GMX und Web.de bieten Zwei-Faktor-Authentisierung an
Das wurde aber auch Zeit! Nach vielen Jahren ist auch bei GMX und Web.de die Zwei-Faktor-Authentisierung (häufig auch als Zwei-Faktor-Authentifizierung bezeichnet) angekommen. GMX selber hat laut eigener Aussagen 18 Millionen Nutzer in Deutschland, Österreich und der Schweiz.
Bei aktivierter 2FA ist das Nutzerkonto selbst beim Verlust des Passworts vor dem Zugriff Unbefugter geschützt. Der Login erfolgt erst dann, wenn zusätzlich zum Passwort ein einmalig gültiger Bestätigungscode eingegeben wird. Bei GMX wird dieser zweite Faktor auf Basis des technischen Standards „TOTP“ (Time based One Time Password) mit Hilfe einer “Authenticator“-App erstellt.
Diese Programme stehen in den App Stores für die einzelnen Betriebssysteme zum Download bereit. Da gibt es beispielsweise den Google Authenticator, Authy – und auch Passwort-Manager wie 1Password oder Enpass bieten die Generierung der Codes an.
GMX unterstützt die 2FA-Aktivierung mit einem Einrichtungsassistenten und Hilfe-Seiten, so dass jeder Nutzer den zusätzlichen Schutz ganz einfach verwenden kann. Der Assistent kann auf PC, Mac, Smartphone oder Tablet im GMX-Postfach nach einem Klick auf „Mein Account“ unter dem Punkt „Sicherheit“ gestartet werden. Solltet ihr auf jeden Fall aktivieren, ist sicherer.
Für die 15 Millionen Nutzer von WEB.DE wird 2FA nach dem Start bei GMX im Laufe des Juni 2019 eingeführt.
Besser spät als nie.
Dass der deutsche Platzhirsch unter den Mailhostern so lange gebraucht hat um die Funktion zu integrieren ist bezeichnend für den IT Standort Deutschland. Gerade weil man sich das Thema Sicherheit doch so gerne auf die eigeme Fahne pinselt…
Mir hat der Wechsel zu lange gedauert. Deswegen ist mein Hauptpostfach mittlerweile umgezogen. Bei GMX wird nur noch der Spam empfangen.
Also ich finde auf der Webseite von GMX keine Möglichkeit zur Aktivierung von 2FA. Habt ihr die Info überprüft oder nur aus einer Pressemitteillung abgeschrieben?
Ganz lesen hilft meist:
„Für die 15 Millionen Nutzer von WEB.DE wird 2FA nach dem Start bei GMX im Laufe des Juni 2019 eingeführt.“
Ist seit 13 Uhr Live für alle Nutzer.. Start- Mein Account – Sicherheit.
Die Presse war wohl etwas zu schnell;-)
Authentisierung?
Wohl eher Authentifizierung.
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
Beides. Du authentisierst dich dadurch, dass Du deine Identität behauptest und einen Berechtigungsnachweis vorlegst (Passwort, TOTP, etc.). Der Service auf der anderen Seite überprüft ob Identität und der Nachweis zusammen gehören und authentifiziert dich damit.
In der Praxis werden die beiden Begriffe aber oft synonym gebraucht, ist also relativ egal.
Vielleicht bin ich einfach nur zu ungeduldig, aber den Punkt zur Aktivierung finde ich bei mir leider nicht.
Wo finde ich denn die Einstellung bei Gmx? Habe alles in den Einstellungen und der Hilfe durchsucht…
Hallo!
GMX-Konto, Sicherheit!
Die Funktion findet sich bei GMX unter MeinAccount/Sicherheit, wird aber nach und nach ausgerollt. Bei mir ist sie auch noch nicht vorhanden.
Bei GMX ist die Funktion gerade bei mir aufgetaucht.
Find ich echt gut, dass 2FA bei GMX/WEB Einzu findet.
