Bei vielen Mailaccounts ist der Benutzername für den IMAP-Zugriff gleich der Emailadresse. Diese ist ja nach außen hin bekannt. Wäre es ein zusätlicher Sicherheitsfaktor, wenn ich für den IMAP Zugriff einen eigenen Benutzer anlege?
Bei Mailbox.org beispielsweise indem ich einen beliebigen zusätlichen Alias anlege und diesen als Hauptaccount definiere. Der sollte ja dann eigentlich geheim sein/bleiben? Oder ist so eine Überlegung quatsch?
Nein, das wäre Security by Obscurity. Sicherheit erreichst du durch ein ausreichend langes Anmeldepasswort bzw. zusätzliche Maßnahmen wir 2FA.
Hört sich nach einem Meme an ^^
Passwort ist natürlich lang, komplex und einmalig. 2FA für den Webzugang ist auch aktiviert. Für IMAP per Thunderbird oder K9 wäre mir da jetzt aber nichts bekannt oder gibt es dafür auch Lösungen?
bei Passwörtern mit ausreichend Entrophie halte ich 2FA für unnötig.
Hilfreich ist noch wenn der Provider mehrere fehlerhafte Anmeldeversuche mit Fail2Ban oder ähnlichem bestraft. Nicht dass wirklich zu befürchten ist, das man ein gutes Passwort wirklich errät, aber die Protokolle werden deutlich besser lesbar und es werden weniger Ressourcen verbraucht.
Wenn ich schon die Möglichkeit habe, als Benutzername ein Alias zu verwenden (welcher sonst nie Verwendung findet) - warum nicht?
Über den tatsächlichen Mehrgewinn an Sicherheit kann man diskutieren … aber die Option mit „Security by Obscurity“ abzuwerten ist mir zu pauschal …
Jain. Grundsätzlich ist das ein zusätzlicher Faktor, den der Angreifer nicht kennt. Wenn der Angreifer allerdings dein Passwort kennt, ist schon so viel schiefgelaufen, dass der nur mäßig geheime Anmeldename die Sache i.d.R. nicht mehr rettet.
Fazit: Ja, das bringt ein kleines bisschen zusätzliche Sicherheit. Die Relevanz ist allerdings verschwindend gering. Ich selbst nutze auch einen separaten Loginnamen - allerdings eher aus organisatorischen Gründen. Einen echten Sicherheitsmehrwert hat da snicht.
Wenn dein Passwort stark genug ist, nein.
Fido2 macht durchaus Sinn, da Fishing-Resistent. TOTP bringt nicht viel zusätzliche Sicherheit, da es Evilginx&Co als Fishing-Methoden gibt.
Weil es nichts bringt.
meiner Meinung nach vergleichst Du hier Äpfel mit Birnen. Vermutlich meinst Du WebAuthn ist sicherer als TOTP. Dann gebe ich Dir selbstverständlich Recht, was meine Kritik an Fido2 aber nicht außer Kraft setzt.
Inwiefern?
Was redest du da? FIDO2 umfasst WebAuthn, CTAP und Authentifikatoren.
Ja, ein Auto ist etwas anderes als ein Motor.
Mein Verständnis dessen was als Authentifizierung über die Leitung zu z.B. einer Webseite geht:
TOTP ist ein Verfahren auf Basis von symmetrischer Verschlüsselung unter Verwendung eines Shared-Secrets,
WebAuth oder Passkeys auf Basis von asymmetrischer Verschlüsselung (ähnlich wie bei Zertifikaten nur mit weniger Extras).
Aber wenn ich meine lokalen Schlüssel nur auf einem Gerät speichern darf das kein Backup unterstützt (Fido2) dann ist das für mich ein No-Go. Es kommt halt auf das Gesamtpaket an.
Fido2 beinhaltet beides, undiscoverable und discoverable. Sie können device-bound und nicht device-bound sein. Bei geräteungebunden kann man sie z.B. über den Paswortmanager synchronisieren und duplizieren. Im anderen Fall registriert man einfach mehrere Geräte um Backups zu haben. Was daran ein „No-Go“ sein soll, ist mir ein Rätsel. Der zweitere Fall bietet zusätzlichen Schutz für den privaten Schlüssel z.B. bei OS-Kompromittierung. Beide haben valide Anwendunsfälle mit unterschiedlichen Threat-Models.
Schöner Vergleich. Ich habe nur den Eindruck, dass hier beides nicht verstanden wurde.
Deine Passkeys sind Teil von FIDO2 - Passkeys „ohne FIDO“ gibt es nicht bzw. wäre nicht standardkonform. FIDO2 erzwingt keine sichere Ablage. Die sichere Ablage auf Hardware ist m. W. ein zusätzlicher Sicherheitsfaktor, der über FIDO2 hinausgeht.