Zwei-Faktor-Athentifizierung Anwendungspasswort

[tomwarrent1]

Hallo,
ich hätte mal eine grundsätzliche Frage zur 2FA wenn man Programme nutzt wie z.B.
Thunderbird oder Outlook, die nicht mit 2FA umgehen können.

Wenn man so ein Programm benutzt, muss i.d.R. ein "Anwendungspasswort" erstellt werden, damit
sich das Programm wie bisher auch mit Benutzername/Passwort (hier also das "Anwendungspasswort") anmelden kann.

Hat man dann überhaupt etwas gewonnnen mit Umstellung auf 2FA??
Wenn jetzt Thunderbird weiterhin sich einfach mit Benutzername/Passwort anmelden kann,
ist die Sicherheitslücke genauso groß wie vorher ohne 2FA. Oder was übersehe ich da?

 

[robertsonson]

ich weiss nicht wie thunderbird sich verhält, aber bei outlook (365) wird nach meinem verständnis* das gerät über irgendeine id als vertrauenswürdig deklariert/bei ms hinterlegt, und wenn du dich auf neuen geräten das erste mal anmelden willst kommt 2fa zum tragen.
da brauchst du dann eben dein normales mailpasswort und kannst als zweiten faktor den authenticator, sms oder telefonanruf wählen.

*korrigiert mich wenn ich falsch liege.

 

[Termy]

Hat man dann überhaupt etwas gewonnnen mit Umstellung auf 2FA??
Wenn jetzt Thunderbird weiterhin sich einfach mit Benutzername/Passwort anmelden kann,
ist die Sicherheitslücke genauso groß wie vorher ohne 2FA. Oder was übersehe ich da?

Die Anwendungspasswörter bzw die zugehörigen 'Accounts' haben in der Regel deutlich eingeschränktere Rechte. Man kann damit z.b. nicht das Passwort ändern und dich somit aussperren und ähnliche Sachen.
Beim reinen Zugriff auf die Mails hat man allerdings nichts gewonnen, das stimmt.

 

[KillerCow]

Wenn es konkret darum geht, Thunderbird mit O365 zu nutzen: TB kann auch mit MFA umgehen. Gibt einige Anleitungen dazu im Netz. Das wesentliche ist, die Authentifizierung auf oauth umzustellen. Die üblichen Mailprotokolle können halt kein MFA, darum bedarf es dafür anderer Authentifizierungsmechanismen.

Zur eigentlichen Frage: Wenn ein Dienst alternativ das Anmeldung ohne MFA ermöglicht, ist das grunsätzlich erstmal ein Einfallstor, ja. Darum sollte man aber nicht auf MFA verzichten und es nutzen, wo immer es geht. Ein TB auf deinem Lokalen Rechner, der ggf. kein MFA benutzt ist da noch relativ harmlos. Wenn du dann von einem PC eines Kumpels oder aus dem Internetcafe mal schnell via Weblogin auf deine Mails zugreifen willst, sollte MFA aktiv sein.

 

[benneq]

2FA macht nicht die eigentliche Verbindung sicherer, sondern die Authentifizierung. Um so ein Anwendungspasswort zu generieren, musst du dich vorher bei deinem Anbieter anmelden, und genau für diese Anmeldung wird hoffentlich 2FA genutzt. D.h. die Erstellung des Anwendungspasswort ist durch 2FA geschützt.

Nach der Authentifizierung im Browser bekommt man eine Art von Token (oder Cookie), was dann für alle zukünftigen Transaktionen benutzt wird - also auch eine Art Anwendungspasswort. (Ausnahme sind hier z.B. Banken, wo tatsächlich für jede Transaktion 2FA fällig wird.). Das Anwendungspasswort ist also vergleichbar mit deiner Browser Session, wenn du dich über die Web UI bei deinem E-Mail Postfach anmeldest. Mit dem kleinen Unterschied, dass so eine Browser Session üblicherweise zeitlich stärker begrenzt ist.