Dennoch zählen die beiden -aus meiner Sicht- zu den schlechtesten Emailanbietern die ich kenne.
warum?
Wahrscheinlich wegen deren Panikmache und Abo-Müll.
wobei ich den „Abo-Müll“ nie nachvollziehen konnte. Bin seit Anfang an Freemail-Kunde und hatte nie dauerhaft über eine längere Zeit Werbemails. Gibt ja auch Einstellungen, wo man sagen kann, was man NICHT haben will… wenn viele das nicht einstellen, tja
Was ich nie verstanden habe, dass web.de grundsätzliche schlechtere Konditionen hat und Features später eingeführt wurden/werden. Ist das nicht ein großer Serverpark?!
Was willsten da einstellen wenn jeder Spam-Mailer eine andere Adresse verwendet? Außerdem ist genau das Aufgabe vom Anbieter, was sie auch tun, nur viel zu spät.
Jo. Jedenfalls total unseriös. Die Weboberfläche meide ich wie der Teufel das Weihwasser. Dabei hab ich tatsächlich bei gmx meine allererste Adresse noch in Verwendung. Als „Wegwerfadresse“ wenn ich wirklich mal bei nem Gewinnspiel mitmache. Nickname-Adressen, die man als pubertierender Teenager total cool fand, sind eben scheiße, um Bewerbungen darüber zu verschicken. 😀
Meine Aussage bezog sich auf das Gesamtpaket, welches dort geboten wird.
Man hat wirklich viel Werbungsmails, auch nachdem man einiges abgestellt hat, dann gibt es auch die Werbungszeilen im Postfach, welche sich als Email „tarnen“. Und die Weboberfläche ist eben alles andere als eine schöne aufgeräumte Oberfläche, wie sie zB Outlook.com bietet.
Auch die Premiummodelle zu denen man früher viel zu leicht aus versehen wechsel konnte haben keinen positiven Eindruck hinterlassen (auch wenn dies mittlerweile besser geworden ist).
Bei mir dient die Adresse ebenfalls nur noch als Spammailadresse.
Plot-Twist: Diese Formular fordert auch eine Emailadresse, in der eben auch die Spammail eingetragen wird XD
Meine ich doch auch.
Wenn man keinen Skriptblocker aktiviert hat, begrüßen die einen bei web.de doch heute noch mit einer fast bildschirmfüllenden Meldung im Browser, dass man dieses oder jenes jetzt kostenlos für x Tage/Wochen/Monate testen könne.
Und mit Skriptblocker ist der erste Link in der Meldung, dass bei deaktivierten Skripten nicht das vollumfängliche Postfach zur Verfügung stünde nicht der, der zum Postfach mit reduziertem Umfang, sondern zum Download eines vermutlich mieserablen eigenen Browser führt, den man doch installieren solle. Ich glaube nicht, dass der Browser auf irgend eine Art und Weise empfehlenswert ist.
Unbedarfte Leute mit solchen und ähnlichen Maschen dermaßen zu verarschen finde ich sogar noch schlimmer, als die Eigenwerbung für irgendwelche Verträge, die man dank gmx/web.de dann günstiger bekommt.
Gehen mit der TOTP-Umsetzung von GMX denn auch TOTP-Hardwaretoken? Ansonsten hat man trotz 2FA ja einen Single-Point-of-Failure, nämlich das Smartphone.
Kann ich entkräften.
Egal was du als Token nutzt, beides kann dir abhanden kommen. Beim Smartphone muss der Dieb nur nicht so lange suchen, bis er weiß, wo du überall Konten hast und kann sich von deinem Smartphone aus eben direkt einloggen.
Für weit höher stufe ich persönlich das Risiko ein, dass durch irgend einen Hack bei irgend einem Anbieter meine Zugangsdaten in die falschen Hände gelangen. Da schützt dich die 2FA dann vor Missbrauch.
