Passwort bei E-Mailboxen

2-Faktor Autorisierung nicht möglich

Aktuell ist die 2-Faktor Autorisation (2FA) in aller Munde. Wir bieten dies auch zur Absicherung des Zuganges zu unserem Kunden-Bereich sowie zum E-Mail-Administrations-Interface (Mailix UI) an.

Für E-Mailboxen ist das aber technisch nicht möglich. E-Mail-Protokolle (POP, IMAP, SMTP) unterstützen die 2-Faktor-Authentifizierung überhaupt nicht. Jeder Versuch, sie in diesen Diensten zu implementieren, würde alle E-Mail-Clients von Drittanbietern unbrauchbar machen, da sie nicht kompatibel wären, weil dafür kein Mechanismus im Protokoll vorgesehen ist. Während ein so großes Unternehmen wie z.B. Google in der Lage sein mag, eine eigene Anmeldemethode zu verwenden, die dann von allen Entwicklern aller wichtigen E-Mail-Clients unterstützt wird, ist es unwahrscheinlich, dass ein Unternehmen, das kleiner als Google ist, viele Entwickler dazu bringen kann, ihre Nicht-Standard-Implementierungen massiv zu unterstützen, was auch die E-Mail-Clients von Drittanbietern unbrauchbar machen würde. Der einzige konsistente Weg, die E-Mail-Anmeldung zu handhaben, besteht darin, die primären, universellen Protokolle zu verwenden, die leider keine 2FA unterstützen.

App-spezifische Passwörter

Alternativ gibt es “app-spezifische Passwörter” für POP/IMAP/SMTP als Lösung, die auch wir anbieten. Aus der Sicherheitsperspektive ist das aber leider keine Lösung. Es gibt zwar einen potenziellen Komfortgewinn, aber der wird durch die tatsächliche Realität, wenn ein kompromittiertes Kennwort auftritt, größtenteils wieder zunichte gemacht. Bei anwendungsspezifische Kennwörtern handelt sich um einfache Passwörter, mit denen man sich anmeldet und 2FA umgeht, wodurch 2FA für das Konto ungültig wird. Niemand kann die Verwendung nachverfolgen und sie können nicht auf eine bestimmte App beschränkt werden (weil das die Protokolle wiederum nicht zulassen). Wenn also Ihr Konto kompromittiert wird und Sie 50 app-spezifische Passwörter haben, was können Sie dann tun, außer alle 50 Passwörter zu löschen und neu zu estellen? Ein Passwort nach dem anderen löschen und abwarten, wie lange es dauert, bis kein Spam mehr über Ihr Konto verschickt wird? Die Serversicherheit herabsetzen und protokollieren, welches Kennwort wann verwendet wird (weil das die einzige Möglichkeit ist, aus den universellen Protokollen diesen Einblick zu erhalten)?

Erhöhte Sicherheit beim Zugang zur Mailbox technisch nicht möglich

Anwendungsspezifische Passwörter bieten daher keine erhöhte Sicherheit (sondern mindern nur den Komfort) und eine Zwei-Faktor-Authentifizierung bei E-Mail-Protokollen gibt es nicht. Die einzige sichere Methode wäre derzeit, sich nur über das Internet mittels Webmail anzumelden und 2FA auf den Webmail-Clients zu verwenden, aber das ist kein praktikabler Kompromiss, da es die meisten Anwendungsfälle von E-Mail zunichte macht.

Gut, alte reguläre Passwörter

Mailboxen können also auch weiterhin nur mit üblichen, möglichst sicheren (bedeutet: möglichst langen) Passwörtern abgesichert werden. Wir empfehlen die Verwendung von Passphrasen statt Passwörtern mit Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. ‘Heute ist mein 30. Geburtstag!’ wäre z.B. eine leicht merkbare Passphrase und außerdem noch viel sicherer als z.B. ‘Jgiu&u87/’. E-Mail Client Software speichert das Passwort der Mailbox üblicherweise, sodass dieses nur sehr selten eingegeben werden muss. Verwenden Sie am Besten einen Passwort-Manager, um das Passwort immer zur Hand zu haben. Sie benötigen es z.B. wenn sie in Webmail einsteigen möchten, Ihren SPAM-Filter oder E-Mail Alias im Mailix UI verwalten wollen.

Bei Abfrage und Versand von E-Mail werden die Zugangskennungen übrigens immer und generell nur verschlüsselt übertragen. Das Ausspionieren auf elektronischem Weg bei Verwendung ist daher nicht möglich.

Unsere Bitte

Denken Sie bitte immer daran, Ihre Passwörter sicher zu halten und erwarten sie keine erhöhte Sicherheit durch 2FA oder app-spezifische Passwörter.