Zwei-Faktor-Authentifizierung einrichten

Wir bieten mehrere Varianten für die 2-Faktor-Authentifizierung im mailbox.org Ofiice GUI:

  1. Als sicherste Methode können Sie einen Yubikey bei mailbox.org kaufen (siehe: Preisliste). Diese Yubikeys authentifiziert Sie gegen einen Yubikey-Server, den wir selbst betreiben und es werden keine Daten mit der Yubi-Cloud synchronisiert. Wie Sie diese Yubikeys selbst bei der Yubi-Cloud anmelden, um sie bei anderen Webdiensten zu verwenden, ist hier beschrieben.
  2. Außerdem bieten wir die Möglichkeit, einen eigenen Yubikey zu verwenden, den Sie bei Yubico gekauft haben und der Sie gegen die weltweite YubiCloud authentifiziert.
  3. Sie können einen Nitrokey Pro oder Nitrokey Storage und andere HOTP- bzw. TOTP-kompatible Hardware Token für den 2FA Login im Webinterface verwenden. Das ist auch ein höherer Sicherheitslevel als die sogenannte "weiche 2FA" mit Smartphone Apps.
  4. Außerdem haben Sie die Möglichkeit, beliebige OATH-, TOTP-, HOTP- oder mOTP- kompatible Token wie z.B. Smartphone Apps wie FreeOTP, Google Authenticator oder oathapp für iPhone für die Authentifizierung zu verwenden.
  5. SMS-basierte 2-Faktor-Authentifizierung bieten wir nicht an und werden es auch zukünftig nicht anbieten, weil diese Methode als nicht mehr sicher gilt und von der Nutzung abgeraten wird.

2-Faktor-Authentifizierung ist nur für den Login im Webinterface aktivierbar. Alle anderen Dienste (IMAP, POP3 und SMTP mit einem einem E-Mail Client oder WebDAV, CalDAV und CardDAV mit unterschiedlichen Clients) unterstützen bei uns keine 2-Faktor-Authentifizierung.

Bitte achten Sie bei der Nutzung von OTP darauf, dass die entsprechenden Cookies freigegeben sind.

Login bei mailbox.org mit PIN und One-Time-Passwort

Wenn Sie sich im Webinterface mit Ihrer PIN (1. Faktor: Wissen) und OTP-Token (2. Faktor: Besitz) authentifizieren wollen, dann müssen Sie im Passwortfeld als erstes die 4-stellige PIN und dahinter ohne Leerzeichen das One-Time-Passwort von Ihrem OTP-Generator eingeben.

OTP eingabe

Folgende Einschränkungen gelten, wenn Sie die Zwei-Faktor-Authentifizierung verwenden:

  • Sie können im Weboffice von mailbox.org keine externen Accounts wie Google Drive, XING oder andere E-Mail Konten einbinden. Die Passwörter für diese Accounts werden normalerweise mit Ihrem Login Passwort verschlüsselt und beim Login entschlüsselt. Das ist nicht möglich, wenn ständig wechselnde Einmal-Passwörter für den Login verwendet werden.
  • Sie können Ihre Hauptadresse nicht mehr ändern, wenn Sie die Option "Andere OTP Genratoren und Yubikeys" gewählt haben. Wenn Sie die Hauptadresse ändern möchten, dann schalten Sie bitte zuerst auf Passwort Login um, ändern die Hauptadresse, loggen Sie sich mit der neuen Hauptadresse wieder ein und konfigurieren Sie dann den OTP-Login. (Wir arbeiten an einem Bugfix.)
  • Sie können sich nicht mehr mit mehreren Browsern oder mehren Geräten gleichzeitig im Webinterface von mailbox.org Office anmelden. Es ist nur eine gültige Session möglich.
  • Sie müssen sich abmelden, bevor Sie den Browser schließen. Das sollte zwar allgemein üblich sein, ist aber bei der Verwendung von One-Time-Passwörtern unbedingt nötig. Anderenfalls erhalten Sie eine Fehlermeldung beim nächsten Login.

Konfiguration von PIN und One-Time-Passwort

Im mailbox.org Office können Sie unter Einstellungen - mailbox.org - One Time Passwörter die gewünschte Authentifizierungsmethode auswählen.

OTP konfigurierenLegen Sie die vierstellige PIN fest, den gewünschten Sicherheitslevel und wählen Sie die gewünschte Methode von One-Time-Passwörtern (mailbox.org Yubikey oder eigenes Token). 

Wir bieten zwei unterschiedliche Sicherheitslevel bei der Zwei-Faktor-Authentifizierung:

  1. Webinterface OTP, alles andere Passwort: arbeitet so, wie bei den meisten anderen E-Mail Providern mit Zwei-Faktor-Authentifizierung auch. Sie können sich im Webinterface mit mit PIN und One-Time-Passwort anmelden und alle anderen Dienste wie IMAP, POP3, SMTP, WebDAV. CalDAV, CardDAV oder ActiveSync weiterhin mit Ihrem Passwort nutzen. Sie können somit verschiedene E-Mail Clients auf Ihrem PC oder Smartphone weiterhin nutzen und Daten synchronisieren.
  2. Webinterface OTP, alles andere aus: ist ein besonderes Feature von mailbox.org. Wenn Sie diese Option wählen, können Sie sich nur im Webinterface vom mailbox.org Office mit PIN und One-Time-Passwort anmelden. Alle anderen Dienste werden für Ihren Account deaktiviert. Sie können damit keine E-Mail Clients auf dem PC oder Smartphone mehr nutzen und keine Daten synchronisieren.

Eigene OTP-Token verwalten

Wenn Sie die Option OTP-Generatoren und andere Yubikeys wählen, wird Ihnen zusätzlich die Möglichkeit zur Verwaltung eigener OTP Tokens eingeblendet.

In der ersten Zeile des Menüs sehen Sie Optionen zur Schnellkonfiguration von Smartphone Apps. Darunter finden Sie eine Zeile mit Experten-Einstellungen für die Konfiguration von beliebigen, Standard-kompatiblen Token sowie die Registrierung eines eigenen Yubikeys. In der dritten Zeile des Menüs finden Sie die Aktionen zur Verwaltung erstellter Token.

OTP Token verwalten

Wenn Sie ein OTP-Token für eine Smartphone App erstellt haben, müssen Sie nur den QR-Code scannen, um die App für die Generierung passender Tokens zu konfigurieren.

OTP Token Generator verloren - was nun?

Die Passwort-Reset-Funktion funktioniert weiterhin. Wenn Sie Ihr Passwort zurücksetzen, z.B. mittels einer eMail oder mittels einem Resetcode per SMS, können Sie sich ein neues Passwort setzen. In diesem Moment wird die Zwei-Faktor-Authentifizierung deaktiviert. 

Mit dem neuen regulären normalen Passwort können Sie sich wieder einloggen und haben wieder Zugriff auf das mailbox.org Office.

Hinweis: wenn sie aus Gründen der Anonymität keine E-Mail Adresse oder Handynummer für einen Passwort-Reset angegeben haben und der Zugriff auf Ihren mailbox.org E-Mail Account via IMAP deaktiviert ist, dann haben wir keine Möglichkeit, Ihre Identität als Inhaber des Accounts zu verifizieren und es ist KEIN Passwort-Reset möglich!

Ist der Artikel hilfreich?