Und so nebenbei: Das Smartphone kann ich verschlüsseln und über eine PIN schützen, sowie – bei einer entsprechend genutzten App – auch ein Passwort festlegen. Wie ist das bei den Hardwaretoken?
Wenn du natürlich für irgendwelche Kriminellen oder Geheimdienste ein besonders lohnendes Ziel bist, nun ja, dann hast du vermutlich eh gravierendere Problem als nur das.
Das Abhandenkommen ist mir relativ latte. Wenn der Token abhanden kommt, deaktivierst du den, dein anderer Faktor bleibt aber erhalten (und geht nicht mit dem Smartphone zugleich verloren, wenn nicht verschlüsselt). Dein Geschwurbel zu Geheimdienst und die anderen Beifügungen sind mir völlig egal.
Mir geht es aber darum, ob TOTP-Hardwaretoken unterstützt werden.
Jetzt hast du mich neugierig gemacht.
„Wenn der Token abhanden kommt, deaktivierst du den, dein anderer Faktor bleibt aber erhalten…“
Wie läuft das denn im Detail? Worin unterscheidet sich da das Prozedere zu 2FA Apps? Wenn ich in meiner 2FA App die Accounts einfach lösche/deaktivere, muss ich das doch in den Einstellungen des jeweiligen Dienstes tun. Dazu muss ich mich einloggen und dazu benötige ich einen vom Token generierten Code. Läuft das bei den Hardwaretoken anders?
Ja, bei Hardwaretoken ist es anders, denn mit dem Hardwaretoken hast du nur einen Token. Mit dem Smartphone hast du u. U. aber mehr (ggf. noch den anderen Faktor, wenn er im Browser des Smartphones gespeichert ist oder das Smartphone nicht verschlüsselt ist – was bei den meisten Endnutzern der Fall sein dürfte).
Aber wie gefragt: Kann man Hardware-Token überhaupt bei GMX verwenden?
Hab jetzt noch mal gegoogelt, speziell TOTP. Da macht ein Hardwaretoken genau nichts anderes, als die App. Demnach sollte man theoretisch den Hardwaretoken auf genau dem selben Weg de-/aktivieren können, wie die Tokens in den diversen Apps.
Natürlich kann der Provider den TOTP Token – egal ob hard-/softwarebasierend de-/aktivieren, da er die nötige Infrastruktur in Form eines Authentifizierungsservers o.ä betreiben muss, um den Nutzer eben auch authentifizieren zu können. Man selbst als Nutzer sollte das daher nur über den Login bei dem jeweiligen Dienst/Anbieter können, wozu also doch zumindest einmalig ein Code (bei der Anmeldung) eingegeben werden muss.
Ich nehme an, der geheime Schlüssel, der zwischen Sender (Token) und Empfänger (Server) vereinbart wird, wird bei der ersten Anmeldung bzw. Registrierung des Tokens ausgehandelt. Rein logisch betrachtet müsste in so einem TOTP Hardwaretoken also auch nur der Algorithmus stecken, der in den Apps arbeitet. Die genaue Funktion etc. ist in einem RFC Dokument definiert, aber das wollte ich jetzt nicht wälzen.
Das alles wiederum müsste bedeuten, dass du als Nutzer den TOTP Hardwaretoken eben nicht „einfach“ deaktivieren kannst. Sondern dich dazu an den Dienstanbieter wenden und anderweitig identifizieren musst. Stützen kann ich meine Theorie mit der eigenen Erfahrung, als ich noch WoW gespielt habe. Ich nutzte damals die von Blizzard bereitgestellte TOTP App. Auch dort musste ich 2FA in meinem Account aktivieren und konnte sie auch nur dort wieder deaktivieren. Da Blizz parallel dazu einen Hardwaretoken für nen 10er anbietet, sehe ich meine Theorie für die Gleichheit der Verfahren bei App und Hardware ebenfalls als belegt. Weiterhin hab ich beim Flashen meines Handys damals einmal vergessen, den Sicherheitsschlüssel zu notieren, ein Backup der App zu erstellen und 2FA im Account zu deaktiveren. Fazit: Ich musste mich letztlich tatsächlich mit einer Kopie meines Perso via Email als Inhaber meines Accounts ausweisen, damit ein Blizzardmitarbeiter die 2FA in meinem Account für mich deaktiviert hat. Hat drei verdammte Tage gedauert, das Hinundher. Von schnell kann da also überhaupt keine Rede sein.
