch Accounts geknackt werden, wird meist nicht user+passwort geknackt, sondern das "Handling" des Login selbst, oder andere Sicherheitslücken. Irgendwo gibt es immer einen Authentication bypass, wenn man nur ein bisschen sucht.

 

[Conqi]

Im Endeffekt ist alles gesagt, aber um das nochmal zu betonen: das Applikationspasswort pflegst du einmal in deine Anwendung ein und fasst es danach nie wieder an. Damit ist es resistent gegen viele Angriffsmethoden wie Keylogger, Man in the Middle Angriffe, Phishing etc.
Ein Applikationspasswort kann man (sofern die Webseite und der Client keinen Fehler haben) praktisch nur per Bruteforce knacken und das ist bei entsprechender Länge faktisch unmöglich.

 

[Vog3lm4nn]

Vielen Dank für eure Antworten!
Damit weiß ich genügend und werde eure Ratschläge, so vorher noch nicht getan, umsetzen.

 

[BeBur]

resistent gegen viele Angriffsmethoden wie Keylogger

Wenn der Rechner komprimittiert ist, dann auch das Applikationspasswort.

3. Protokolle wie IMAP gehen leider nicht ohne.

Wieso eigentlich nicht? Der Server könnte die Antwort verzögern und stattdessen 2FA auf dem Smartphone des Nutzers antriggern. Ist bei E-Mail halbwegs unhandlich, vermutlich macht es deshalb niemand.

 

[Conqi]

Wenn der Rechner komprimittiert ist, dann auch das Applikationspasswort.

Wenn der PC zum Zeitpunkt der Einrichtung schon befallen ist ja, aber danach stellt zumindest ein Keylogger keine Gefahr mehr dar. Ich würde natürlich auch jedes Passwort erneuern, wenn ich sowas finde, aber das ist ne andere Geschichte.

Der Server könnte die Antwort verzögern und stattdessen 2FA auf dem Smartphone des Nutzers antriggern.

Ich nehme an, die meisten Programme kommen nicht gut damit klar, wenn die Antwort auf eine Anfrage erst nach 30 Sekunden kommt, wenn der Nutzer sein Handy rausgekramt und die Anfrage bestätigt hat.

Abgesehen davon will man das ja nicht jedes Mal bestätigen, wenn man E-Mails abruft. Weiß nicht, ob bei IMAP und SMTP Sessions in der Form existieren, die den Login speichern.

 

[Ranayna]

Ein Applikationspasswort hat den grossen Vorteil, dass wenn das geleaked wird, damit nur dass gemacht werden kann wofuer es angelegt wurde.
Dann kann ein Angreifer vielleicht deine Mails lesen, aber er kann nicht den Mailaccount selber uebernehmen. Du kannst dich weiter mit deinem normalen Passwort oder Passkey oder wie auch immer anmelden und das Applikationspasswort loeschen und neuanlegen. Schon ist der Angreifer raus.

Die haben weiters auch noch einen technischen Hintergrund, insbesondere bei aelteren Anwendungen/Protokollen. Oefter koennen die nur mit Username/Passwort umgehen, anstelle zB einem Passkey.