Discussion:
OAuth Authentifizierung bei Mailprovider
(zu alt für eine Antwort)
Frank Graf
2020-10-09 16:07:44 UTC
Permalink
Hallo,

mittlerweile ist es in Thunderbird möglich OAuth als
Authentifizierungsmethode auszuwählen. Ich habe den Eindruck dass einige
kostenlose Mail Provider dieses Verfahren forcieren wollen. Sie begründen
es mit erhöhter Sicherheit.

Ist das tatsächlich so? Oder wollen sie nur noch ein Verfahren anbieten
weil es für sie technisch einfacher ist? Ich vermute die Apps der
Anbieter nutzen OAuth.

Die Anzahl der Nutzer die klassische E-Mail Clients verwenden dürfte
gering sein. Die meisten nutzen Apps auf den Mobilgeräten oder einen
Webbrowser.

Der Webbrowser wird als Zugriffsmöglichkeit weiterhin bestehen bleiben.
Ich sehe keinen Unterschied bzgl. Sicherheit zwischen Zugriff mit
Webbrowser oder einem Mail Client (POP3 oder IMAP). TLS Verschlüsselung
vorausgesetzt.


Beispiel wie Thunderbird für GMail mit OAuth konfiguriert wird:

https://www.supertechcrew.com/thunderbird-oauth2-gmail/


Frank
Sven Hartge
2020-10-10 14:40:46 UTC
Permalink
Post by Frank Graf
mittlerweile ist es in Thunderbird möglich OAuth als
Authentifizierungsmethode auszuwählen. Ich habe den Eindruck dass
einige kostenlose Mail Provider dieses Verfahren forcieren wollen. Sie
begründen es mit erhöhter Sicherheit.
Ist das tatsächlich so?
Das ist so. Mit OAuth2 kann man genau festlegen, welche auf welche Dinge
ein Client zugriff hat. So kann der Mail-Client dann nur via IMAP auf
Mails zugreifen aber das Token ermöglicht ihn (oder einem Angreifer)
nicht, auf die Benutzerverwaltung etc. zuzugreifen.

Plus das Protokoll tauscht intern regelmäßig das access token aus, so
dass, sollte ein solches einmal abhanden kommen, nur kurzfristig
funktioniert.

Des weiteren bekommt jeder Client separate Tokens, so dass du z.B. in
der Client-Verwaltung im Webinterfaces deines Mail-Providers gezielt den
Zugriff von "Franks Laptop" deaktivieren kannst, sollte dieser gestohlen
worden sein, während "Franks Workstation" witerhin Zugriff bekommt. Und
das ohne, dass du das Haupt-Passwort ändern musst.

Außerdem ist OAuth2 einige der wenigen Möglichkeiten, wie ein Anbieter
den Zugang zu einem Dienst mit MFA/2FA absichern kann, ohne das du alle
5 Minuten bei jedem Mail-Abruf einen neuen OTP-Code eintippen musst.

S!
--
Sigmentation fault. Core dumped.
Frank Graf
2020-10-10 19:53:32 UTC
Permalink
Post by Sven Hartge
Post by Frank Graf
mittlerweile ist es in Thunderbird möglich OAuth als
Authentifizierungsmethode auszuwählen. Ich habe den Eindruck dass
einige kostenlose Mail Provider dieses Verfahren forcieren wollen. Sie
begründen es mit erhöhter Sicherheit.
Ist das tatsächlich so?
Das ist so. Mit OAuth2 kann man genau festlegen, welche auf welche Dinge
ein Client zugriff hat. So kann der Mail-Client dann nur via IMAP auf
Mails zugreifen aber das Token ermöglicht ihn (oder einem Angreifer)
nicht, auf die Benutzerverwaltung etc. zuzugreifen.
Plus das Protokoll tauscht intern regelmäßig das access token aus, so
dass, sollte ein solches einmal abhanden kommen, nur kurzfristig
funktioniert.
Des weiteren bekommt jeder Client separate Tokens, so dass du z.B. in
der Client-Verwaltung im Webinterfaces deines Mail-Providers gezielt den
Zugriff von "Franks Laptop" deaktivieren kannst, sollte dieser gestohlen
worden sein, während "Franks Workstation" witerhin Zugriff bekommt. Und
das ohne, dass du das Haupt-Passwort ändern musst.
Außerdem ist OAuth2 einige der wenigen Möglichkeiten, wie ein Anbieter
den Zugang zu einem Dienst mit MFA/2FA absichern kann, ohne das du alle
5 Minuten bei jedem Mail-Abruf einen neuen OTP-Code eintippen musst.
Ja, das ist alles richtig.