Um deine Frage zu beantworten: Demnach vermute ich, sollte ein TOTP Hardwaretoken funktionieren. Auch wenn ich nicht genau weiß, wie da die Schlüsselübergabe erfolgt. Meine Vermutung: Der erste Code dient als solcher.
Wenn ich mich irgendwo geirrt haben sollte, bin ich für Korrekturen dankbar.
Ja so einfach ist das wohl in der Tat alles nicht. Ich kenne das nur so, dass die Seriennummer des Tokens beim 2FA-Anbieter (hier: GMX) gespeichert werden muss, als berechtigter Faktor. Dann rechnen beide (Server und Token) anhand der Kryptik die Zahlenfolge für einen bestimmten Zeitraum (bspw. 30 Sekunden) aus. Das ist dein Faktor. Wenn der Token jetzt verloren geht, dann müsste ich diesen Token also bei GMX sperren können. Dazu müsste GMX natürlich meinen Hardware-Token unterstützen (also den Hersteller kennen).
Dazu fehlen mir leider die entsprechenden Angaben.
Achso! Du musst dem Dienst DEINEN Schlüssel zur Verfügung stellen mit dem Hardwaretoken?
Ok, wenn man da keinen Schlüssel eingeben kann, funktioniert das vermutlich doch nicht. Bei den Apps läuft das ja genau anders herum: Der Schlüssel wird vom Dienstanbieter bereit gestellt und in der App gespeichert. Sei es als Zahl oder QR Code.
Dann korrigiere ich meine Thesen. Denn wenn ich recht bedenke, macht das so auch Sinn, das Blizzard in der App einen Schlüssel generiert hat, den man im Account eingeben musste. Das ist dann das selbe Verfahren wie bei den Hardwaretoken.
Wieder was gelernt.
Vom Hersteller ist das dann jedoch vermutlich nicht abhängig, sondern eben einfach von dem konträren Konzept.
Zum einen gibt es einen Geheimschlüssel, der unabhängig vom Smartphone nicht verloren gehen darf. Damit hat man selbst immer diese Hintertür. Dann kann der TOTP-Seed ja auch in KeyPass gespeichert werden. Mit KeeTrayTOTP Plugin kann KeePass dann auch den TOTP berechnen. Geht mit folgenden Parametern: Interval 30 Sekunden, TOTP Format 6 digits.
Mag sein, aber ich interessiere mich für Hardware-Token. Ich will unabhändig von dem Browser (bspw. bei Verwendung einer VDI etc.) und vom Smartphone sein.
Ich habe mich mit Hardware Token noch nicht auseinandergesetzt. Wieder ein Gerät, welches ich dabei haben muss…. Irgendwie muss der GMX TOTP Seed ins Token, wenn dein Token dass nicht unterstützt und es unbedingt Hardware sein muss, wie wäre es damit: https://github.com/dpraul/hardware-2fa ?
Geil, danke für den Link!
Jetzt bin ich angefixt. 🙂
Kommt auf die To Do.
Wird so langsam bisschen off-topic. Ich würds gar nicht mit einem Arduino machen, der braucht für die Zeit ja noch das RTC Modul. Stattdessen würd ich es mit einem ESP probieren, der kann sich die aktuelle Zeit per WLAN holen.
Eher spezieller. 🙂 Und ist das nicht der produktive Austausch, der ein Blog eigentlich interessant macht?