Und so ein Anwedungspasswort beschränkt dann normalerweise auch die Berechtigungen (Authorisierung), damit man damit auch wirklich nur E-Mails senden und abrufen kann. Wenn man sein Passwort ändern, oder 2FA ausschalten will, braucht es wieder mehr Berechtigungen - hier wird dann eine klassische 2FA Anmeldung fällig. (Natürlich unter der Voraussetzung, dass es ordentlich umgesetzt wurde vom Anbieter)

Die Alternative wäre, dass man für JEDE Aktion sich neu authentifizieren muss. Aber ich denke, das will niemand Stell dir vor, du müsstest für jede versandte E-Mail den ganzen 2FA Prozess durchlaufen - also genau so wie du das bei deiner Bank für jede Überweisung machen musst.

E-Mail ist hierfür aber natürlich ein ungünstiges Thema, weil man mit Zugriff auf das Postfach in den meisten Fällen auch noch Zugriff auf extrem viele andere Dienste erhält, und die ganzen sensiblen Daten in den E-Mails.

 

[Conqi]

Beim reinen Zugriff auf die Mails hat man allerdings nichts gewonnen, das stimmt.

Das würde ich so auch nicht sagen. Der Vorteil ist ja, dass man dieses Anwendungspasswort einmal erstellt und dann einmal nutzt. Das abzufangen ist also mehr oder weniger nur in diesem Moment möglich während man das normale Passwort immer wieder mal eingibt, eventuell sogar auf Systemen, die einem nicht gehören, wenn man mal vom Firmen-PC oder bei Bekannten am PC auf seine Mails zugreifen will.

 

[Dr. McCoy]

Hinzu kommt ja ohnehin, dass man wichtige Grundregeln für Passwörter und deren Verwendung sowieso parallel zur aktivierten 2FA beachten muss. Das belegen in der Praxis nicht nur die auch hier im Forum immer wieder mal auftauchenden Hilferufe von Nutzern, die "trotz 2FA" Zugriff auf den ein oder anderen Account verloren haben.

Es kommt dabei auf die Art der Realisierung von 2FA an (Auth-App, E-Mail, SMS, Hardware Key/Token, etc.), aber auch, welche Accounts und Zugriffe man gegebenenfalls miteinander verknüpft, welche Reset-Passwörter oder allgemein Recovery-Optionen für 2FA man zulässt, und wie komplex oder simpel man diese jeweils wählt (einige speichern Ihre Reset-Passwörter z.B. unverschlüsselt auf der Festplatte oder zweckentfremden sie gar als dauerhafte 2FA-Option).

Die Absicherung der Accounts ist also eine Kette verschiedener Maßnahmen, bei der 2FA lediglich eine zusätzliche Komponente darstellt. Die Aktivierung von 2FA befreit nicht von grundsätzlichen Verhaltensweisen im Umgang mit der Verwendung von Passwörtern.

Wenn du also beispielsweise ein Trojanisches Pferd auf dem Computer hast, müsstest du immer mit weitreichenden Zugriffen Dritter auf deine Daten rechnen, und letztlich auch mit dem Auslesen von Informationen, die in der Summe oder in Kombination dazu berechtigen könnten, eine gesetzte 2FA zu umgehen bzw. zu resetten.

Vor diesen Betrachtungshintergründen stellt eine Erlaubnis zur Verwendung eines E-Mail-Programms beim Zugriff auf den Account keine signifikante Verschlechterung der Sicherheitssituation dar.

 

[benneq]

Das belegen in der Praxis nicht nur die auch hier im Forum immer wieder mal auftauchenden Hilferufe von Nutzern, die "trotz 2FA" Zugriff auf den ein oder anderen Account verloren haben.

In der Praxis kann das auch umgekehrt laufen Wenn du deinen zweiten Faktor "verlierst" war's das. In meinem Fall sind es YubiKeys (ja, mehrere, siehe unten) für meine KeePass Datenbank.