Aber solange der Zugriff über den Webbrowser ohne 2FA erlaubt wird sehe
ich da nicht den Sicherheitsvorteil.

Wenn das Kennwort für ein Mailkonto aus Thunderbird kopiert wird (z. B.
durch Schadsoftware), könnte es auch aus dem Passwort Manager eines
Webbrowsers kopiert werden.


Es ist wohl so, dass ich ein seit Jahren nicht mehr genutztes Yahoo
Postfach nicht mehr per POP3 (SSL verschlüsselt) abrufen werden kann.

Es kam folgende Mail:

Uns ist aufgefallen, dass Sie Drittanbieter-Apps nutzen (wie z. B. E-
Mail-, Kalender- oder Kontakt-Apps die nicht von Yahoo sind), die unter
Umständen eine weniger sichere Anmeldemethode verwenden. Um Sie und Ihre
Daten zu schützen, wird Yahoo ab dem 20. Oktober 2020 die derzeitige
Anmeldemethode in Ihrer App nicht mehr unterstützen. Damit Sie Yahoo Mail
weiterhin ohne Probleme benutzen können, müssen Sie einen der unten
aufgeführten Schritte durchführen.

Ist aber egal.


Frank
Sven Hartge
2020-10-10 20:26:13 UTC
Permalink
Post by Frank Graf
Post by Sven Hartge
Post by Frank Graf
mittlerweile ist es in Thunderbird möglich OAuth als
Authentifizierungsmethode auszuwählen. Ich habe den Eindruck dass
einige kostenlose Mail Provider dieses Verfahren forcieren wollen. Sie
begründen es mit erhöhter Sicherheit.
Ist das tatsächlich so?
Das ist so. Mit OAuth2 kann man genau festlegen, welche auf welche Dinge
ein Client zugriff hat. So kann der Mail-Client dann nur via IMAP auf
Mails zugreifen aber das Token ermöglicht ihn (oder einem Angreifer)
nicht, auf die Benutzerverwaltung etc. zuzugreifen.
Plus das Protokoll tauscht intern regelmäßig das access token aus, so
dass, sollte ein solches einmal abhanden kommen, nur kurzfristig
funktioniert.
Des weiteren bekommt jeder Client separate Tokens, so dass du z.B. in
der Client-Verwaltung im Webinterfaces deines Mail-Providers gezielt den
Zugriff von "Franks Laptop" deaktivieren kannst, sollte dieser gestohlen
worden sein, während "Franks Workstation" witerhin Zugriff bekommt. Und
das ohne, dass du das Haupt-Passwort ändern musst.
Außerdem ist OAuth2 einige der wenigen Möglichkeiten, wie ein Anbieter
den Zugang zu einem Dienst mit MFA/2FA absichern kann, ohne das du alle
5 Minuten bei jedem Mail-Abruf einen neuen OTP-Code eintippen musst.
Ja, das ist alles richtig.
Aber solange der Zugriff über den Webbrowser ohne 2FA erlaubt wird sehe
ich da nicht den Sicherheitsvorteil.
Richtig. Das gehört dann natürlich dazu, sonst ist das nur halbgar.

Der Vorteil, das einzelne Geräte oder Programm ein separates "Passwort"
haben, bleibt dennoch. Die Mail-App auf dem Handy, sofern das
Master-Passwort sich nicht auch auf dem Gerät befindet, ist dann beim
Verlust des Gerätes kein (langfristiges) Sicherheitsproblem.

Grundsätzlich ist es absolut sinnvoll, bei allen wichtigen Konten eine
2FA aktiv zu haben.
Post by Frank Graf
Wenn das Kennwort für ein Mailkonto aus Thunderbird kopiert wird (z.
B. durch Schadsoftware), könnte es auch aus dem Passwort Manager
eines Webbrowsers kopiert werden.
Korrekt.

S!
--
Sigmentation fault. Core dumped.
Loading...