Webmail mit One Time Passwords - YubiKey

Sicheres Webmail-Login mit Yubikey

mailbox.org unterstützt als Dienst den sicheren Login mittels sogenannte One Time Passwords. Mittels eines kleinen USB-Sticks namens Yubikey, der beliebig viele jeweils nur einmal nutzbare Passwörter generiert, können sich unsere Nutzer auch von nicht vertrauenswürdigen Rechnern aus in ihr E-Mail-Postfach und unser mailbox.org Office einloggen. Egal ob im Internet Cafe im Urlaub oder als Freelancer vor Ort beim eigenen Kunden: Selbst wenn die benutzten Passwörter vom Besitzer des Rechners mitgeschnitten werden würden, wären sie wertlos und würden nicht mehr zum erneuten Login für unsere Dienste taugen.

mailbox.org greift dabei auf den YubiKey als OTP-Generator zurück, ein kleiner USB-Stick, der sich auch bequem am Schlüsselbund (oder als Ohrring) tragen läßt.YubiKey Nano als Ohrring Als USB-Stick im Rechner verhält sich der YubiKey wie eine kleine Tastatur und fügt auf Knopfdruck das lange komplizierte One-Time-Password (OTP) in das Passwordfeld der Loginmaske. -Durch diesen trivialen Mechanismus funktioniert YubiKey mit Windows, Linux und Mac gleichermaßen — die Geräte müssen nur über einen USB-Slot verfügen. Für moderne Handys stehen spezielle YubiKeys mit NFC (Funk) zur Verfügung.

Bitte beachten Sie, dass aus technischen Gründen bei der Nutzung von Yubikeys keine externen Accounts eingebunden werden können. OX verschlüsselt aus Sicherheitsgründen die externen Passwörter mit dem Login-Passwort, welches bei der Nutzung von OTP jedes Mal ein anderes ist.

Eine PIN sichert das One Time Password zusätzlich ab

Mit dem YubiKey alleine ist noch kein Login möglich. Neben dessen generiertem OTP ist zusätzlich auch die Eingabe einer vom Nutzer selbst festgelegten vierstelligen PIN notwendig. mailbox.org bietet hier mit PIN+OTP eine echte 2-Faktor-Authentifizierung. Fachleute sprechen von der Kombination aus Besitz (Hardware) und Wissen (PIN). Das normale Standard-Passwort wird beim Einsatz von OTP nirgendwo verwendet und wird darum besonders geschützt.

Für einen OTP-Login werden also benötigt:

  1. Der Username
  2. ein vom User festgelegter vierstelliger PIN-Code (also nicht das normale Passwort!)
  3. das vom sogenannten „YubiKey“ generierte One Time Password

Übrigens: Geht ein YubiKey einmal verloren, so müsste der Finder den zum YubiKey zugehörigen Account und dessen PIN wissen, um sich anzumelden. Natürlich können Sie bei Verlust des YubiKeys den Zugang über OTP bei uns sperren, bis Sie einen neuen YubiKey haben.

Immer OTP? Oder OTP nur im Webfrontend?

One Time Passwords sind also besonders für den Login in unsere Weboberfläche interessant, so dass man jederzeit und von überall her Zugriff auf seine Daten hat. Auf festen Geräten wie dem heimischen Rechner werden Nutzer aus praktischen Erwägungen oft beim klassischen Standard-Passwort bleiben wollen, um nicht bei jedem Login neu das One Time Password eingeben zu müssen. Auch für die Mailnutzung auf älteren Mobiltelefonen, die weder über USB noch über NFC verfügen, wird man um die Nutzung normaler dauerhafter Passwörter nicht drum herumkommen, weil der YubiKey hier nicht nutzbar ist.

Aus diesem Grund können Nutzer von mailbox.org zwischen folgenden individuellen Einstellungen wählen:

  • nur normales klassisches Passwort-Login (Grundeinstellung),
  • OTP-Login im Webinterface und weiterhin normales klassisches Passwort-Login für Mail, WebDav, CalDav & Co
  • oder ausschließlich OTP-Logins im Webinterface (dann wird das klassische Passwort für IMAP, SMTP, WebDAV, ActiveSync, etc. gesperrt)OTP Einstellungen

Wieso sind YubiKeys sicher?

YubiKeys besitzen einen individuellen geheimen Krypto-Schlüssel, auf dessen Basis ein Einmal-Passwort erzeugt wird. Unser Server wissen, welche Schlüssel für welchen Account registriert sind und können die übersendeten Daten entschlüsseln und überprüfen. Gleichzeitig können keine Logins mit beliebigen YubiKeys stattfinden, weil der individuelle YubiKey mit dem Account bei uns verknüpft sein muß und jeder YubiKey seine individuelle Verschlüsselung erzeugt. Ein Account kann immer nur durch den hinterlegten einzelnen YubiKey authentifiziert werden.

Auch Yubico, der Hersteller der YubiKeys, kann sein Wissen und seine Keys nicht für Logins bei uns benutzen. Das vom Schlüssel individuell benutzte Geheimnis wird erst von mailbox.org erzeugt und ist nur in dem von uns selbst betrieben Authentifizierungsserver gespeichert. Mangels Wissen um dieses individuelle Geheimnis eines jeden Schlüssels kann sich auch der Hersteller nicht nach belieben eigene Keys nachkonfigurieren.

Yubico beschreibt das Verfahren auf seiner Webseite.

Keys im mailbox.org Office bestellen

YubiKeys können direkt von mailbox.org käuflich erworben werden. Bestellungen von YubiKeys sind bei den persönlichen Account-Einstellungen im mailbox.org Office möglich. Die Zusendung erfolgt auf dem Postweg.

Die Kosten für den YubiKey beginnen bei 35,- Euro und werden dabei vom Prepaid-Guthaben aus den Accountgebühren abgebucht (also ggf. vorher nochmal aufladen). Der Versand findet dann auf dem Postweg statt (durch die zusätzlich nötige PIN wäre ein Verlust der Keys unproblematisch).

Prinzipiell kann ein einmal erworbener YubiKey bei allen Anbietern verwendet werden, die YubiKeys unterstützen. Auch die bei uns bezogenen Keys können anderswo eingesetzt werden. Die Investition ist also nicht verloren, sollten Sie mailbox.org irgendwann mal den Rücken kehren.

mailbox.org E-Mail sicher: Yubikey One Time Password Schlüsselbestellung

Ist der Artikel hilfreich?