Angefangen habe ich mit einem YubiKey und einer Test DB, um zu schauen wie (und ob) es läuft. Funktioniert problemlos, aber auf dem iPhone muss man in den sauren Apfel beißen und ein Abo abschließen, damit das alles schön reibungslos mit NFC und Browserintegration läuft.
Ein zweiter Key hat mich dann dazu gebracht, die alte Datenbank zu entsorgen. Das hat aber (aus gutem Grund) zu unruhigem Schlaf geführt, denn schließlich sind die beiden Keys meist am selben Ort, also können sie auch gleichzeitig zerstört/geklaut/whatever werden.

Die Datenbank selbst ist natürlich genau so gefährdet und wird dementsprechend zwischen 4 Geräten synchronisiert, plus 2 unabhängige Backups, die täglich versioniert gespeichert werden.

Long story short: Inzwischen sind es 4 Keys Zwei bei mir für das schnelle Backup im Notfall, und dann noch jeweils einer bei Freunden und Familie, für den Fall der Fälle und den Fall der Fall der Fälle.

Klingt zwar übertrieben, aber es ist halt keine Haustür, wo man zur Not den Schlüsseldienst rufen kann. Oder ein Bankkonto, wo man zur Not mit seinem Perso wieder dran kommt.

Es bleibt also dabei: 3FA > 2FA > 1FA. Immer und überall!

 

[frazzlerunning]

iPhone muss man in den sauren Apfel beißen und ein Abo abschließen, damit das alles schön reibungslos mit NFC und Browserintegration läuft.

Du meinst ein Abo bei KeePass, richtig?

Ich verwende auch YubiKeys (die günstigen SecurityKeys NFC, einmal USB-A einmal USB-C) aber mit Bitwarden als Passwort-Datenbank mit Online-Sync.
(Da zahl ich zwar auch ein Abo, aber in diesem Fall dafür, dass ich mit Freundin, Mutter und Bruder der Freundin gemeinsamen Zugriff auf bestimmte Zugangsdaten habe.)

 

[benneq]

Du meinst ein Abo bei KeePass, richtig?

KeePass selbst ist ja nur das (offene) Format der Datenbank. Das ist komplett kostenlos. Ich meinte speziell die iOS App KeePassium. Zumindest habe ich bisher keine kostenlose Alternative gefunden, die NFC + Browserintegration beherrscht - ich würde sofort wechseln Oder zumindest eine kostenpflichtige App, zu angemessenen Preis, ohne Abo Modell.

mit Bitwarden als Passwort-Datenbank mit Online-Sync.

Hatte ich mir auch überlegt, aber neee. Wenn ich mir anschaue, welche Dienste in den letzten Jahren alles gehackt wurden, habe ich da lieber die volle Kontrolle über alle Parameter.

Und self-hosting habe ich auch ausgeschlossen, weil ... Ich bin mir nicht mehr 100% sicher, aber soweit ich mich erinnere (man möge mich korrigieren!), muss man eine Verbindung zum Server haben, damit man an die Passwörter kommt. Für die Ausfallsicherheit beim self-hosting will ich nicht garantieren. Da habe ich lieber eine verschlüsselte Kopie der gesamten Datenbank auf allen Geräten und kann sie bei Bedarf entsperren, auch wenn ich in der Wüste ohne Internetverbindung bin

 

[frazzlerunning]

Ich bin mir nicht mehr 100% sicher, aber soweit ich mich erinnere (man möge mich korrigieren!), muss man eine Verbindung zum Server haben, damit man an die Passwörter kommt.

Nicht soweit ich weiß. Eine Kopie der Daten liegt am Gerät. Nur für die Sync brauchst eine Verbindung zum Server. Also wenn du einen neuen Zugangsdatensatz anlegst einmal mit jedem Gerät eine Sync machen.
Aber das wird hier Off Topic.

Wenn ich mir anschaue, welche Dienste in den letzten Jahren alles gehackt wurden

Verstehe ich. Ich war auch skeptisch, aber Bitwarden macht jährlich externe Security Audits und veröffentlicht die Ergebnisse. Das erscheint mir sicher genug, wenn ich die Daten dann noch mit meinen YubiKeys absichere.