Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Die Einrichtung der 2-Fakt-Auth. findet man bei mailbox.org unter "Einstellungen - mailbox.org - Einmalpasswörter". Vor dem Beginn ist es empfehlenswert, den FAQ Artikel zur 2-Fakt-Auth. bei mailbox.org zu lesen, da bei mailbox.org einiges anders funktioniert als üblich.

Einrichten der 2-Fakt-Auth. bei mailbox.org

mailbox.org unterstützt alle Facetten von OTP und man kann selbstgenerierte Parameter verwenden. Deshalb beginnt man damit, in der der Nitrokey App Konfiguration die Parameter zu generieren. Man wählt einen freien TOTP Slot und Klickt auf den Button "Zufälliges Geheimnis erzeugen". Das Geheimnis bzw. der Key ist nicht zu verstecken, da er in die Konfiguration bei mailbox.org kopiert werden soll. Das Eingabeformat ist "Hexadezimal".
Nitrokey Konfiguration

Auf der Konfigurationsseite von mailbox.org trägt man zweimal die 4-stellige PIN ein, die als ersten Faktor (Wissen) verwendet werden soll. Bei mailbox.org wird bei der 2-Fakt-Auth. nicht das normale Passwort als erster Faktor verwendet sondern eine extra PIN. Das ist notwendig für den Schutz gegen Phishing, da das normal Passwort ohne OTP weiterhin für IMAP, SMTP oder WebDAV verwendet wird und anderenfalls mit einem Phishing Angriff kompromittiert werden könnte.

mailbox.org OTP Konfiguration
Wenn man als OTP-Methode den Menüpunkt "OTP-Generatoren und andere Yubikeys" wählt, werden die Optionen zur Konfiguration generischer OTP-Token angezeigt:
mailbox.org OTP Konfiguration
Man wählt das generische TOTP-Token (oder HOTP-Token) in der Auswahl und kopiert das Geheimnis im hexadezimalen Format in das Feld für den Tokenseed. Die anderen Parameter sind an die Einstellungen in der Nitrokey App anzupassen.

Mit dem Klick auf "Speichern" wird die 2-Faktor-Auth. aktiviert.

Login mit 2-Fakt-Auth. bei mailbox.org

Wenn man die 2-Fakt-Auth. bei aktiviert hat, muss man im Passwortfeld auf der Loginseite als erstes die 4-stellige PIN und dahinter ohne Leerzeichen das One-Time-Passwort vom Nitrokey eingeben. Es gibt kein zusätzliches Feld für das OTP-Token.
mailbox.org OTP Login
Lizenz: Public Domain