Ja, an einen ESP hab ich auch gedacht. Hab beides noch zu Hause herum liegen für diverse Basteleien. Und wenn ich nicht irre, sogar ein RTC Modul. Wollte mich zwar eher mit C/C++ als mit Python beschäftigen, aber egal.
Guck mal in die .ino Dateien, C/C++ 😉 Python wird nur für den WebServer verwendet.
Umso besser. 🙂 Danke für den Hinweis. Habe noch nicht die Zeit gehabt, mir das Repo im Detail anzusehen. Hatte nur die readme.md überflogen. Da stand hier und da was von py und python.
Es gibt ja genügend TOTP-Hardware-Token für nen geringen Preis zu kaufen. Die Frage ist, ob das mit GMX kompatibel ist.
Bei mir auch noch nicht sichtbar.
Bei mir sichtbar, aber bevor man überhaupt dazu kommt, wird man gebeten, doch aus Sicherheitsgründen seine Mobilfunknummer anzugeben um ein Fallback zu haben. Höhöhö, nice try gmx. 😀
@Caschy
Hast du das selbst getestet? Finde, der Hinweis mit der Handynummer sollte mit rein, da der Schritt überhaupt nicht nötig ist. Ohne kann man das aber nicht nutzen. Habs eben wegen der Diskussion mit Grübezahl einfach mal bei mir nachschauen wollen. Habe allerdings auch vorher nie eine Mobilnummer hinterlegt.
Hat 1A funktionert unter gmx.net – danke für die Info
Is aber im Endeffekt doof weil:
Anwendungsspezifisches Passwort erstellen
Erstellen Sie für jedes externe Programm, mit dem Sie auf Ihre GMX Anwendungen (z.B. Postfach, Kalender, Adressbuch) zugreifen, ein Anwendungsspezifisches Passwort. Bitte vergeben Sie dafür einen eindeutigen Namen – das erleichtert Ihnen die spätere Verwaltung mehrerer Anwendungsspezifischer Passwörter.
Jede App die IMAP nutzt, wie zB Firtzbox oder NAS bei Infomails, muss sich anmelden.. ne danke, das wird teilweise nicht funktionieren
Musstest du eine Mobilnummer angeben?
Bei mir wurde das gefordert. Vorher komm ich nicht zur Einrichtung der App.
Hm ich war der Meinung ich hätte hier schon geantwortet, irgendwie ist die Antwort nicht da. Ja, ich habe meine Nummer angegeben, aber nur bei meinem Main-Account. Ich habe schonmal einen Accounter ‚verloren‘ daher zur Absicherung..
Ok, danke. Habe bei denen keine Mobilnummer angegeben und werde ich auch nicht tun. Dafür sind mir deren Methoden zur „Kundengewinnung“ zu unseriös. Demnach traue ich denen auch nicht im Umgang mit meinen Daten.
Ich kann nur sagen ich habe in all den Jahren keine einzige werbe sms oder sonstige Kontaktaufnahme bekommen/erhalten
Wenn du bisher die kostenlose Variante von GMX nutzt, traust du denen die ganze Zeit deine Daten an, denn die Daten sind die Ware/das Entgelt. Für die anderen Kunden (Top-/Promail) ist die Angabe der Handynummer relativ schmerzfrei, denn die IBAN hat GMX schon und ich habe als Topmail-Kunde seit Jahren kein Problem mit GMX.
Das Konto müsste in den späten 1990ern von mir erstellt worden sein. Die haben nicht mal meine richtige Adresse. Das Konto hab ich damals als Teenager erstellt, als meine Eltern endlich mal Internet angeschafft hatten. Da lief nie nennenswert sinnvolle Kommunikation drüber und seit Jahren nichts anderes als Spam. Senden tu ich damit überhaupt nichts mehr. Die Adresse gebe ich an, wenn ich mir doch mal ein Online-Gewinnspiel nicht verkneifen kann.
Ja mein Account müsste auch aus den 90ern sein, wo GMX noch schwarz war, hui, das ist lange her, müsste so 1996 gewesen sein. Da waren Handys ganz neu mit einzeilgen SMS. Und auf Grund dessen hab ich damals mein Account ‚verloren‘ weil ich damals den Support angeschrieben hatte, mit Fake-Adresse logischerweise. Naja, seitdem nie mehr gewagt irgendwas dort zu kontaktieren 🙂 Daher zumindest der offizielle Account mit echter Rufnummer – Adresse hab ich dort nicht hinterlegt glaub ich
Ich hab vor kurzem alles umgestellt und bin von web.de weg. ZUM GLÜCK!!! Endlich ist Ruhe im Karton. Da gab es ja auch immer so Phasen, nicht nur bei mir, als 20/30 Spam-Mails am Tag kamen. Das gibt es bei anderen Anbietern nicht. Oder dass ich für 24 Stunden ausgesperrt wurde, ohne Angabe von Gründen. Und man erreicht die natürlich auch nur über schweineteure Rufnummern. Wenn das nicht ne Masche ist.
Web/GMX stehen bei mir auch ganz weit unten. Nie wieder! Über deren Geschäftsgebaren braucht man ja auch nichts mehr sagen.
Also zumindest bei GMX habe ich das Problem nicht und ich habe dort seit über 10 Jahren eine 4-Stellige E-Mail-Adresse, die mittlerweile so jeder Onlineshop weltweit gesehen haben dürfte. Und Anrufe an den Support sind auch kostenfrei.
Aber wenn du das kostenlose Angebot von web.de meinst – nunja, Service kostet halt. Irgendwovon müssen die Mitarbeiter am anderen Ende des Telefons ja bezahlt werden; und zwar durch Werbung und deine Anrufe.
Ich habe seit rund 20 Jahren sowohl bei GMX, als auch bei WEB.DE eine E-Mail-Adresse und Spam-Probleme hatte ich noch nie. Ab und zu mal eine E-Mail, aber das passiert mir bei anderen Anbietern auch. Klar, den Spam von Anbieter selbst bekomme ich theoretisch (seit dem sie diese nicht mehr selbst filtern), aber das erledigt Thunderbird zuverlässig. Deren Spam-Filter habe ich so eingestellt, dass die Mails nur markiert werden, nicht gefiltert, denn das ist mein eigentliches Problem: Selbst GMX-Kunden werden gelegentlich als Spam behandelt und so sind mir schon wichtige Mails durch die Lappen gegangen.
Ausgesperrt wurde ich in all der Zeit auch nie und unzuverlässig waren die Dienste seit 15 Jahren auch nicht.
Allerdings nutze ich die Dienste seit langer Zeit auch nicht mehr als Haupt-E-Mail Adressen, die habe ich heute auf einer eigenen Domäne, aber gelegentlich nutzen Bekannte halt noch ihren alten Eintrag im Adressbuch.
Sehr gut! Jetzt fehlt eigentlich nur noch der Mail Dienst von T-Online.
Viele Restaurants, Pensionen, Hotels und andere Gewerbe verwenden leider noch diesen Dienst.
Und wo liegt jetzt das Problem?
Hi,
ich hatte Testweise „Authy“ installiert und die GMX/Web.de Accounts eingerichtet / abgesichert.
Leider hab ich die App gelöscht – und die OTP Token’s sind verschwunden…
Backup wurde nicht gemacht. Kann man dies wiederherstellen? Wiederherstellung über Authy endet immer mit einem Abbruch ;-(
Oder hat schon jemand versucht – Web.de/GMX zu erreichen – um den 2-Faktor wieder zu deaktivieren?
Anscheinend ist GMX/Web.de nur über die kostenpflichtige 3EU / Anruf Rufnummer zu erreichen?